Webseiten sperren

[schwoch]

Hallo zusammen,

gibt es im 10.6. Server die Möglichkeit den Zugriff auf gewisse Webseiten zu sperren? Im Moment mache ich das über den Router. Per Server wäre es mir lieber. Am besten wäre es wenn man selber noch eine Seite definieren könnte die als Hinweis kommt. Gesperrt werden sollen nur Seiten werden die Porn oder Serial anbieten.
Ein Proxy kommt für mich nicht in Frage!

Gruß Dennis

 

[Steinchen]

Hi,

wenn kein Proxy, dann kommt entweder nur noch was Client-basiertes in Betracht oder du machst aus deinem Server *den* Nameserver und linkst dort alles was du nicht kennst nach 127.0.0.1 und fertig.

Aber das willst du nicht wirklich weil die DNS-Datenbank dann etwas größer wird.

Außerdem kannst du keine Umleitung im DNS definieren, es sei denn du würdest eine "echte" IP nehmen, z.B. 192.168.1.1 auf die du alles umleitest und dort einen Webserver betreiben der alle Anfragen mit der gleichen Antwort beantwortet (ggf. noch über den Referer bzw. die Domain filtert und ne entsprechende Nachricht abgibt).

Aber wie gesagt: Mit DNS macht das keinen Spass. Ein ordentlicher SQUID, transparent, mit entsprechenden Filtern und squidGuard ist da die bessere Lösung.

cu

 

[QuickMik]

das thema schein sich bei uns in der schule auch anzubahnen.....
ausserdem interessiert es mich schon länger.

wie ind wo setzt man am besten an ?
squid + squidguard und webmin zum verwalten ?
wäre das ein gangbarer weg ?
oder bin ich da komplett daneben ?

 

[stk]

Moin,

entweder über den OS X Server direkt - dort kannst du über die Webeinstellungen einen Forward-Proxy samt den entsprechenden Filterlisten aufsetzen und per WGM die Einstellungen dafür austeilen. Alternativ käme (für 10.5.er Clients oder neuer) noch die Kindersicherung in Frage. Und zu guter letzt natürlich noch der schon angesprochene squid für den es für OS X den recht komfortablen Squidman gibt.

Gruß Stefan

 

[drlecter]

Alles über den Squid leiten und da auch filtern. Dann kannst du ggf. auch direkt alle Popups/Werbeeinblendungen direkt rausschmeissen.

 

[ImperatoR]

Ich denke Squid ist wirklich eine Idee, dort wollte ich mich auch mal einarbeiten (aber eher um Werbung auszusperren). Eventuell kann man dort noch etwas mit WOT kombinieren plus eine Blackliste in der hosts-Datei führen.

 

[QuickMik]

entweder über den OS X Server direkt - dort kannst du über die Webeinstellungen einen Forward-Proxy samt den entsprechenden Filterlisten aufsetzen und per WGM die Einstellungen dafür austeilen. Alternativ käme (für 10.5.er Clients oder neuer) noch die Kindersicherung in Frage.

das hört sich ein bissl mühsam für 60 arbeitsplätze an.
da wäre wohl squid(man) doch vorzuziehen.

Und zu guter letzt natürlich noch der schon angesprochene squid für den es für OS X den recht komfortablen Squidman gibt.

den hab ich schon mal am laufen....
hab zuerst mal einen stable 3.1 version von
http://www.squid-cache.org/
geholt und compiliert.
wollte dann mit webmin und dem squid guard plugin was basteln, damit man da auch über ein webinterface einträge machen kann.
letzteres kann aber auf osx nicht

jemand eine ahnung, wie das mit squidman aussieht ?
z.z. bin ich noch nicht wirklich weit.....
aber da kann man doch sicher in die conf auch sites sperren.
a la
facebook, youtube
die kid´s sollen ja auch zeit zum lernen haben

hab da was von websites sperren gelesen.
das sollte doch mit squidman auch funktionieren....oder ?

