Re: network restrictions

To: Andre Roth <lynx@netlabs.org>
Cc: user@skolelinux.de
Subject: Re: network restrictions
From: Andreas Schuldei <andreas@schuldei.org>
Date: Tue, 27 Jul 2004 15:32:29 +0200
Message-id: <[🔎] 20040727133225.GB9783@lukas.schuldei.com>
In-reply-to: <[🔎] 20040727114956.7e453a81@lynix>
References: <[🔎] 20040727114956.7e453a81@lynix>

* Andre Roth (lynx@netlabs.org) [040727 11:51]:
> ich habe am linuxtag mit ein paar leuten über die möglichkeiten
> gesprochen, netzwerkdienste auf userbasis einzuschränken. ein
> solches feature würde zum beispiel erlauben, das surfen für
> einen user zu sperren.

das ist einer der kleineren jobs die ich in der auf der
debian-edu@lists.debian.org mailingliste veröffentlicht habe.
wenn du was programmieren/entwickeln möchtest trage dich doch
bitte da ein und schau vielleicht sogar (sehr hilfreich!) im
#debian-edu irc-channel auf irc.debian.org vorbei.

> meine idee war, dies mittels iptables
> dem owner match zu realisieren.

Meine idee was, das ldap interface von squid zu benutzen um
per-user und per-group die zugriffsrechte von leuten recht fein
aufgelöst zu erfahren und einschränken zu können. so darf der
schüler unter 12 z.b. nur glücksspiel seiten anschauen,
Abiturient darf sogar pornoseiten ansurfen und alle leerer dürfen
sogar die homepage der bundesregierung aufrufen. oder so ähnlich.

> ich hoffe ich gehe richtig in
> der annahme, dass alle user prozesse (zb. webbrowser) auf dem
> tjener laufen. 

userprozesse können auf tjenere, workstations, eingebunden
notebooks und terminalservern laufen.

> man könnte also folgendes tun: - eine neue netfilter table
> erstellen, zb. access - in der output chain, alles in diese
> table schicken - die access table kann von webmin aus gesteuert
> werden, zb. user hinzufügen und gewisse ports verbieten, ev.
> timebasiert, damit die regeln nach ein paar tagen automatisch
> wieder entfernt werden.  - die regeln in der table prüfen die
> ausgehenden packete auf eine uid und droppen die packete wenn
> eine übereinstimmt. 

um eine feine (oben beschriebene) begrenzung mit verschiedenen
policys zu verwirklichen musst du da jede menge filtern. das ist
glaube ich nur schwer machbar.

> ich hoffe ihr könnt damit was anfangen. wenn ich einen pointer
> kriege, wo man mit webmin module schreiben für skolelinux
> anfängt, kann ich ja mal sehen ob ich zeit finde um was zu
> machen.

Meine Idee war, dass das Webmin-LDAP-user-simple (WLUS) modul um
ein solches feature erweitert werden sollte. wlus findest du im
skolelinux cvs.

http://www.skolelinux.org/de/contribute/development/cvs_intro
http://developer.skolelinux.no/cvsusage.html.de

frage mich wenn du irgendwelche fragen zu wlus hast. ich habe das
bestehende zeug geschrieben.

Reply to:

Follow-Ups:
- Re: network restrictions
  - From: Andre Roth <lynx@netlabs.org>

References:
- network restrictions
  - From: Andre Roth <lynx@netlabs.org>

Prev by Date: Re: network restrictions
Next by Date: Updatepolitik
Previous by thread: Re: network restrictions
Next by thread: Re: network restrictions
Index(es):
- Date
- Thread