Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Webseiten im Intranet verbieten
5 views
Skip to first unread message
Bernd Hohmann
Sep 29, 2012, 2:55:54 PM9/29/12
to
Betreff sagt schon alles.
Die Idee war, dass ich einen Rechner mit 2 Ethernetports vor den Router
klemme, das via DNS als Gateway propagiere und dort Squid mit einer
entsprechenden Filterliste als transparenten Proxy laufen lasse.
Bin aber daran gescheitert, dass ich das nicht "multiport-fähig"
bekomme. Das Problem ist nämlich, dass die erlaubten Webseiten teilweise
auf Ports laufen die nie ein Admin zuvor gesehen hat.
Gibts sowas nicht schon fertig? Das Problem sollte eigentlich häufiger
vorkommen.
Bernd
Die Idee war, dass ich einen Rechner mit 2 Ethernetports vor den Router
klemme, das via DNS als Gateway propagiere und dort Squid mit einer
entsprechenden Filterliste als transparenten Proxy laufen lasse.
Bin aber daran gescheitert, dass ich das nicht "multiport-fähig"
bekomme. Das Problem ist nämlich, dass die erlaubten Webseiten teilweise
auf Ports laufen die nie ein Admin zuvor gesehen hat.
Gibts sowas nicht schon fertig? Das Problem sollte eigentlich häufiger
vorkommen.
Bernd
Tim Ritberg
Sep 29, 2012, 3:47:14 PM9/29/12
to
Am 29.09.2012 20:55, schrieb Bernd Hohmann:
> Betreff sagt schon alles.
>
> Die Idee war, dass ich einen Rechner mit 2 Ethernetports vor den Router
> klemme, das via DNS als Gateway propagiere und dort Squid mit einer
> entsprechenden Filterliste als transparenten Proxy laufen lasse.
>
> Bin aber daran gescheitert, dass ich das nicht "multiport-fï¿œhig"
> Betreff sagt schon alles.
>
> Die Idee war, dass ich einen Rechner mit 2 Ethernetports vor den Router
> klemme, das via DNS als Gateway propagiere und dort Squid mit einer
> entsprechenden Filterliste als transparenten Proxy laufen lasse.
>
> bekomme. Das Problem ist nï¿œmlich, dass die erlaubten Webseiten teilweise
> auf Ports laufen die nie ein Admin zuvor gesehen hat.
>
> Gibts sowas nicht schon fertig? Das Problem sollte eigentlich hï¿œufiger
>
> vorkommen.
>
> Bernd
>
Versteh ich das richtig:
Mitarbeiter->Router->Intranetseiten auf Port 81/82/83?
Und die Admins kennen diese Config nicht?
Bernd Hohmann
Sep 29, 2012, 6:04:28 PM9/29/12
to
On 29.09.2012 21:47, Tim Ritberg wrote:
> Versteh ich das richtig:
Leider nein.
> Mitarbeiter->Router->Intranetseiten auf Port 81/82/83?
Intranet: lokales Netzwerk und unter Umständen noch mit einem Bein im
Netzwerk des Konzerns - dann noch zugemischt das normale Internet.
Man muss das mal gesehen haben, dreimal Headbanger machen und sich
danach auf die Suche nach einer Lösung zu machen.
Pseudocode-Mässig würde die Lösung etwa so aussehen:
deny: *
allow: localhost:*
allow: 192.168.15.*:* // lokales netz
allow: jeder Hostname, der nach 10.0.128.*:* auflöst
allow: *.autohersteller.tld:*
allow: www.kupplungenbillig.tld/*:*
allow: partnerbank.anbieter.tld/:4711
usw.
Problem ist halt, dass die Zielseiten nicht immer auf Port 80 lauschen,
daher scheint Squid etas Probleme zu machen.
Bernd
> Versteh ich das richtig:
Leider nein.
> Mitarbeiter->Router->Intranetseiten auf Port 81/82/83?
Netzwerk des Konzerns - dann noch zugemischt das normale Internet.
Man muss das mal gesehen haben, dreimal Headbanger machen und sich
danach auf die Suche nach einer Lösung zu machen.
Pseudocode-Mässig würde die Lösung etwa so aussehen:
deny: *
allow: localhost:*
allow: 192.168.15.*:* // lokales netz
allow: jeder Hostname, der nach 10.0.128.*:* auflöst
allow: *.autohersteller.tld:*
allow: www.kupplungenbillig.tld/*:*
allow: partnerbank.anbieter.tld/:4711
usw.
Problem ist halt, dass die Zielseiten nicht immer auf Port 80 lauschen,
daher scheint Squid etas Probleme zu machen.
Bernd
Detlef Bosau
Sep 29, 2012, 7:08:04 PM9/29/12
to
Kommt im weiblichen Teil Deiner Familie auch noch ein anderer Vorname
als Ursula vor?
Du kannst ja mal bei den Überresten der Firmen nachfragen, die nämlicher
ihren Filterscheiß liefertn wollten.
Vielleicht freuen die sich ja, daß es doch noch einen zahlenden Abnehmer
gibt.
als Ursula vor?
Du kannst ja mal bei den Überresten der Firmen nachfragen, die nämlicher
ihren Filterscheiß liefertn wollten.
