Hallo zusammen
Ich muss in einer Schule einen Server installieren
http://www.tux-networks.ch/wp-content/uploads/netz.gif
Der Server muss volgende aufgaben erfüllen:
SCHÜLER:
-Können im Internet surfen über die PROXY
-Haben Zugang auf den SAMBA Server
-Haben keinen Zugang auf den SAMBA Server der Lehrer
-Haben keinen Zugang auf die Lehrer Rechner
LEHRER:
-Können im Internet surfen über die PROXY
-Haben Zugang auf beide SAMBA Server
-Haben Zugang auf Schüler Rechner
Ich bitte euch um Tipps und Anregungen um diesen Server zu realisieren
FRAGEN:
-Welchen PROXY nehmen?
-Wie realisieren ich die Firewall?
Danke an alle die zu Helfen bereit sind
gruss Dragan
EDIT (feltel): Bild aus dem Posting rausgenommen und verlinkt, da es zu groß ist.
Schul-Netzwerk Firewall Regelsatz
Schul-Netzwerk Firewall Regelsatz
Zuletzt geändert von drabo am 09.03.2005 10:49:52, insgesamt 1-mal geändert.
-
claudiameierde
- Beiträge: 245
- Registriert: 04.03.2005 09:26:47
Als Proxy nimmt man squid!
In der FW (iptables) machst du erstmal alle nicht benötigten Ports dicht. Die restlichen Dienste lässt du über den Proxy laufen.
Zur Zeit sieht es ja so ais das die Schüler problemlos ins I-Net kommen da sie im selben Netz wie der Router sind.
Die Lehrer haben ihr eigenes Subnetz, da trägst du den Schüler-Samba als Default-Router ein. Dann kommen die Lehrer vom Schüler-Samba in alle Netze. Auch in das der Schüler.
In der FW (iptables) machst du erstmal alle nicht benötigten Ports dicht. Die restlichen Dienste lässt du über den Proxy laufen.
Zur Zeit sieht es ja so ais das die Schüler problemlos ins I-Net kommen da sie im selben Netz wie der Router sind.
Die Lehrer haben ihr eigenes Subnetz, da trägst du den Schüler-Samba als Default-Router ein. Dann kommen die Lehrer vom Schüler-Samba in alle Netze. Auch in das der Schüler.
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it
"
Falls du Hilfe bei der Firewall brauchst. Hab hier zwei (für client und router) mit Erklärungen: (halt im rahmen eines howtos)
Für einen Router (mit DSL Anschluss)
https://knecht.homelinux.net/phpBB2/vie ... t=firewall
Für einen Clientrechner im Netz
https://knecht.homelinux.net/phpBB2/vie ... t=firewall
gruss
Sebastian
Für einen Router (mit DSL Anschluss)
https://knecht.homelinux.net/phpBB2/vie ... t=firewall
Für einen Clientrechner im Netz
https://knecht.homelinux.net/phpBB2/vie ... t=firewall
gruss
Sebastian
_________________________________________________
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Netzwerk vereinfacht
Hallo
Ich habe das Netzwerk jetzt detailiert aufgezeichnet und verändert. Jetzt sind alle Rechner im gleichen Subnetz 192.168.0.0
http://www.tux-networks.ch/wp-content/uploads/netz.gif
Ich denke das diese Lösung einfach zu realisieren ist.
Im Prinzip muss ich jetzt die IPTABLES so konfigurieren wie für einen Router mit Firewall oder?
So das die blauen Rechner nicht auf die orangen zugreifen können aber die orangen haben vollen Zugriff auf alle Funktionen.
Danke im voraus für euere Anregungen oder Anleitungen.
Gruss Dragan
Ich habe das Netzwerk jetzt detailiert aufgezeichnet und verändert. Jetzt sind alle Rechner im gleichen Subnetz 192.168.0.0
http://www.tux-networks.ch/wp-content/uploads/netz.gif
Ich denke das diese Lösung einfach zu realisieren ist.
Im Prinzip muss ich jetzt die IPTABLES so konfigurieren wie für einen Router mit Firewall oder?
So das die blauen Rechner nicht auf die orangen zugreifen können aber die orangen haben vollen Zugriff auf alle Funktionen.
Danke im voraus für euere Anregungen oder Anleitungen.
Gruss Dragan
Der Aufbau an sich ich gut so denke ich!
Die einzigen Rechner die einen Dienst stellen (auf den man dann auch Zugreifen kann) sind ja der Server mit Samba/Squid und der Internetreouter. Solange die orangen Computer keine Server stellen kann auch niemand darauf zugreifen . . .
