[Eisfair] Squid - Protokoll und Einschränkung von Benutzern

Matthias Prill m.prill at gmx.de
Fr Apr 26 10:06:21 CEST 2013 

Am 25.04.2013 22:20, schrieb Daniel Heide:
> Am 25.04.2013 20:19, schrieb Matthias Prill:
>> Am 25.04.2013 19:24, schrieb Ernst Eiswürfel:
>>> Am 25.04.2013 18:14, schrieb Matthias Prill:
>>>> Am 25.04.2013 17:54, schrieb Ernst Eiswürfel:
>>>>> Am 4/25/2013 5:11 PM, schrieb Matthias Prill:
>>>>>> Am 25.04.2013 16:20, schrieb Ernst Eiswürfel:
>>>>>>> Am 4/25/2013 2:56 PM, schrieb Daniel Heide:
>>>>>>>> Kann der Squid-Proxy im Eisfair 1 den Datenverkehr eigentlich
>>>>>>>> Protokollieren bzw. Beschränken für bestimmte oder alle Benutzer.
>>>>>>>>
>>>>>>>> Wir haben bei uns nämlich ein stark gestiegenes Internet-Volumen
>>>>>>>> und
>>>>>>>> müssen der ganzen Sache irgentwie auf die Schlische kommen, da wir
>>>>>>>> nur
>>>>>>>> einen Volumentarif bekommen können (keine Möglichkeit für
>>>>>>>> Kabelgebundenes Internet)
>>>>>>>>
>>>>>>> Besser Opt Accounting auf dem fli4l nutzen, der zählt jede
>>>>>>> Traffic-Art
>>>>>>> und nicht nur Daten, die durch den Squid gehen.
>>>>>>>
>>>>>>> E.E.
>>>>>> Moin Ernst,
>>>>>>
>>>>>> das geht am Ziel vorbei.
>>>>>> Der Sinn des Proxy ist u.a. ja gerade, daß er als "Stellvertreter"
>>>>>> für
>>>>>> mehrere andere steht.
>>>>>> Am Router ist die Information von wem resp. von welcher IP der
>>>>>> Traffic
>>>>>> kommt dahingehend nicht mehr verfügbar, da "scheinbar" alles von
>>>>>> Proxy
>>>>>> kommt.
>>>>>> Damit kommt er dem Bösewicht nicht auf di Schliche .-)
>>>>>>
>>>>>> Aber die Squidlogs - so eingeschaltet- lassen sich mit diversen Tools
>>>>>> durchkämmen...
>>>>>> Squidguard ist auch immer eine sichere Bank, um es sich mit allen
>>>>>> Proxynutzern zu verderben :-) Von partiellem Throttling mal ganz
>>>>>> abgesehen...
>>>>>>
>>>>>> Gruß
>>>>>> Matthias
>>>>>>
>>>>> Wenn der Traffic aber von 'nem bösen P2P User verursacht wird, wirst'e
>>>>> den aber nicht mit Squid entlarven.
>>>>
>>>> Naja, es kommt drauf an, wie die Struktur aufgebaut ist.
>>>> Ich benutze squid seit vielen Jahren als Zwangsproxy. Keiner meiner
>>>> Clients hat ein Standardgateway. Von daher muß alles durch den squid
>>>> .-)
>>>>
>>>> Gruß
>>>> Matthias
>>>>
>>> Squid ist aber kein generischer Proxy. Er unterstützt HTTP, SSL, FTP und
>>> noch ein paar Andere. Wenn deine Clients kein Standardgateway
>>> konfiguriert haben, das Gateway auch nicht direkt erreichen können sowie
>>> der Eisfair-Server kein IP-Forwarding macht, können deine Clients in der
>>> Tat nur über diese Protokolle mit dem Internet kommunizieren. In allen
>>> anderen Fällen ist es problemlos möglich Traffic am Squid vorbei zu
>>> bekommen :-)
>> Genauso läuft es seit vielen Jahren zur "Freude" der User (ca. 50) :-)
>> Hat mich all die Jahre vor dem gröbsten Unfug bewahrt...
>> Erlaubt dann auch Whitelist für irgendwelche Updateseiten und sonst nix
>> weiter...
>> Gruß
>> Matthias
>>
> Genau so soll das dann eigentlich auch laufen, keiner der Rechner
> bekommt nen Gateway, dass sie alle über den Proxy müssen.
> Kann man den Squid im Eis eigentlich auch so regeln, dass man die
> Whitelisten auch Benutzerdefiniert machen kann (ein User darf mehr als
> ein anderer)?
Ich habe zusätzlich squidguard installiert. Das filtert den gröbsten 
Dreck aller Art weg.
Im squidguard habe ich dann die Config angepasst, das für verschiedene 
Rechner unterschiedliche "Filterstufen" existieren.
Allerdings geht das nur festen IP's. Aber das ist ja problemlos machbar.


Ich habe mal einige Dinge aus meinen squidguard.conf extrahiert:

src gruppe1 {
      ip 192.168.1.0/24
             }

src pc1 {
      ip 192.168.100.131
	}

src pc2 {
      ip 192.168.100.135
	}

dann die Definition der Whitelist:

dest white {
     domainlist  white/domains
     urllist     white/urls
	}

Definition zeitlicher Einschränkungen:

time pause_mittag2 {
  weekly * 12:30-13:00
}

und abschliessend die acl's dazu:

acl {

     gruppe1      {
         pass !adult !adv ...
         redirect http://...
         }

     pc1 within pause_mittag2        {
         pass !adult !adv ...
         }

     pc2	{
         pass white
         }

     }


Damit kann man sehr schön und gezielt den Zugang zum Internet "steuern". 
Sicher ist das nicht 100% sicher, aber wie gesagt es bewahrt mich seit 
vielen Jahren vor dem gröbsten Unfug...

Gruß
Matthias

Mehr Informationen über die Mailingliste Eisfair