View previous topic :: View next topic |
Author |
Message |
Hauke n00b
Joined: 29 May 2004 Posts: 29 Location: Germany/Lübeck
|
Posted: Wed Sep 15, 2004 5:07 pm Post subject: SQUID zum Absichern der Win-Clients |
|
|
Hab so ein kleines Problem,
meine Beiden Brüder sitzen an je einem Windoof Rechner und holen immer die ganzen Viren und Würmer ins Haus.
Nun wollte ich denen nur noch Zugriff zum Netz übern Proxy erlauben und alle *.exe *.pif und so weiter sperren.
Mein Ansatz sieht folgendermaßen aus:
/etc/squid/squid.conf
Code: | #größe des cache
cache_mem 100 MB
#ort und maximale größe der cache-datei
cache_dir ufs /var/cache/squid 100 16 256
#minimale und maximale dateien die gecached werden dürfen
maximum_object_size 4096 KB
minimum_object_size 0 KB
#http port von squid
http_port 3128
#squid als transparenten proxy-cache verwenden
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#vorlaüfige regel
http_access allow all
# Sonst startet er nicht.
visible_hostname ls
# BLACKLIST
acl POISURL url_regex -i "/etc/squid/URL-Blacklist"
http_access deny POISURL |
/etc/squid/URL-Blacklist
Nun stellen sich aber ein paar Probleme:
So manche Leute nehmen gerne Namen wie z.B. "sript.exe&show=..." diese werden so durchgelassen. Die Clients kommen sich aber, wenn sie exe files runterladen wollen brauchen die nur ein "?" hinter den Namen der Exe hängen und können das dann runterladen.
Hierfür weiß ich noch keine Lösung.
Ein Ansatz währe villeicht, was der WS sendent, wie z.B. MIME Infos: "application/octet-stream"
Und zum anderen wollte ich den Clients gestatten, von vorher definierten Domains exe files runterzuladen. z.B. Antivir.de für Virenscanner.
Mit Google komme ich auch nicht mehr weiter.
Ich bin euch sehr dankbar, wen ihr mir weiterhelfen könntet. |
|
Back to top |
|
|
christophd Tux's lil' helper
Joined: 16 Nov 2003 Posts: 76
|
Posted: Wed Sep 15, 2004 6:01 pm Post subject: |
|
|
mit squid kenne ich mich zwar nicht aus...
aber ich habe das seit 2 Wochen so gelöst. Ich habe auf dem Router einen NX-Server Installiert. Dann habe ich einen user erstellt der nur firefox verwenden darf. Mit iptables habe ich jeden Traffic ins Internet gesperrt. Nur der Router selbst darf ins Internet.
Die User starten auf ihrem Rechner den NX-Client und können so ins Internet.
Vorteil: Solche Späße wie http-tunneling usw sind nicht möglich. Filesharing ist dadurch auch nicht mehr möglich. *g* Nur mehr Internet über den firefox der am Router freigeben ist. |
|
Back to top |
|
|
michip n00b
Joined: 17 Oct 2002 Posts: 42 Location: Kassel, DE
|
Posted: Wed Sep 15, 2004 9:42 pm Post subject: |
|
|
Hi,
dein Freund heisst dansguardian:
http://dansguardian.org
eigentlich ein Contentfilter. Weiss nicht, wie alt deine Brüder sind, aber danach wird der Zugriff auf "heisse" Seiten erheblich komplexer .
CU
Michael |
|
Back to top |
|
|
Hauke n00b
Joined: 29 May 2004 Posts: 29 Location: Germany/Lübeck
|
Posted: Fri Sep 17, 2004 12:16 pm Post subject: |
|
|
Ich habe nun auch ein neues Problem gefunden, HTTPS Verbindungen können auch nicht mitgehorcht werden.
Dansguardian ist zwar ein guter Ansatz, aber es giebt leider keine SELinux Policy.
Ein Ansatz über NX-Server ist zu unkonfortabel.
Ich werde wohl den Weg gehen und mir Listen mit bösen domains organisieren und diese dann sperren. |
|
Back to top |
|
|
DawgG l33t
Joined: 17 Sep 2003 Posts: 866
|
Posted: Wed Feb 09, 2005 3:28 pm Post subject: privoxy |
|
|
wenn das caching selbst nicht SO wichtig ist kannst du als content-filter auch privoxy nehmen. squid und dansguardian rocken, sind aber vielleicht overkill bei deinem setup. privoxy ist extrem flexibel konfigurierbar, kann zentral oder auf jedem client laufen und mit iptables kannst auch dicht genug machen, so dass er nicht umgangen werden kann.
(lustig fand ich auch die ersetzungsfunktion, die zb microsoft durch einen beliebigen string ersetzen kann) |
|
Back to top |
|
|
m.b.j. Guru
Joined: 12 Sep 2003 Posts: 407 Location: Germany (Essen)
|
Posted: Wed Feb 09, 2005 5:59 pm Post subject: |
|
|
@hauke https wird per default Einstellungen vom squid einfach nur durchgeschleust, die ganzen Filterregeln gelten nicht wenn Squid https proxying betreibt. _________________ root@mbj # echo "sys-pizza/calzone -tunfish" >> /etc/paludis/use.conf
root@mbj # paludis -i calzone --dl-blocks discard |
|
Back to top |
|
|
|