Wenn du trotzdem zwischen den beiden Netzen einen Keil haben willst, dann kannst du ja zwei Subnetze machen.
z.B 192.168.10.x für die orangen
und 192.168.20.x für die blauen Computer. Der Server mit den Samba/Squid Diensten kann dann über zwei getrennte Netzwerkkarten (mit jeweils einer IP der beiden Subnetze) oder auch nur einer Netzwerkkarte und virtuellen Netzwerkaddressen die Dienste zur Verfügung stellen. Wenn du dann auf ihm noch die Routen so einrichtest, das Anfragen von 192.168.10.x an 20.x weitergeleitet werden sollen, aber nicht umgekehrt, hat kein Schüler mehr die Möglichkeit einen Rechner im Rektorat zu Hacken^^.
Zur Routing zwischen Subnetzen mit einer Netzwerkkarte mal ein Link:
http://www.neoberserker.de/phpBB2/viewtopic.php?t=362 (für zwei karten hab ich kein howto gemacht)
Wenn du eine Netzwerkkarte daran hast, reicht das firewall.client script wie es ist.
Die einzigen Rechner die einen Dienst stellen (auf den man dann auch Zugreifen kann) sind ja der Server mit Samba/Squid und der Internetreouter. Solange die orangen Computer keine Server stellen kann auch niemand darauf zugreifen . . .
Wenn du trotzdem zwischen den beiden Netzen einen Keil haben willst, dann kannst du ja zwei Subnetze machen.
z.B 192.168.10.x für die orangen
und 192.168.20.x für die blauen Computer. Der Server mit den Samba/Squid Diensten kann dann über zwei getrennte Netzwerkkarten (mit jeweils einer IP der beiden Subnetze) oder auch nur einer Netzwerkkarte und virtuellen Netzwerkaddressen die Dienste zur Verfügung stellen. Wenn du dann auf ihm noch die Routen so einrichtest, das Anfragen von 192.168.10.x an 20.x weitergeleitet werden sollen, aber nicht umgekehrt, hat kein Schüler mehr die Möglichkeit einen Rechner im Rektorat zu Hacken^^.
Zur Routing zwischen Subnetzen mit einer Netzwerkkarte mal ein Link:
http://www.neoberserker.de/phpBB2/viewtopic.php?t=362 (für zwei karten hab ich kein howto gemacht)
Auf dem Sarge Rechner brauchst du eigendlich keine Firewall wie für einen Router, weil du kein FORWARDING brauchst. Du musst ihm erstmal die Routen für die Subnetze machen, das jeder wie er soll jeden abpingen kann. In dem Fall müßtest du die Regeln meines firewall.client Scriptes im "start" Bereich nochmal dort reinkopieren, und die Variable für das Interface ändern.im Prinzip muss ich jetzt die IPTABLES so konfigurieren wie für einen Router mit Firewall oder?
Wenn du eine Netzwerkkarte daran hast, reicht das firewall.client script wie es ist.
_________________________________________________
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Hallo Knecht
Meinst du folgendes
eth0 -> 192.168.10.x (blaue Rechner)
eth1 -> 192.168.20.x (orange Rechner)
2. Kernelunterstützung für FORWARDING einschalten:
Code:
echo "1" > /proc/sys/net/ipv4/ip_forward
3. Packetfilterregel erstellen, die Packete über NAT weiterleitet:
Code:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
und dann eine standard Regel erstellen welche alle Anfragen an eth0 blockiert und nur zugang auf squid und samba durchlässt?
??????
Meinst du folgendes
eth0 -> 192.168.10.x (blaue Rechner)
eth1 -> 192.168.20.x (orange Rechner)
2. Kernelunterstützung für FORWARDING einschalten:
Code:
echo "1" > /proc/sys/net/ipv4/ip_forward
3. Packetfilterregel erstellen, die Packete über NAT weiterleitet:
Code:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
und dann eine standard Regel erstellen welche alle Anfragen an eth0 blockiert und nur zugang auf squid und samba durchlässt?
??????
So meine ich das, genau !
dann ist alles was du wolltest erfüllt . . .
Dann muß auf allen Rechnern die IP des Internetrouters (z.B. 192.168.10.1) als Gateway eintragen.
Die Rechner im 192.168.20.x Netz können diese IP über den Sarge PC dann auch problemlos erreichen, andersherum besteht keine Chance . . . und alles ist so wie es soll.
dann ist alles was du wolltest erfüllt . . .