 

[nerdbeere]

Was übrigens für Schulen, etc. ganz schick ist, wo die Rechner, die ja eh ans Netzwerk sollen, von den Lehrkräften o. ä. eingerichtet werden, ist ein richtig schön konfigurierter DHCP-Server.
Den kann man evtl. noch auf den Mac OS X Server draufmachen.

Was viele nämlich nicht ahnen ist, dass DHCP nicht nur IP-Adressen vergibt, sondern auch ganze Rechnereinstellungen vergeben kann.
Wird also ein neuer Recher aufgesetzt, wird der dann nach den Voreinstellungen an den DHCP gehangen und der macht den Rest.

Und sollte mal irgendwo ein Problem mit der Config aller Rechner sein, dann ist es doch recht mühsam, die alle einzeln unter die Lupe zu nehmen.
Da einfach die Config vom DHCP anpassen und das wars.

Ehe ihr fragt: Ich habe mal im Rahmen eines Seminars mit nem DHCP gearbeitet und den programmiert, das ist schon ein Weilchen her, aber so schwer ist es tatsächlich nicht und Google hilft da bestimmt auch weiter.

 

[QuickMik]

Ehe ihr fragt: Ich habe mal im Rahmen eines Seminars mit nem DHCP gearbeitet und den programmiert, das ist schon ein Weilchen her, aber so schwer ist es tatsächlich nicht und Google hilft da bestimmt auch weiter.

könntest ein/zwei suchabfragen beisteuern ?
ich wüßte nicht, wie ich da suchen soll.
"mit DHCP rechner verwalten" ?
oder was meinst du ?
mir fällt nicht mehr dazu ein.
in deinem blog ist unter dhcp auch nichts zu finden.

aber, welche brille hast du denn nun gekauft ?
os x s gibt auch nicht wirklich viel her, was das angeht.
oder ich übersehe es.

 

[nerdbeere]

Keine von den dreien

So.
1. Hast du MacPorts, bzw. DarwinPorts auf dem Server? Wenn nicht, dann such danach und installiere es. Hier
2. "dhcp darwinports"

Dann hast du nen DHCP Server auf dem Rechner, aber google davor dennoch mal weiter, z.B. mit "mac server dhcp config"
Da ist doch so einiges zu sehen, da einfach mal schauen, was da so steht und viel helfen dir ja die Links da auch weiter.

Nur noch mal zur Info:
Es wird of mit Linux auf Servern gearbeitet und dort werden die config-Files in der Regel in der Shell bearbeitet, also sollte das auch rudimentär bekannt sein.
Bei dem ich glaube ersten Link war auch ne schicke Anleitung für First-Steps dabei.

Die ganze Config musste halt mal schauen, aber vllt hilft ja das eine oder andere.

 

[QuickMik]

hmmm. also irgendwie weiß ich nicht, worauf du abzielst.
willst du versteckte hinweise geben, wie man einen DHCP server auf einen mac installiert
oder das man oft linux für einen DHCP server verwendet ?

mich hätte viel mehr interessiert, in welcher weise du meinst eine ....sagen wir mal "websitesperrdichgeschichte"...mit einem DHCP server hinzubekommen.

 

[xees]

besorg dir halt ne richtige firewall, die gibt es auch mitoptischen oberflächen, auch als opensource.

gute firewalls können auch nacktszenen erkennen in echtzeit, ist für schulen gut, oder terrorwebsites sperren. und das beste ist man muss selbst kaum basteln da die sicherhet eher ein thema für spezialisten ist. mein freund arbeit in dem bereich und ist immer verzweifelt wenn ein guter admin oder programmierer meint man brauche keine fertigen lösungen. die unterschreiben dass man sie haken darf und dass man vom Arbeitsplatz die angeblich gesicherten websites aufrufen kann. und dann gibt es lange dumme gesichter...

das zeigt auch das ergenbis einer studie die sagt dass 2/3 aller firmen in deutschland mangelhaft bis gar nicht gesichert sind.

fazit. ne gute firewall mit black list und white list sowie weiterer Möglichkeiten ist unschlagbar.

empfehlung geb ich jetzt keine, das netz ist voll damit.

