Allg. Proxyzugang erzwingen
- Ersteller Tante Emma
- Erstellt am
Tante Emma
Grand Admiral Special
Ein Bekannter möchte in einem kleinem Verein, der sich mit Kids beschäftigt in einem Raum mehrere PCs (so um die 7-8 Stück) als Surfstationen einrichten und hat mich ein wenig um Hilfe gebeten.
Mein Vorschlag:
Switch-PCs, kl. Server und Fritzbox und einen Server mit Proxy drauf, damit man schön alles protokollieren kann, was die Kids so im Internet treiben.
Nur wie kann man auf allen PCs (wohl gemischt ab XP bis windows 8 die Proxyeinstellungen erzwingen?
Jedes Kind kann in den Sicherheitseinstellungen ja die Proxykonfiguration abschalten und surft dann direkt über die Fritzbox.
Meine Idee wäre, die Fritzbox eine IP Adresse aus einem anderen Bereich zu geben und diese nicht an den Switch zu hängen, sondern zweite LAN Karte an den Server und dort die Fritzbox dran.
So kann max. der Server direkt über die Box ins Internet, aber die anderen Kids PCs kommen ja hardwaremäßig keine Verbindung zur Fritzbox und müssen dann logischerweise über den Proxy auf dem Server gehen.
Gibt es vieleicht noch eine bessere Lösung?
optimal ist diese nicht, da auch viele andere Geräte (TV, Spielekonsole, Smartphone etc. genutzt werden, wo nicht sicher ist, das man diese für einen Proxyzugriff konfigurieren kann. Da die Box dann ja aus dem Lan nicht mehr erreichbar ist, könnten diese Geräte nämlich nicht notfalls via Lan über die Box direkt ins Internet und wären somit ausgeschlossen.
Sicher, man könnte in der Fritztbox für jede MAC Regeln anlegen, aber da ständig Geräte wechseln ist das fast ein Fulltimejob. Es soll sowas sein wie hinstellen, konfigurieren, läuft - sein...
Mein Vorschlag:
Switch-PCs, kl. Server und Fritzbox und einen Server mit Proxy drauf, damit man schön alles protokollieren kann, was die Kids so im Internet treiben.
Nur wie kann man auf allen PCs (wohl gemischt ab XP bis windows 8 die Proxyeinstellungen erzwingen?
Jedes Kind kann in den Sicherheitseinstellungen ja die Proxykonfiguration abschalten und surft dann direkt über die Fritzbox.
Meine Idee wäre, die Fritzbox eine IP Adresse aus einem anderen Bereich zu geben und diese nicht an den Switch zu hängen, sondern zweite LAN Karte an den Server und dort die Fritzbox dran.
So kann max. der Server direkt über die Box ins Internet, aber die anderen Kids PCs kommen ja hardwaremäßig keine Verbindung zur Fritzbox und müssen dann logischerweise über den Proxy auf dem Server gehen.
Gibt es vieleicht noch eine bessere Lösung?
optimal ist diese nicht, da auch viele andere Geräte (TV, Spielekonsole, Smartphone etc. genutzt werden, wo nicht sicher ist, das man diese für einen Proxyzugriff konfigurieren kann. Da die Box dann ja aus dem Lan nicht mehr erreichbar ist, könnten diese Geräte nämlich nicht notfalls via Lan über die Box direkt ins Internet und wären somit ausgeschlossen.
Sicher, man könnte in der Fritztbox für jede MAC Regeln anlegen, aber da ständig Geräte wechseln ist das fast ein Fulltimejob. Es soll sowas sein wie hinstellen, konfigurieren, läuft - sein...
boidsen
Grand Admiral Special
Du musst anstatt eines normalen NAT-Routers, wie hier die Fritzbox, einen Router einsetzen, der selbst der Proxy ist, bis auf evtl. MAC-basierte Ausnahmeregeln für Server oder Master-PCs jegliche direkte Verbindung aus dem LAN ins Internet sperrt und auf dem die Verbindungen kontrolliert und protokolliert werden. So sind unauthorisierte Umkonfigurationen auf den Clients unwirksam und führen höchstens zur Nichterreichbarkeit des Internets auf selbigen. Für den kostengünstigen Selbstbau bietet sich hier z.B. IPFire an https://de.wikipedia.org/wiki/IPFire.
Zuletzt bearbeitet:
Tante Emma
Grand Admiral Special
Danlke, aber der Mann ist ein Windows Mann und macht das nebenher. Sich da in Linux einzuarbeiten und dann noch komplizierte Netz und Filterwerkregeln zu erstellen, damit ist er hoffnungslos überfordert und dann bräuchte man dafür noch eine Kiste extra, die gewartet werden müsste. Das wird nichts... Das musss einfach sein und für einen normalen User bedien und administrierbar... 
boidsen
Grand Admiral Special
IPFire erfordert keine speziellen Linuxkenntnisse, solides Wissen über die Konfiguration von Netzwerken hingegen schon. Aber das muss der Mann für die Erfüllung der von dir gestellten Aufgabe, unabhängig von der eingesetzten Hard- und Software, sowieso mitbringen!
Und du hättest auch keine "Kiste extra", sondern eher eine weniger, da IPFire nicht nur als Router und als Proxy fungiert, sondern auch gleich noch als Server.
