Arch Linux

Internetzugang kontrollieren

mati

Hallo,

habe folgende "Aufgabe" zu lösen und keinen richtigen Plan.

Mein kleines Netzwerk sieht etwa so wie unten skizziert aus.

DSL-Modem mit integr. Router (LG LAM300)
|
Hub (6x)
| | |
| | +--- Drucker
| |
| +----- PC (1 Eth.Port)
|
+----Mac

Bisher koennen so alle Rechner unabhängig über den Router ins Internet.
Ich hätte jetzt aber gerne etwas mehr Kontrolle (Zeiten, Inhalte) beim Surfen des Mac.
Kann ich den Mac auch sozusagen über meinen PC ins Internet "umleiten"?
Auf meinem Rechner möchte ich dann mit privoxy und squid/dansguardian die Filter vorschalten.
Geht das? Kann mir evtl. jemand bei der Einrichtung weiterhelfen?

Danke schonmal.
Gruß

Pierre

Im Prinzip müsstest Du Deinen PC zum Router umbasteln. Evtl. gibt es aber auch eine einfachere Lösung: Einige Router bieten solche Funktionalität ohnehin an. (ist z.B. bei meiner Fritzbox so)

GerBra

Gemacht habe ich das auch noch nicht in der Form, aber ich sehe mehrere Möglichkeiten,
je nachdem was du ggf. umbauen möchtest. Der Router selbst bietet ja scheinbar
keine Einstellmöglichkeiten für so etwas? :

a) einen seperaten Linux-Rechner zwischen Hub und DSl-Router. Dieser ist dann
Router und DefaultGW für das Netz, dort könntest du dann mittels iptables-Paketfilter
und squid/dansguardian/... filtern und regeln. Nachteil: Stromverbrauch, Konfigaufwand.

b) Eine zweite Netzkarte in PC1 einbauen und den Mac daran anschließen. Auf PC1
könntest du dann sauber nach Interface(physikalisch) und per iptables(logisch) den
Netzverkehr regeln. Nachteil: Der Mac muß auf statische IP umgestellt werden oder
auf PC1 muß ein DHCP-Server laufen. Weiterhin ist durch einfaches Umstecken des
Ethernet-Kabels der alte Zustand wieder herstellbar. Trotzdem eine billigere, saubere
Lösung.

c) Das ganze auf logischer Ebene per iptables/Netfilter+Masquerade lösen. Aufwendig!
Der Mac sollte in ein eigenes Subnetz (z.B. 192.168.2.0/24) wenn dein normales LAN
z.B. 192.168.1.0/24 hat. Jeder Transfer des Mac muß über Netz+Host+Gatway-Route
zu PC1 geroutet werden PC1 braucht jetzt noch eine "zweite" Netzwerkkarte (die kann
aber per ifconfig/ip "logisch, virtuell" erstellt werden, z.B. eth0:0), die Pakete aus
192.168.2.0 empfängt. Der Transfer über eth0:0 kann nun reglementiert werden.
Gleichzeitig muß PC1 Pakete, die über eth0:0 reinkommen und nicht an ihn adressiert
sind und die das Reglement passieret haben, an sein normales Gateway weiterleiten, also
an den DSL-Router.
Und damit es kein Kuddelmuddel beim hin- und herschicken zwischen Mac<->PC1<->Router gibt muß PC1 diese Pakete maskieren (MASQUERADE)
gegenüber dem DSL-Router, so als ob diese Pakete von PC1 kommen würden. Und beim
Rückschicken an den Mac wieder so entmaskieren, damit der Mac die Pakete so
rückempfängt als kämen die direkt von z.B. google.de.
Das ist also durch Kombination von Routing und Netfilter(iptables) schon möglich.
Nachteil: Konfig-Aufwand, es muß für dich genau dokumentiert sein. Weiterhin:
der Mac darf (zu 99%) nicht mehr per DHCP eine dynamische IP beziehen (die würde
er ja wahrscheinlich vom DSL-Router kriegen). Und ein User darf keine Möglichkeit
haben, die IP-Konfig des Macs zu verändern.

d) Je nach dem welches OS auf dem Mac läuft: evtl. ist da auch iptables oder etwas
Ähnliches verfügbar. Dann könnte man z.B. den http/https-Verkehr über einen
Zwangs-Proxy schicken der auf PC1 läuft. Oder per Proxy im Browser. Auch iptables
selbst bietet IMHO mittlerweile Module z.B. zur zeitgesteuerten Regelung. Nachteil der
proxy-Methode: es würde halt jeweils nur HTTP geregelt werden, ICQ o.ä. würde nicht
tangiert oder müßte wieder seperat geregelt werden...

e) Evtl. gib es für den Mac ja eine Software, die genau das leistet was du willst. So
müßtest du nicht an diversen Stellen "schrauben".

