Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in

  FAQ | Search | Memberlist | Usergroups | Statistics | Profile | Log in to check your private messages | Log in | Register

SQUID zum Absichern der Win-Clients
 View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
Hauke
n00b
n00b


Joined: 29 May 2004
Posts: 29
Location: Germany/Lübeck
PostPosted: Wed Sep 15, 2004 5:07 pm    Post subject: SQUID zum Absichern der Win-Clients Reply with quote
Hab so ein kleines Problem,

meine Beiden Brüder sitzen an je einem Windoof Rechner und holen immer die ganzen Viren und Würmer ins Haus.

Nun wollte ich denen nur noch Zugriff zum Netz übern Proxy erlauben und alle *.exe *.pif und so weiter sperren.

Mein Ansatz sieht folgendermaßen aus:

/etc/squid/squid.conf


Code:
#größe des cache
 cache_mem 100 MB
 
 #ort und maximale größe der cache-datei
 cache_dir ufs /var/cache/squid 100 16 256
 
 #minimale und maximale dateien die gecached werden dürfen
 maximum_object_size 4096 KB
 minimum_object_size 0 KB
 
 #http port von squid
 http_port 3128
 
 #squid als transparenten proxy-cache verwenden
 httpd_accel_host virtual
 httpd_accel_port 80
 httpd_accel_with_proxy on
 httpd_accel_uses_host_header on
 
 #vorlaüfige regel
 http_access allow all
 
 # Sonst startet er nicht.
 visible_hostname ls
                                             
 # BLACKLIST                                                                           
 
 acl POISURL url_regex -i "/etc/squid/URL-Blacklist"
 http_access deny POISURL


/etc/squid/URL-Blacklist

Code:
.exe$
.pif$


Nun stellen sich aber ein paar Probleme:

So manche Leute nehmen gerne Namen wie z.B. "sript.exe&show=..." diese werden so durchgelassen. Die Clients kommen sich aber, wenn sie exe files runterladen wollen brauchen die nur ein "?" hinter den Namen der Exe hängen und können das dann runterladen.
Hierfür weiß ich noch keine Lösung.
Ein Ansatz währe villeicht, was der WS sendent, wie z.B. MIME Infos: "application/octet-stream"

Und zum anderen wollte ich den Clients gestatten, von vorher definierten Domains exe files runterzuladen. z.B. Antivir.de für Virenscanner.

Mit Google komme ich auch nicht mehr weiter.

Ich bin euch sehr dankbar, wen ihr mir weiterhelfen könntet.
Back to top
View user's profile Send private message
christophd
Tux's lil' helper
Tux's lil' helper


Joined: 16 Nov 2003
Posts: 76
PostPosted: Wed Sep 15, 2004 6:01 pm    Post subject: Reply with quote
mit squid kenne ich mich zwar nicht aus...

aber ich habe das seit 2 Wochen so gelöst. Ich habe auf dem Router einen NX-Server Installiert. Dann habe ich einen user erstellt der nur firefox verwenden darf. Mit iptables habe ich jeden Traffic ins Internet gesperrt. Nur der Router selbst darf ins Internet.

Die User starten auf ihrem Rechner den NX-Client und können so ins Internet.

Vorteil: Solche Späße wie http-tunneling usw sind nicht möglich. Filesharing ist dadurch auch nicht mehr möglich. *g* Nur mehr Internet über den firefox der am Router freigeben ist.
Back to top
View user's profile Send private message
michip
n00b
n00b


Joined: 17 Oct 2002
Posts: 42
Location: Kassel, DE
PostPosted: Wed Sep 15, 2004 9:42 pm    Post subject: Reply with quote
Hi,

dein Freund heisst dansguardian:

http://dansguardian.org

eigentlich ein Contentfilter. Weiss nicht, wie alt deine Brüder sind, aber danach wird der Zugriff auf "heisse" Seiten erheblich komplexer :twisted: .

CU

Michael
Back to top
View user's profile Send private message
Hauke
n00b
n00b


Joined: 29 May 2004
Posts: 29
Location: Germany/Lübeck
PostPosted: Fri Sep 17, 2004 12:16 pm    Post subject: Reply with quote
Ich habe nun auch ein neues Problem gefunden, HTTPS Verbindungen können auch nicht mitgehorcht werden.

Dansguardian ist zwar ein guter Ansatz, aber es giebt leider keine SELinux Policy.

Ein Ansatz über NX-Server ist zu unkonfortabel.

Ich werde wohl den Weg gehen und mir Listen mit bösen domains organisieren und diese dann sperren.
Back to top
View user's profile Send private message
DawgG
l33t
l33t


Joined: 17 Sep 2003
Posts: 866
PostPosted: Wed Feb 09, 2005 3:28 pm    Post subject: privoxy Reply with quote
wenn das caching selbst nicht SO wichtig ist kannst du als content-filter auch privoxy nehmen. squid und dansguardian rocken, sind aber vielleicht overkill bei deinem setup. privoxy ist extrem flexibel konfigurierbar, kann zentral oder auf jedem client laufen und mit iptables kannst auch dicht genug machen, so dass er nicht umgangen werden kann.
(lustig fand ich auch die ersetzungsfunktion, die zb microsoft durch einen beliebigen string ersetzen kann)
Back to top
View user's profile Send private message
m.b.j.
Guru
Guru


Joined: 12 Sep 2003
Posts: 407
Location: Germany (Essen)
PostPosted: Wed Feb 09, 2005 5:59 pm    Post subject: Reply with quote
@hauke https wird per default Einstellungen vom squid einfach nur durchgeschleust, die ganzen Filterregeln gelten nicht wenn Squid https proxying betreibt.
_________________
root@mbj # echo "sys-pizza/calzone -tunfish" >> /etc/paludis/use.conf
root@mbj # paludis -i calzone --dl-blocks discard
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum



 Links: forums.gentoo.org | www.gentoo.org | bugs.gentoo.org | wiki.gentoo.org | forum-mods@gentoo.org

Copyright 2001-2024 Gentoo Foundation, Inc. Designed by Kyle Manna © 2003; Style derived from original subSilver theme. | Hosting by Gossamer Threads Inc. © | Powered by phpBB 2.0.23-gentoo-p11 © 2001, 2002 phpBB Group
Privacy Policy