 

[drlecter]

Aeh was hat eine klassische Firewall mit einem Filter zu tun? Er braucht halt einen Contentfilter. Es gibt hier selbstverständlich genug Produkte auf dem Markt. Genügend Ansätze wurden oben auch genannt.
QuickMik: Ich denke nerdbeere meint die Möglichkeit weitere Infos (bzgl. routen usw.) per DHCP zu verteilen. Frage ist aber, was man darüber alles verteilen will. Wenn es keinen Punkt gibt, wo der Datenstrom gefiltert wird, bringt das alles nichts.
Du solltest hier wirklich (wenn es frei bleiben sollte) halt mit einem Squid und einem Transparenten Proxy arbeiten. Hierbei kannst du auch einen lokalen DNS Server nutzen.
Es gab mal von der CT aus dem Heise Verlag ein Projekt bzgl. eines Proxy Servers (mit ein paar Funktionen mehr) für Schulen. Ich kenne aber leider nicht den aktuellen Status.
Alternativ kannst du auch sowas wie Astaro nutzen (da gibt es noch einige mehr).

 

[QuickMik]

wird wahrscheinlich unumgänglich sein.
ist natürlich klar, das lösungen dieser art budgetiert gehören.

und da darf ich dann wahrscheinlich nach 7 antraxformularen und 4 jahren nachfragen,
eine projektgruppe bilden

naja, mal sehen.
schade finde ich nur, das es für den mac in dieser richtung recht wenig gibt.
die squidman binary ist ja eine feine geschichte.
allerdings ist der doch eher für den lokalen einsatz gedacht.
natürlich kann man da noch rumzangeln. mal sehen, wie weit ich komme.
das teil soll ja zumindest als daemon laufen und eine weboberfläche wäre sicher nicht von nachteil.
muß ist es aber auch nicht.

 

[QuickMik]

ich bin ein großes stück weiter. natürlich alles auf einem testserver...
squid auf einem 10.7.4 server compiliert und auch zum laufen gebracht.
allerdings war es furchtbar langsam. brauchte fast eine minute bis eine site aufgebaut wurde.
ein graus. denke mal, das ich beim compilieren nicht soviel verbocken kann, wenn das teil zum schluß keine error ausgibt.
trotzdem denke ich, das es in irgendeiner weise mit dem DNS von os x server zusammenhängt.

der kommt mir sowieso sehr laggy vor. ist das nur bei mir so?

aber egal. hab dann den orginal squid wieder gelöscht und squidman installiert.
der sehrwohl in dieser version für netzwerke geeignet ist.
hatte das teil auch wirklich gleich am laufen und er ist richtig flott.

einen ast hab ich mir dann beim domain sperren abgesucht.
von squidman selbst gibts da keine optionen, allerdings kann man sein preferences file anpassen.

soweit hab ich den jetzt auch schon im schulbetrieb.
fein wäre es natürlich, wenn der proxy über den DHCP server mit übergeben wird.
was also vorher schon angesprochen wurde.

ich stoße immer auf die option 252 vom DHCP server.
oft liest man auch, das derartiges mit dem dhcp server von os x server sowieso nicht funktioniert.
andererseits weiß ich nicht, ob es wirklich die richtige option ist.
weil die ja die autoproxy config mit der pac datei beschreibt.
die will ich ja nicht. will einefach nur beim webproxy und sicheren web proxy die ip rein haben und das port.
versucht habe ich allerdings noch garnichts diesbezüglich. wollte nur mal nachfragen, ob ich da auf dem holzweg bin.

ich denke nur mal an die ipad´s der kollegen. ihr wisst ja wie das ist mit lehrern ist
teilweise tun sie sich ja schwer, wenn sie nur ihren mac einschalten müssen *lol*
aber alleine bei den ipad´s ist es auch mühsam immer den proxy rein/raus klopfen.
weil das teil ja keine netzwerkumgebungen kann.

also, hat jemand erfahrungen mit proxy mitschicken.
mein server ist noch ein 10.6.8
userverzeichnisse liegen nicht am server!
kann also mit dem arbeitsgruppenmanager nicht arbeiten.

vielleicht hat ja jemand eine idee

thanx in advanced

 

[FelixMacintosh]

Hallihallo!

