Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Linux Router mit dynamischer Zugangskontrolle

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
lukinbg
Newbie
Newbie
Beiträge: 1
Registriert: 3. Mär 2005, 12:35

Linux Router mit dynamischer Zugangskontrolle

Beitrag von lukinbg »

Hallo,

ich habe einen Linux Router (Rechner A), an den mehrere Rechner angeschlossen sind (z.B. B und C).

Alle Rechner gehen über A ins Internet.

Meine Frage ist nun, wie kann ich mit Hilfe von iptables/eigenen Mods oder ähnliches, folgende Policy definieren:

- Egal auf welche URL B und C zugreifen möchten, es wird
die lokale Homepage auf A + Loginmöglichkeit angezeigt

- Sollte Rechner B oder C ein korrektes Passwort eingegeben haben, wird seine IP für das Internet nach draussen für eine Stunde freigegeben und das Passwort verfällt.

Wie könnte ein Ansatz zur Problemlösung anschauen ?
gaw
Hacker
Hacker
Beiträge: 464
Registriert: 28. Sep 2004, 16:33

Beitrag von gaw »

Dein Szenario lässt sich so nicht mit iptables verwirklichen. Der Paketfilter iptables ist einfach das falsche Programm. Ein Paketfilter verwirft oder akzeptiert Datenpakete, genauer IP-Datagramme. Er analysiert auch die Header höherer Protokolle um stateful inspection zu realisieren, aber nicht die Inhalte. Vielleicht existiert ein entsprechendes Modul aber im Grunde ist iptables einfach der falsche Ansatz. Passwörter, Zeiten und andere wichtige Authentifizierungsdaten sind Inhalte und können sich über mehrere Pakete verteilen. Im Grunde müsste ein entsprechendes tracking Modul dass so arbeitet alle Pakete auf höhere Protokolle untersuchen, im Grunde also schon proxy Funktionalität implementieren.

Daher ist es wesentlich einfacher, das über einen Proxy zu realisieren. Ich habe letztes Jahr etwas ähnliches, mit Ausnahme der Einwegpasswörter im Privathaushalt eines Zahnarztes implementiert und habe folgende Applikationen verwendet.

Als System: SuSE 9.1

Als Proxy: squid, allerdings nicht die SuSE-Version die ohne PAM-Authentifizierung arbeitet, sondern squid 2.6 aus den Quellen mit PAM und LDAP-Unterstützung übersetzt, allerdings hat sich PAM als ausreichend für die Bedürfnisse erwiesen

Als redirector: squidguard
Versuchsweise kam ein Modul für webmin zum Einsatz, das arbeitete aber nicht korrekt, so dass die squidguard.conf per hand (vi) konfiguriert wird.
Damit lassen sich Zeiten übersichtlich konfigurieren

Da das ganze über PAM läuft, also squid nicht selbst die Authentifizierung durchführt musst du nur noch ein one-way password Modul implentieren, dann sollte es theoretisch funktionieren.

Insgesamt denke ich kommt das dem, was du dir vorstellst ziemlich nahe. Aber wie gesagt nicht mit iptables sondern mit squid, squidguard und PAM.

Mit freundlichen Grüßen
gaw
Antworten