Vielleicht freuen die sich ja, daß es doch noch einen zahlenden Abnehmer
gibt.
Juergen P. Meier
Sep 30, 2012, 2:24:41 AM9/30/12
to
Bernd Hohmann <bernd.hohma...@freihaendler.com>:
> vorkommen.
"Web" bekommst du mit Whitelist-Approach nicht hin. Geht nicht. Keine
Chance. Es gibt dafuer zu viele Vollidioten auf der Welt.
Du solltest Blacklisting (squid Default) betreiben, also gezielt nur die
Ports blockieren, die niemand auf dieser Welt fuer HTTP verwendet (der
es nicht verdient hat, gefiltert zu werden).
Aussrdem sollte dein Proxy jeden Zugriff auf sich selbst blockieren,
und zwar per IP-Addressblacklist, sonst reicht https://null.jors.net:$PORT/
um lokal auf ansonsten von aussen nicht erreichbare Ports des Proxies
zu erreichen.
> klemme, das via DNS als Gateway propagiere und dort Squid mit einer
> entsprechenden Filterliste als transparenten Proxy laufen lasse.
>
> entsprechenden Filterliste als transparenten Proxy laufen lasse.
>
> Bin aber daran gescheitert, dass ich das nicht "multiport-fï¿œhig"
> bekomme. Das Problem ist nï¿œmlich, dass die erlaubten Webseiten teilweise
> auf Ports laufen die nie ein Admin zuvor gesehen hat.
>
> Gibts sowas nicht schon fertig? Das Problem sollte eigentlich hï¿œufiger
>
> vorkommen.
"Web" bekommst du mit Whitelist-Approach nicht hin. Geht nicht. Keine
Chance. Es gibt dafuer zu viele Vollidioten auf der Welt.
Du solltest Blacklisting (squid Default) betreiben, also gezielt nur die
Ports blockieren, die niemand auf dieser Welt fuer HTTP verwendet (der
es nicht verdient hat, gefiltert zu werden).
Aussrdem sollte dein Proxy jeden Zugriff auf sich selbst blockieren,
und zwar per IP-Addressblacklist, sonst reicht https://null.jors.net:$PORT/
um lokal auf ansonsten von aussen nicht erreichbare Ports des Proxies
zu erreichen.
Bernd Hohmann
Sep 30, 2012, 5:23:04 AM9/30/12
to
On 30.09.2012 08:24, Juergen P. Meier wrote:
> Du solltest Blacklisting (squid Default) betreiben, also gezielt nur die
> Ports blockieren, die niemand auf dieser Welt fuer HTTP verwendet (der
> es nicht verdient hat, gefiltert zu werden).
Ok, die gängigen Sachen wie Facebook, Youtube etc.. hat man schnell in
> Du solltest Blacklisting (squid Default) betreiben, also gezielt nur die
> Ports blockieren, die niemand auf dieser Welt fuer HTTP verwendet (der
> es nicht verdient hat, gefiltert zu werden).
der Blacklist - aber Anwender sind erfinderisch.
Bauchschmerzen bereiten mir eher diese ganzen Servletanwendungen (B2B
Frontends) welche oft auf Ports > 255 laufen und natürlich BYOD.
Bernd
Tim Ritberg
Sep 30, 2012, 6:35:48 AM9/30/12
to
Am 30.09.2012 11:23, schrieb Bernd Hohmann:
>
> Bauchschmerzen bereiten mir eher diese ganzen Servletanwendungen (B2B
> Frontends) welche oft auf Ports > 255 laufen und natürlich BYOD.
>
BYOD mal ganz frech in einem eigenen DHCP-Pool einfangen. Also alles,
>
> Bauchschmerzen bereiten mir eher diese ganzen Servletanwendungen (B2B
> Frontends) welche oft auf Ports > 255 laufen und natürlich BYOD.
>
was der DHCP-Server nicht kennt, ist suspekt und wird "weggeparkt".
Friedemann Stoyan
Sep 30, 2012, 8:49:53 AM9/30/12
to
mitbringen kann, dann ist auch schnell etwas wie: http://heise.de/-1412967
etabliert und der Drops ist gelutscht.
mfg Friedemann
Bernd Hohmann
Sep 30, 2012, 9:23:18 AM9/30/12
to
On 30.09.2012 14:49, Friedemann Stoyan wrote:
> Vergiss es. Du kannst nicht gewinnen. Wenn ich schon mein eigenes Device
> mitbringen kann, dann ist auch schnell etwas wie: http://heise.de/-1412967
> etabliert und der Drops ist gelutscht.
Ich sehe es eher als eine Art "Kindersicherung". Gegen Leute mit etwas
> Vergiss es. Du kannst nicht gewinnen. Wenn ich schon mein eigenes Device
> mitbringen kann, dann ist auch schnell etwas wie: http://heise.de/-1412967
> etabliert und der Drops ist gelutscht.
Anspruch braucht man an dieser Stelle nicht vorzugehen, die wissen
selber dass man sich von bestimmten Kram fernhalten soll.
Bernd
Message has been deleted
Message has been deleted
0 new messages