Just nu i M3-nätverket
Jump to content

Bättre kontroll på användare


Stefan.

Recommended Posts

Jag skulle vilja ha följande, och undrar om det är möjligt rent tekniskt och vad som krävs isåfall.

 

1. Användaren måste logga in för att få en ipadress som kan användas för att surfa på nätet. Utan inloggning kommer dom bara åt det interna nätverket. (Är det nåt liknande Telia ADSL har??)

 

2. När användaren väl är inloggad, så ska jag kunna styra användaren så att han/hon bara kan besöka vissa ipadresser/siter. Eller blocka vissa siter/ipadresser.

 

Är en proxyserver lösningen? Det ska ju gälla all trafik, inte bara http.

Det ska inte vara möjligt att användaren knappar in en statisk adress så han får tillgång, utan dom måste logga in för att få komma ut på nätet.

Inte heller ska dom kunna fejka nån annan macadress, eftersom dom ändå måste logga in.

 

Har ingen aning om vad som krävs eller om det är möjligt. Men hoppas.

Jag har egentligen ingen kontroll över klientdatorerna, visst man kan uppmana dom att inte göra vissa saker. Men hur bra funkar sånt? Så användaren kan(men får inte) göra allt med sin dator. Därav att jag behöver nåt sorts inloggningsförfarande för att det ska få komma ut på nätet, för alla vill ut på nätet.

 

Link to comment
Share on other sites

Om det inte var allt för många användare så skulle jag nog låta brandväggen droppa all utgående trafik utom från godkända noder i nätet. Efter lyckad inloggning så läggs noden till som godkänd och sin trafik routad resten av dygnet (eller vad man tycker är lämpligt, kanske en halvtimme om det är ett internetcafe man bygger).

Fast det kräver att man är rätt händig med iptables eller motsvarande produkt som man kör på brandväggen.

 

 

Link to comment
Share on other sites

Själva inloggningen klarar sig ju med ett php/cgi/asp/whatever-script som kan ta emot ett namn och ett lösen och kolla upp det mot en databas samt uppdaterar någon tabell med information om vilka som får passera brandväggen.

Det svåra ligger i att få brandväggen att vara updpaterad med informationen relativt omgående efter inloggningen utan att starta om den och ha sig (och därmed störa andra användare).

 

Mer sofistikerade brandväggar med transparenta proxys gör det nog betydligt smidigare än vad det går att göra med ipfilter/iptables eller motsv.

 

Link to comment
Share on other sites

Det du önskar borde gå att göra relativt enkelt i en Windows domän, med ISA Server som fw.

 

Som fth föreslår, så stänger du av routningen för användare som inte är autentiserade i domänen. Därefter kan du använda regler som tillåter användare/grupper/ip osv att komma åt resurser efter behov.

 

Men det är tyvärr inte särskilt gratis med MS... ;)

 

/

 

Link to comment
Share on other sites

Det svåra ligger i att få brandväggen att vara updpaterad med informationen relativt omgående efter inloggningen utan att starta om den och ha sig (och därmed störa andra användare).
Nä, det är inga problem. iptables är rätt lätt att skripta. Det finns säkert färdiga system, men jag har ingen bra koll. T ex finns NoCatNet (http://nocat.net) som är för trådlösa nät.

Mer sofistikerade brandväggar med transparenta proxys gör det nog betydligt smidigare än vad det går att göra med ipfilter/iptables eller motsv.
Exempelvis squid (http://www.squid-cache.org) skulle säkert vara en bra variant: http://www.linuxhomenetworking.com/linux-adv/squid.htm

 

Link to comment
Share on other sites

Nä, det är inga problem. iptables är rätt lätt att skripta.

Allt är ju relativt. Även om du och jag tycker iptables är rätt lätt att använda så är den väl knappast att betrakta som lättjobbad för en nybörjare, man ska ju helst klara av att felsöka när det går åt pepparn också.

 

Exempelvis squid

Squid skulle nog vara mitt förstaval också men jag trodde inte den klarade att vara transparent proxy för godtycklg trafik? Man vill ju förmodligen spärra bort allt, inte bara http. Fast jag har inte följt utvecklingen av squid de senaste åren, den kanske har tagit ett steg från webbproxy åt brandväggshållet?

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...