Ansosnten bliebe nur die Alternative, eine professionelle Hardware-Firewall zu kaufen. Dies dürfte jedoch deinen Kostenrahmen erheblich übersteigen und außerdem ist deren Administration mit Sicherheit nicht einfacher, als die von IPFire...
Edit: Je nach Fritzbox kannst du evtl. deren Kindersicherung einsetzen und so einrichten, dass das Standardprofil deinen Wünschen entsprechend eingeschränkt ist. Besonders schwer auszuhebeln ist diese Lösung aber nicht...
Und du hättest auch keine "Kiste extra", sondern eher eine weniger, da IPFire nicht nur als Router und als Proxy fungiert, sondern auch gleich noch als Server.
Ansosnten bliebe nur die Alternative, eine professionelle Hardware-Firewall zu kaufen. Dies dürfte jedoch deinen Kostenrahmen erheblich übersteigen und außerdem ist deren Administration mit Sicherheit nicht einfacher, als die von IPFire...
Edit: Je nach Fritzbox kannst du evtl. deren Kindersicherung einsetzen und so einrichten, dass das Standardprofil deinen Wünschen entsprechend eingeschränkt ist. Besonders schwer auszuhebeln ist diese Lösung aber nicht...
Zuletzt bearbeitet:
BoMbY
Grand Admiral Special
Du brauchst normalerweise so etwas wie einen Transparent Proxy. Das kann man z.B. mit Squid und einem BSD basierten Router machen. Mit pfSense sollte es zum Beispiel auch gut gehen.
Edit: siehe zum Beispiel: https://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy
pfSense kannst Du auch generell als DSL-Router anstelle der FB einsetzen, das kann DSL-Modems per PPPoE direkt ansprechen. Natürlich sollte man dann auch alle anderen Ports sperren, etc.
Edit: siehe zum Beispiel: https://doc.pfsense.org/index.php/Setup_Squid_as_a_Transparent_Proxy
pfSense kannst Du auch generell als DSL-Router anstelle der FB einsetzen, das kann DSL-Modems per PPPoE direkt ansprechen. Natürlich sollte man dann auch alle anderen Ports sperren, etc.
Zuletzt bearbeitet:
Tante Emma
Grand Admiral Special
Die Fritzbox und nen Proxy würde ich ihm einrichten. DAS wäre nicht das Problem. Bei den ganzen Unixkram muss ich aber auch kapitulieren und der Betreuer erst recht, der gerade einmal rudimentäre Windowskenntnisse hat.
Woodstock
Grand Admiral Special
Muß da zwingend eine Fritzbox genommen werden?
Warum nicht einfach ein reines DSL/Kabelmodem nehmen, dahinter den Proxy und dahinter den Switch an dem die PCs hängen?
Das wäre zumindest mein Ansatz.
Warum nicht einfach ein reines DSL/Kabelmodem nehmen, dahinter den Proxy und dahinter den Switch an dem die PCs hängen?
Das wäre zumindest mein Ansatz.
Tante Emma
Grand Admiral Special
Die Fritzbox ist schon da und mit dem Provider verheiratet (Routerzwand KD Deutschland)
Woodstock
Grand Admiral Special
Mal von der Proxyproblematik abgesehen. Den XP Kisten sollten gar kein Zugang zum Internet gewährt werden.
Dann bau den Proxy so das er 2 Netzwerkarten hat. Karte 1 hat Verbindung zur Fritzbox, die andere zum Switch. Die Fritzbox konfigurierst Du so das nur die MAC Adresse von Karte 1 aus dem Proxy Zugang zum Internet hat. Und bei den Rechnern gibst Du dann die IP der 2. Karte als Proxyadresse an. Bei Smartphones kann man einen Proxy eingeben. Beim Fernseher und den Spielkonsolen mußt du dann eben nachschauen. Dann mußt Du "nur" noch den Proxy entsprechend konfigurieren. Ganz ohne "Arbeit" wird es nicht gehen. Egal ob Du einen fertige Lösung kaufst oder selber was bauen willst. Und sicher soll es ja auch sein. Nicht das da einer auf die Idee kommt und sich irgendwo Filme etc. etc. runterlädt und dein Bekannter dann eine auf den Sack bekommt weil das über seinen Anschluß gelaufen ist.
Dann bau den Proxy so das er 2 Netzwerkarten hat. Karte 1 hat Verbindung zur Fritzbox, die andere zum Switch. Die Fritzbox konfigurierst Du so das nur die MAC Adresse von Karte 1 aus dem Proxy Zugang zum Internet hat. Und bei den Rechnern gibst Du dann die IP der 2. Karte als Proxyadresse an. Bei Smartphones kann man einen Proxy eingeben. Beim Fernseher und den Spielkonsolen mußt du dann eben nachschauen. Dann mußt Du "nur" noch den Proxy entsprechend konfigurieren. Ganz ohne "Arbeit" wird es nicht gehen. Egal ob Du einen fertige Lösung kaufst oder selber was bauen willst. Und sicher soll es ja auch sein. Nicht das da einer auf die Idee kommt und sich irgendwo Filme etc. etc. runterlädt und dein Bekannter dann eine auf den Sack bekommt weil das über seinen Anschluß gelaufen ist.
Ähnliche Themen
