Re: Proxyalternative gesucht
Frank Becker <computersachen@beckerwelt.de> schrieb:
> Ich möchte für die erwachsenen Familienmitglieder einen voll
> funktionsfähigen Internetzugang haben, während die jüngeren (8 und 12
> Jahre) nicht alles im Internet sehen sollen. Zudem soll der Proxy ja
> nicht umgangen werden können, weshalb ich einen transparenten Proxy
> eingerichtet habe.
Ob das eine lohnenswerte Sache ist und den Aufwand rechtfertigt?
> Bei meinen Versuchen, eine Authentifizierung einzubauen stellte ich
> fest, dass sich Transparenz und Authentifizierung ausschließen.
Transparenter Proxy und https beißt sich auch.
> Gibt es eine Alternative zu Squid, mit der ich einen transparenten Proxy
> mit Authentifizierung einrichten kann?
>
> Oder ist diese Einschränkung genereller Natur?
Ich habe in der Firma einen squid mit ntlm_auth gegen ein MS Active
Directory laufen. Nur Mitglieder der Gruppe "Internet" können -
automatisch und ohne separates Login - im Internet surfen; der Rest
kommt nur an Whitelist-Seiten und interne Websites dran.
Damit https funktioniert, darf man keinen transparenten Proxy einsetzen,
sondern muss den Webbrowser irgendwie dazu bewegen, den Proxy
automatisch für die gewünschten Protokolle http, https und ftp zu
verwenden. Dazu gibt es "WPAD", was über DNS und/oder DHCP (bei Windows/IE)
funktioniert.
Du gibst deinem Proxy über DNS einen weiteren Namen (alias) namens
"wpad", lässt dort noch einen kleinen httpd laufen, der eine Datei
namens "wpad.dat" bereitstellt, in der die benötigten Einstellungen für
den Webbrowser bzgl. Proxyverwendung (und Ausnahmen) drin stehen.
Dann Internetzugriff für das LAN sperren, ausgenommen des Proxy.
Im Webbrowser einstellen "automatische Suche der Interneteinstellungen",
bei Linux/MacOS einstellen: URL für die autom. Einstellung:
http://wpad.netzwerk.local/wpad.dat (anstelle von wpad. kann da auch
proxy. stehen, "wpad" ist ja nur ein Alias für "proxy").
Bei Windows-Kisten kann man diese Einstellung über Gruppenrichtlinien
vorgeben. Bei Laptops tut diese Einstellung nicht wirklich weh, wenn die
mal woanders im Netz sind - wenn es keinen WPAD Host gibt, dauert der
erste Internetseitenaufruf halt etwas länger.
Im DHCP gibt es eine Option für WPAD, das kann man bei google nachlesen.
Alles weitere - wer was wann ansurfen darf - ist dann im squid
konfigurierbar.
Bitte beachten, dass die logfiles auch den Benutzernamen sowie den PC
Namen konfigurieren können, und dass man dementsprechend aufpassen
sollte, dass tools, die die access.log auswerten und per http zugänglich
machen, einen Passwortschutz haben!
Am einfachsten dürfe es sein, einfach nur den squid einzusetzen, dass zu
kommunizieren und gleich die Logfiles im Browser zu zeigen...
Der Nachwuchs soll dann selbst überlegen, welche Seiten es wert sind,
einen Eintrag im Logfile zu haben...
Im Übrigen bin ich der Meinung, dass Erwachsene fairerweise genauso
protokolliert werden sollten bzgl. Ihrer Internetnutzung.
Dann lieber die Internetnutzung zeitlich beschränken, damit sind sicher
viele technische Probleme direkt und ohne Kolateral-Schaden gelöst.
mfg.,
-ds-
Reply to: