• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Linux Router mit dynamischer Zugangskontrolle

L

lukinbg

Newbie
Hallo,

ich habe einen Linux Router (Rechner A), an den mehrere Rechner angeschlossen sind (z.B. B und C).

Alle Rechner gehen über A ins Internet.

Meine Frage ist nun, wie kann ich mit Hilfe von iptables/eigenen Mods oder ähnliches, folgende Policy definieren:

- Egal auf welche URL B und C zugreifen möchten, es wird
die lokale Homepage auf A + Loginmöglichkeit angezeigt

- Sollte Rechner B oder C ein korrektes Passwort eingegeben haben, wird seine IP für das Internet nach draussen für eine Stunde freigegeben und das Passwort verfällt.

Wie könnte ein Ansatz zur Problemlösung anschauen ?
 
G

gaw

Hacker
Dein Szenario lässt sich so nicht mit iptables verwirklichen. Der Paketfilter iptables ist einfach das falsche Programm. Ein Paketfilter verwirft oder akzeptiert Datenpakete, genauer IP-Datagramme. Er analysiert auch die Header höherer Protokolle um stateful inspection zu realisieren, aber nicht die Inhalte. Vielleicht existiert ein entsprechendes Modul aber im Grunde ist iptables einfach der falsche Ansatz. Passwörter, Zeiten und andere wichtige Authentifizierungsdaten sind Inhalte und können sich über mehrere Pakete verteilen. Im Grunde müsste ein entsprechendes tracking Modul dass so arbeitet alle Pakete auf höhere Protokolle untersuchen, im Grunde also schon proxy Funktionalität implementieren.

Daher ist es wesentlich einfacher, das über einen Proxy zu realisieren. Ich habe letztes Jahr etwas ähnliches, mit Ausnahme der Einwegpasswörter im Privathaushalt eines Zahnarztes implementiert und habe folgende Applikationen verwendet.

Als System: SuSE 9.1

Als Proxy: squid, allerdings nicht die SuSE-Version die ohne PAM-Authentifizierung arbeitet, sondern squid 2.6 aus den Quellen mit PAM und LDAP-Unterstützung übersetzt, allerdings hat sich PAM als ausreichend für die Bedürfnisse erwiesen

Als redirector: squidguard
Versuchsweise kam ein Modul für webmin zum Einsatz, das arbeitete aber nicht korrekt, so dass die squidguard.conf per hand (vi) konfiguriert wird.
Damit lassen sich Zeiten übersichtlich konfigurieren

Da das ganze über PAM läuft, also squid nicht selbst die Authentifizierung durchführt musst du nur noch ein one-way password Modul implentieren, dann sollte es theoretisch funktionieren.

Insgesamt denke ich kommt das dem, was du dir vorstellst ziemlich nahe. Aber wie gesagt nicht mit iptables sondern mit squid, squidguard und PAM.

Mit freundlichen Grüßen
gaw
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben