Adott egy teljesen natur LAN, meg egy netkapcsolat, a kettot egy debian koti ossze gatewaykent.
Fut ehhez rajta bind9, iptables.
Azt szeretnem elerni, hogy alkalmankent (mondjuk hetente egyszer, vagy naponta egyszer, ennek az idoziteserol kesobb szeretnek gondolkodni/gondoskodni), vagy akar allandoan egy adott domain nevet ne a neten fellelheto DNS szerverekkel oldjon fel, hanem egy elore beallitott osszerendeles alapjan (akar egy lan ip-re).
Ezzel kivanunk tiltani bizonyos oldalakat (iskolai halozat), valamint tajekoztato oldalt "rajuk eroltetni", kb. ugy, hogy az adott napon az elso - tetszolegesen megnyitott - weboldal helyett az aktualitasokat tartalmazo helyi webserver jon be.
Lehet-e valahogy ilyet?
- 1584 megtekintés
Hozzászólások
Ja, megvalami: a proxi, mint lehetoseg egyelore nem johet szamitasba.
- A hozzászóláshoz be kell jelentkezni
.
- A hozzászóláshoz be kell jelentkezni
Ez SUBnak szamit? :)
- A hozzászóláshoz be kell jelentkezni
Nem ertem.
Ha a DNS-t lehet butykolnod (marpedig siman lehet egy lokalis named-et beloni), akkor miert nem zuzol fel egy transzparens proxyt (squid) szepen es huzol ra szabalyokat?
Igyse, ugyse kell semmit beallitani a klienseken.
Vagy elvi kerdes a proxy?
--
BSD Support Service
http://www.bsdsupportservice.hu
- A hozzászóláshoz be kell jelentkezni
Nem elvi kerdes, talan mashol is hasznat vennem, de egyelore testkozelbol olyat meg nem lattam. Eles rendszeren nem kiserleteznek vele, tesztrendszerunk nincs, nem tunik "apt-get install squid" szintu feladatnak, es most a szemelyes fejlodesem sem kap kello prioritast; valahogy maskepp gondoltuk megoldani.
De ha nincs egyeb trivialis megoldas, akkor majd egyszer proxy lesz.
Azt probaltam, hogy felvettem a meg nem lekerdezett domaint a /etc/hosts -ba, de a lekerdezes a netes ip-t adta.
Az, hogy egy adott ideig cache-elve lenne, az sem lenne baj, meg gondolom a cache ideje is allithato.
Az egyetemeken (pl. a wifihez) hogy oldjak meg, hogy amig nem irunk be egy jelszot egy helyi weblapra, addig csak az a jelszobeiros weblap jon le, barmit is ker a kliens?
(Es nyilvan masnap ugyanazzal a MACcimmel, esetleg ugyanazzal az IPvel kezdodik az egesz elolrol.)
Valami ilyesmit szeretnenk.
- A hozzászóláshoz be kell jelentkezni
Bindbe kell felvenni az adott domainek zonait. De ahogy wooh írta kesselnek a kliensek, bár TTL le tudod vinni.
Viszont ha ilyen webes belépést szeretnél akkor nézd meg pl a chillispot nevű progit.
- A hozzászóláshoz be kell jelentkezni
Telepitesz 2 db virtualis gepet es kiserletezel. Squid configgal tele van az internet, haho!
- A hozzászóláshoz be kell jelentkezni
Az egyetemeken (pl. a wifihez) hogy oldjak meg, hogy amig nem irunk be egy jelszot egy helyi weblapra, addig csak az a jelszobeiros weblap jon le, barmit is ker a kliens?
Valamilyen hotspot program kell neked. Nalam a ChilliSpot van felteve, ujabban CoovaChilli-nek hivjak.
- A hozzászóláshoz be kell jelentkezni
Az egyetemeken (pl. a wifihez) hogy oldjak meg, hogy amig nem irunk be egy jelszot egy helyi weblapra, addig csak az a jelszobeiros weblap jon le, barmit is ker a kliens?
Az szerintem tacacs/radius authentikációs szerver lesz ami ilyen esetben bekéri a felhasználónevet/jelszót.
- A hozzászóláshoz be kell jelentkezni
Nem, a jelszot a captive portal keri, amit a hotspot hasznal, a RADIUS csak rabolint a jelszora.
- A hozzászóláshoz be kell jelentkezni
Mea culpa, csak nagyvonalakban ismertem a rendszer működését és elhamarkodottan akartam segítséget nyújtani anélkül hogy komolyabban utánajártam volna.
- A hozzászóláshoz be kell jelentkezni
A DNS-sel az a baj, hogy cachel, es ha becachelte mondjuk 5 perce es akkor elindul a te kis scripted, akkor a kliens nem nagyon fogja lekerni ujra meg ujra csak mondjuk 2 ora mulva.
Akkor pedig mar eppen megint engeded a "rendes" nevfeloldast.
A tenyleg pontos, idozitett, preciz megoldast squiddel tudod elerni IMHO.