Daß sind so die Dinge/verfahren, die mir einfallen würden.

mati

Danke schonmal.

Ich bin mal wieder baff, was <GerBra> "so eben mal" einfällt...

Variante b scheint aber wohl am sinnvollsten.
Netzwerkkarte kostet nicht die Welt.
Und statische IPs habe ich jetzt eh schon.

bei c) wird mir schon beim Lesen schwindlig 😉

Auf dem Mac läuft schon MacOSX. Was da von der Software her ginge weiß ich aber nicht. Außerdem möchte ich den Administrationsauffwand bei einem anderen Betriebssystem so gering wie möglich halten.

Nochmal zur Konfiguration:
Unter der obigen Vorraussetzung (b) müssten also lediglich iptables und meine Filter auf dem PC installiert werden um den "Verkehr zu regeln"?
Am Mac gebe ich dann die IP der 2. Ethernetkarte als Gateway an?

Gruß

GerBra

Die zweite Karte an PC1 wird ja dann z.B. eth1, die konfiguriest du dann als
192.168.2.1 (also anderes Subnet als das normale LAN, die bedient dann das Netz
192.168.2.0/24)

iptables auf PC1 muß dann lediglich für das NAT/Masquerade sorgen (nur mit
Routing kommt man da IMHO nicht hin). Glaube ich zumindest, irgendetwas war da...

An Regel (kein Firewalling etc., lediglich das Maskieren) sollte genügen:

iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -o eth0 -j MASQUERADE

Weiterhin mußt du noch das Weiterkeiten zwischen mehreren Netzkarten erlauben.
Das am besten dauerhaft in die /etc/rc.local rein. Zum testen geht es aber auch
natürlich als befehl:

echo 1 > /proc/sys/net/ipv4/ip_forward

Der Mac kriegt als default gateway dann die IP von eth1.

Hier und im englischen Wiki gibt es etliche Beiträge zu Firewall/iptables, mußt mal
schauen. Ansonsten ist die erste Anlaufstelle www.netfilter.org.

Dein Squid/dansguarden o.ä. muß du dann halz entsprechend konfigurieren/einbinden.
Erstmal würde ich aber für die TCP/IP-Verbindung wie oben sorgen.
Außerdem habe ich sicher etwas vergessen, was du schnell merken wirst 😉

Eine noch andere, auch "schicke" Lösung wäre ein VPN. Du sperrst die MAC-Adresse
des Mac am Router (das wird ja wohl gehen). Um das Internet nutzen zu können muß
der mac jetzt per Open-VPNClient (den es sicher gibt) eine VPN-verbindung zum
VPN-Server auf PC1 aufbauen. Da das ja über virtuelle Interfaces (tun/tap) geregelt
wird läßt sich in diese Kette auch reecht einfach ein Squid ö.ä. aufbauen.
Bei VPN entfällt IMHO auch nie Notwenigkeit des Masqueradings(???).

Viele Wege führen nach Rom...

mati

@Pierre
der intergrierte "Router" in meinem DSL-Modem hat leider
nur die wichtigsten Funktionen 🙁
Und das was ich alles vorhabe (Inhaltsfilter etc.) habe ich irgendwann
mal nur in einem sehr teuren Gerät (netgear?) gefunden.

Dann werd ich mich mal ans Werk machen.
Jetzt weiß ich wenigstens wo ich anfangen muß.

Ich melde mich wieder.

Gruß
und Danke

mati

Zwischenbericht:

2.Netzwerkkarte ist noch nicht da, deshalb hab ich schonmal etwas rumprobiert.

Und siehe da. Privoxy, Squid und Dansguardian installiert und konfiguriert.
Squid (Cache-Proxy) und Dansguardian (Content-Filter) laufen auf dem PC und arbeiten wie gewünscht zusammen.
Am PC und Mac ist der Proxy jetzt im Browser eingestellt. Mit _beiden_ klappt der gefilterte Zugriff aufs Internet _jetzt schon_!

ToDo:
- möglichst noch Privoxy dazwischenschalten
- Userspezifische Zeitfenster und Filter-Stärke justieren

Gruß