Ich finde das hier echt sehr interessant, und lese gerne mit. Wobei ich neben dem Squid und der Proxy-Variante sowie der Option über den Router vielleicht auch mal die ausgehende Filterfunktion einer Firewall (z.B. Little Snitch etc.) zur Diskussion stellen würde...
Gut bei +/- 60 Arbeitsplätzen ist das vielleicht zu ineffektiv. Wobei die Einstellungen, einmal gemacht kann man ja migrieren und in der Kombination mit einem Werbeblocker im Browser scheint das doch eine Runde Sache.?.^^

Felix

 

[QuickMik]

also ich würde mal LS nicht als firewall bezeichnen. ausserdem ist das teil nur bedingt einsetzbar.
und wenn man mehr als einen rechner hat......untauglich.

die idee mit dem ausgehenden traffic ist natürlich schon eine idee.
allerdings sollte man dann schon vorher wissen, wie weit man gehen will.

bei uns in der schule sind die ports zum mailen offen.
alles andere zu. web geht nur über den proxy.

die frage ist, was ich mit einer FW zusätzlich erreichen will.

das adobe nachhause telefoniert? (als beispiel, weil LS ja meistens für derartige dinge verwendet wird)
da macht aber erst eine richtige FW sinn, die man auf den http header ansetzt.
weil die bei adobe ja auch nicht blöd sind, nehmen sie natürlich ports, die standarmäßig bei den FW´s offen sind.

aber laßt uns darüber disskutieren....

natürlich wäre es mir auch lieber, wenn ich mir ein rotes/blaues/schwarzes kastl vor die cisco ASA hängen würde.
muß aber ehrlich sagen, das ich nicht weiß welches.....
ausserdem wäre es mir lieber, wenn keine laufenden kosten a la z.b. watchguard dabei entstehen würden.

 

[FelixMacintosh]

Nur als Ergänzung zu #16:
Interessant als Frontend für die Apple Firewall ist das Programm: WaterRoof. Eigentlich auch eine Alternative zu LS.

http://www.heise.de/download/waterroof-1149420.html

http://lisaandroger.com/2009/11/mac-os-x-ipfw-firewall/

Felix

 

[stk]

mein server ist noch ein 10.6.8
userverzeichnisse liegen nicht am server!
kann also mit dem arbeitsgruppenmanager nicht arbeiten.

natürlich kann man. Die User-Dirs und Einstellungen die Du für User/Groups/Computer übermittelst sind zwei paar Stiefel. Ich würde die Client-Rechner ins OD aufnehmen und via WGM die Netzwerkeinstellungen verwalten und ggf. auch verhindern das Einstellungen verändert werden können, in dem ich die bei den Systemeinstellungen rausnehme.

Gruß Stefan

 

[QuickMik]

ich wollte eigentlich so wenig wie möglich bei den books sprerren.
die geräte sind eigentum der schüler.
sie bekommen auch informatik unterricht.
u.a. lernen sie dort auch den umgang mit dem system.
ist natürlich jetzt nicht unbedingt förderlich, wenn man ihnen nicht alle systemeinstellungen zeigen kann.

darum der proxy und nicht die kindersicherung.

an dieser schule werden kreative ausgebildet. die später möglicherweise in einer agentur arbeiten.
darum möchte ich eine infrastruktur bieten, die so ähnlich wie möglich ist.