--
BSD Support Service
http://www.bsdsupportservice.hu
- A hozzászóláshoz be kell jelentkezni
Üdv,
Ha az a cél, hogy a nap első oldala, amit látnak, a tájékoztatótok legyen, nem lenne a legegyszerűbb a böngészőkben azt tenni alapértelmezett kezdő lapnak?
Csak sanda gondolat, de szerintem egyszerűbben kivitelezhető... Bár, nem tudom, hány gépről, és milyen infrastruktúráról is lenne szó :)
Üdv,
LuiseX
- A hozzászóláshoz be kell jelentkezni
Szűrni is akar, tehát hogy a tiltott pornó helyett egy dádá oldal jöjjön be.
- A hozzászóláshoz be kell jelentkezni
Ha az a cél, hogy az összes gép (loginonként) első oldal letöltése az info oldal legyen, valamint a nem kívánt (sex, erőszakos, politikai, jogsértő) tartalmú oldalak megtekintését akarod tiltani arra ez a lehető legrosszabb elképzelés.
Elősször is a DNS honnan tudja, hogy ez az első session és azt kell neki vissza adnia, hogy 192.168.x.y a helyet, hogy recursolna? (sehonnan)
Honnan tudja a DNS hogy ezt a címet nem szabad, illetve mindenképpen a fentebbi IP -re kell feloldania? (sehonnan)
Erre proxyt szokás/kell használni. Természetesen ki is tűzfalazhatod, natolhatod valahova, de azt a tűzfalat (esetleg több ezer IP is lehet) karbantartani nem lesz egyszerű.
Azt javaslom, olvasd el ezt: http://molnaristvan.eu/2011/01/04/squid3-reklamszuro/ aztán innen tova haladva SquidGuar -al lehetne ezt frappánsan gyorsan megoldani.
Ha nem boldogulsz, ajánlom magamat
----
概略情報
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni
fogod magad, felteszel egy Tinyproxy-t transparens módban.
NEM állítod be, hogy a belső hálózat engedélyezett, és átírod az Auth-error html filet a hirdetésedre.
bizonyos időnként a bizonyos IP-ket átkapcsolod a megfelelő iptables NAT szabállyal, hogy a transzparens proxy felé menjen (1-2 request erejéig)
(természetesen ilyenkor a http request-ek NEM fognak kimenni)
- A hozzászóláshoz be kell jelentkezni
Bevallom, meg nem olvastam el az alabb linkelt doksit, de az agyam az egyeb teendoim kozben is kattog a teman.
1) Ha van proxy a gatewayen, akkor maskepp kell-e a halozaton uzemelo klienseket beallitani ahhoz kepest, mint amikor nincs proxy?
2) Ha van proxy, akkor a forwarding-ot ki kell kapcsolni a gateway-en? (echo 1> /proc/sys/...../ip_forward helyett echo 0> .... ) ?
3) A proxy fele terelesnel a gatewaynek valami uj ip-je lesz, ami fele terelnem kell a forgalmat, vagy ... Ugy erzem, ez osszefugg az 1)-el, es megkapom a valaszt a linkelt doksi elolvasaval, akkor hagyjuk is ezt a 3)-as kerdest.
- A hozzászóláshoz be kell jelentkezni
1) ha proxy van - akkor azt be kell állítani a kliens böngészőkön. erre létezik proxy-auto-config is.
2) ha proxy van a forwarding nem számít.
3) proxy felé nem terelsz, hanem beállítod a kliensen.
ha pedig proxy helyett transzparens proxy van (azért transzparens, mert a kliens nem tud róla)
1) nem kell beállítani - ezért transzparens
2) hát, szerintem nem árt, ha már a NAT táblát veszi igénybe, akkor forwarding-ot igénybe veszi
3) a transzparens proxy használatát valamelyik útközbeni gateway-BEN állítod be. nyilván itt át kell haladnia a forgalomnak...
- A hozzászóláshoz be kell jelentkezni
3) a transzparens proxy használatát valamelyik útközbeni gateway-BEN állítod be. nyilván itt át kell haladnia a forgalomnak...
Ezt tobbszor atolvasva ugy is erthetem, hogy az egyetlen gepen, ami a netkapcsolat es a LANswitch kozott van?
===\ /========\ /====================\
Net |==DSL==| GW debian |==eth===| SWITCH, rakotve a kliensek |
===/ \========/ \====================/
Lehet a GW debian-on a trasparent proxy?
- A hozzászóláshoz be kell jelentkezni
Tipp.:
Igen, a te esetedben hova máshova?
udv
letix
---------------------------------------------
Linux alapparancsok, kezdőknek
- A hozzászóláshoz be kell jelentkezni
Ok, igy kiralyos, mert ha nem jol ertelmeztem volna, es meg tevedek is melle, akkor akar hihettem volna azt is, hogy _kell_ egy masik, kliens es gw kozotti gep is...
Meg akartam bizonyosodni, hogy nem ertek dolgokat felre.
Koszi :) Akkor marad a muvelodes, meg a probalgatas egy tanuloi forgalmazastol mentes szep madarcsicsergos tavaszi napon...
- A hozzászóláshoz be kell jelentkezni