Dann muß auf allen Rechnern die IP des Internetrouters (z.B. 192.168.10.1) als Gateway eintragen.
Die Rechner im 192.168.20.x Netz können diese IP über den Sarge PC dann auch problemlos erreichen, andersherum besteht keine Chance . . . und alles ist so wie es soll.
_________________________________________________
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
schreib ob es was geworden ist !
_________________________________________________
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
alles wunderbar
Hallo
Hat alles wunderbar geklappt, ich habe heute den vorhandenen SuSe Server durch meinen Debian Server ersetzt, hat alles auf Anhib geklappt
alles aktuell, sicher, einfach cool
Danke nochmals an alle die geholfen haben und ganz besonders dir knecht habs genau so gemacht wie du es mir empfohlen hast.
Als nächstes code ich ein mini Web Interface über welches die Lehrer ganz einfach neue User anlegen und Freigaben erstellen können. Brauche vielleicht wieder Hilfe
Hat alles wunderbar geklappt, ich habe heute den vorhandenen SuSe Server durch meinen Debian Server ersetzt, hat alles auf Anhib geklappt
alles aktuell, sicher, einfach cool Danke nochmals an alle die geholfen haben und ganz besonders dir knecht
habs genau so gemacht wie du es mir empfohlen hast.Als nächstes code ich ein mini Web Interface über welches die Lehrer ganz einfach neue User anlegen und Freigaben erstellen können. Brauche vielleicht wieder Hilfe
danke, danke 
schön zu hören das alles geht wie es soll !! Glückwunsch
ich hab auch ein howto über scripting Grundlagen gemacht, könnte ja ganz hilfreich für dich sein:
http://www.neoberserker.de/phpBB2/viewtopic.php?t=305
Schau einfach mal durch den LinuxStuf Bereich des Forums meines Servers:
http://forum.neoberserker.de
Ansonsten hast du ja hier noch das beste Forum der Welt
(was ich alles hier gelernt habe !!)
schön zu hören das alles geht wie es soll !! Glückwunsch
ich hab auch ein howto über scripting Grundlagen gemacht, könnte ja ganz hilfreich für dich sein:
http://www.neoberserker.de/phpBB2/viewtopic.php?t=305
Schau einfach mal durch den LinuxStuf Bereich des Forums meines Servers:
http://forum.neoberserker.de
Ansonsten hast du ja hier noch das beste Forum der Welt
(was ich alles hier gelernt habe !!)_________________________________________________
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
@knecht: Deine Anleitungen sind ja richtig interessant. Warum setzt Du sie nicht in ein Wiki? Das ist doch einfacher zu erweitern, oder?
Ich habe vor Ewigkeiten eine recht umfangreiche Firewall für ipchains erstellt. Auf dem Server läuft noch Woody mit 2.2.x Kernel. Was mir nicht "gefällt", ist der Wechsel des "Frontends", wenn man Diese direkt verwendet. Ich hätte wahrscheinlich schon auf dem 2.4er Kernel aktualisiert, wenn ich nicht die Firewall umstellen müßte.
Aus dem Grund die Frage, warum man nicht besser firewalls wie shorewall empfiehlt. Da ist die Abstraktion des Kernels schon drinnen, und man kann isch auf das wesentliche beschränken.
Hat jemand mit shorewall Erfahrungen?
Ich habe vor Ewigkeiten eine recht umfangreiche Firewall für ipchains erstellt. Auf dem Server läuft noch Woody mit 2.2.x Kernel. Was mir nicht "gefällt", ist der Wechsel des "Frontends", wenn man Diese direkt verwendet. Ich hätte wahrscheinlich schon auf dem 2.4er Kernel aktualisiert, wenn ich nicht die Firewall umstellen müßte.
Aus dem Grund die Frage, warum man nicht besser firewalls wie shorewall empfiehlt. Da ist die Abstraktion des Kernels schon drinnen, und man kann isch auf das wesentliche beschränken.
Hat jemand mit shorewall Erfahrungen?
Vielen Dank, das hört man gerneDeine Anleitungen sind ja richtig interessant. Warum setzt Du sie nicht in ein Wiki? Das ist doch einfacher zu erweitern, oder?
(WIKI) Hab ich auch schon drüber nachgedacht, aber dann müßte ich alles erst ins Wiki umsetzen. Im Forum war das halt schnell und unkompliziert aufbaubar. Mal sehen
Mit shorewall hab ich keine Erfahrungen . . .
_________________________________________________
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de
Linux HowTo's, Programmierung, Wallpapers und 3D:
http://www.neoBerserker.de