Brauche TIP: Kindersicherung per Routing

pchotfix · Beitrag von **pchotfix** » 28.03.2008 12:28:10

Hallo Debian Gemeinde!

ihr könntet mir einen Tip geben wie ich meine Kindersicherung realisiert bekomme:

* Durch einlegen einer Linux-Live-CD soll der Kinder-PC schon im Netz sein (DHCP evtl. Wlan erkannt), Im PC ist KEINE Festplatte
* Nur vorher festgelegte Webseiten können erreicht werden
* Nur an vorher festgelegten Zeiten kann gesurft werden, spontanes freischalten oder sperren ist aber nur ein tastendruck

Ferner stellt sich mir die Frage ob das OHNE große umkonfigurierung der bestehenden Netzwerk-struktur möglich ist.

Hinweis

der DHCP auf dem Wlan-Router ist nur für Gast-Notebooks, ich habe alle festen PC´s mit STatischen IP adressen versorgt (weil teilweise Server-dienste wie Web-, DB-, ISDN-Server, emule etc... laufen ).

Weis nicht ob ich den Wlan oder den Kabelgebundenen Weg nehmen soll. Einige Live-CD´s unterstützen Wlan ja noch nicht so gut.

Aber die Restriktionen für den internet-Access herzustellen ist für mich das Denk-Hauptproblem. Muss es denn gleich ein Fetter SQUID sein? gibts das nicht was kleineres?

Für jeden fachkundigen Tip dankbar
Rene´

thorben · Beitrag von **thorben** » 28.03.2008 12:38:57

moin,
mit routing weniger, aber mit nem proxy sollte das gehen

gruß
thorben

pchotfix · Beitrag von **pchotfix** » 28.03.2008 12:54:19

thorben hat geschrieben:mit routing weniger, aber mit nem proxy sollte das gehen

Hallo Thorbern,
Hmm, klarer Gedanke. Aber wie erfährt der PC von dem Proxy?
Ein typisches knoppix oder so bootet ja, findet per DHCP das Internet-Gateway und alles ist offen.....

sooo einfach ists wohl nicht oder?

Gruß
Rene´

devilx · Beitrag von **devilx** » 28.03.2008 13:04:14

Nachdem dein Internet-Gateway deine Wuensche sicherlich nicht realisieren kann waere es am geschicktesten wenn du dir eine zweite Netzwerkkarte fuer deinen Linux-Server besorgst und den Kinder-PC daran anstoeppselst. Dann hast du im Grunde unbegrenzte Moeglichkeiten was "Controling" angeht. Du NATtest die Verbindung einfach durch den Linux Server nach aussen und kannst mit Cron-Jobs die von dir genannten Timed-Events einrichten.

pchotfix · Beitrag von **pchotfix** » 28.03.2008 13:16:48

devilx hat geschrieben:[...]wenn du dir eine zweite Netzwerkkarte fuer deinen Linux-Server besorgst [....]hast du im Grunde unbegrenzte Moeglichkeiten was "Controling" angeht.[...]

DAS klingt richtig gut! (hab ich noch nie gemacht, hab aber ne Vorstellung). Zumindest was die Route angeht müsste das ja eigentlich ganz easy gehen. Wie bekomme ich denn noch die Web-Ziele zensiert?

Ein guter Tip, Bitte mehr davon...

ckoepp · Beitrag von **ckoepp** » 28.03.2008 15:10:50

Über nen Proxy.

reox · Beitrag von **reox** » 29.03.2008 12:40:25

Ich hab einen W-LAN AP mit DD-WRT drauf, dass kann das auch standartmäßig: http://temp.free-minds.net/data/dd-wrt.png so sieht das da aus
mal ne frage: warum bootest du über eine Live CD wenn du viel einfacher per PXE Boot das OS laden kannst? Muss die Netzwerkkarte am PC nur unterstützen, dann sollte das kein Problem sein

devilx · Beitrag von **devilx** » 30.03.2008 11:11:37

pchotfix hat geschrieben:
devilx hat geschrieben:[...]wenn du dir eine zweite Netzwerkkarte fuer deinen Linux-Server besorgst [....]hast du im Grunde unbegrenzte Moeglichkeiten was "Controling" angeht.[...]
DAS klingt richtig gut! (hab ich noch nie gemacht, hab aber ne Vorstellung). Zumindest was die Route angeht müsste das ja eigentlich ganz easy gehen. Wie bekomme ich denn noch die Web-Ziele zensiert?

Nix proxy. Ich weiss nicht in wie fern deine Kinder Ahnung von der Materie haben, im einfachsten Fall kannst du es machen wie Arcor: Du legst auf dem Linux Server einen DNS an welcher von der Knoppix als Primary DNS verwendet wird (kannst du per DHCP uebergeben). Anschliessend laesst du Seiten wie youporn.com o.ae. auf 127.0.0.1. (Natuerlich ist es aufwendig, da du dir im Grunde eine Liste aller anstoeßigen Webseiten besorgen muesstest - was so gut wie unmoeglich waere.) Wenn Knoppix dann versuchen eine Adresse aufzuloesen schickt es die Anfrage an seinen Primary welcher in seiner Adresstabelle nachschaut. Falls ihm die Adresse bekannt ist (da du ja bspweise. youporn.com eingetragen hast) liefert er 127.0.0.1 zurueck. Andernfalls schickt er den Request an den Master-DNS (dein Internet-Route/-Gateway) welcher dann die echte Adresse zurueck gibt - so sperrst du nur die Seiten aus welche auch im DNS des Linux Server als 127.0.0.1 eingetragen sind, seiten wie Google o.ae. funktionieren aber noch.
Eine weitaus kompliziertere Moeglichkeit waere eine Firewall mit Content-Checking auf dem Linux Server aufzusetzen. Diese bricht dann in der Regel sogar HTTPS auf, prueft den Inhalt nach gewissen, vorgegebenen Kriterien und entscheidet ob der Request durch darf oder nicht. Bestes Beispiel: The Great FireWall of China.