Portál AbcLinuxu, 12. května 2025 08:37

Dotaz: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli

27.7.2009 08:04 Myšpulín | skóre: 8
Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Přečteno: 304×
Odpovědět | Admin

Potřeboval bych vyřešit klasický problém. Mám počítač, ze kterého chci povolit uživateli přístup jen na jednu www stránku, stahovat poštu a nic víc z internetu. Popř. nadefinovat seznam www kam může - něco jako whitelist a všechno ostatní zablokovat. Zkoušel jsem mozilla kiosk plugin, ale nepřišel jsem na to, jak vypnout spouštění ve fullscreen. Zkoušel jsem parental lock, ale ten funguje spíš jako rozhodovací filtr. Tuším, že by se to mohlo dát nastavit někde na firewallu, ale nevím přesně jak.  Jsem přesvědčen, že nastavení omezení přístupu na internet je jednoduché, ale nevím jak na to. Používám Mandriva mini 2009.1

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

27.7.2009 08:14 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zkus hledat neco jako transparentni proxy. Napr. SQUID. Pak na tu proxy presmerujes na FIREWALLU veskery provoz a na proxy nastavis co ma povolit a co ne.
27.7.2009 08:39 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Lepší bude použít normální proxy server (klidně Squid), v prohlížeči jej nastavit a na firewallu zablokovat provoz jinam, než na proxy a k e-mailu. Transparentnímu proxy serveru je vždy lepší se vyhnout, pokud to jde.
27.7.2009 13:32 chinook | skóre: 28
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Proc?
27.7.2009 14:16 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Protože transparentní proxy server je vlastně man-in-the-middle útok na spojení prohlížeče se serverem, a není zaručeno, že se to vždy správně povede. Pokud by šlo třeba o nějaký hodně starý klient nebo o nějakou jednoúčelovou aplikaci, nemusí se třeba v požadavku vůbec posílat hlavička Host a proxy pak nebude vědět, kam má požadavek směřovat. Také mohou být problémy s kešováním, protože prohlížeč si třeba nemůže vynutit obnovu dokumentu v keši proxy serveru, protože si myslí, že se „baví“ přímo s původním serverem.
pushkin avatar 27.7.2009 08:33 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mrkni se na definici pravidel IP tables, ty to určitě umožňují, ale víc bohužel neporadím, nezkoušel jsem to. Jinak osobně bych čekal, že Mandriva bude mít nějaký grafický nástroj na konfiguraci IPtables (i když se to bude jmenovat nějak jako konfigurace firewallu nebo tak), kdy by neměl být problém si to naklikat. Zkus mrknout ještě po tomhle.
🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦
pushkin avatar 27.7.2009 08:33 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné...
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mrkni se na definici pravidel IP tables, ty to určitě umožňují, ale víc bohužel neporadím, nezkoušel jsem to. Jinak osobně bych čekal, že Mandriva bude mít nějaký grafický nástroj na konfiguraci IPtables (i když se to bude jmenovat nějak jako konfigurace firewallu nebo tak), kdy by neměl být problém si to naklikat. Zkus mrknout ještě po tomhle.
🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦
27.7.2009 08:59 ja
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Odpovědět | | Sbalit | Link | Blokovat | Admin

RESTRICTED_COMPUTER="192.168.1.1 192.168.1.2"
ACCEPTED_PORT="25,80,110"
ALLOWED_IP="www.domena.sk"

for COMPUTER in ${RESTRICTED_COMPUTER}
  do
    for IP in ${ALLOWED_IP}
      do
        /sbin/iptables --table filter --append FORWARD --source ${COMPUTER} --destination ${IP} --protocol TCP --match multiport --destination-port ${ACCEPTED_PORT} --in-interface eth0 --jump ACCEPT
      done
        /sbin/iptables --table filter --append FORWARD --source ${COMPUTER} --destination 0/0 --protocol TCP --match multiport --destination-port ${ACCEPTED_PORT} --in-interface eth0 --jump DROP
  done

27.7.2009 09:10 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Tím ale zpřístupníte všechny weby běžící na dané IP adrese, a zároveň musíte neustále hlídat změny v DNS a firewall podle toho upravovat.
27.7.2009 10:56 Myšpulín | skóre: 8
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli

Možná by stačilo "natvrdo" odříznout přístup na internet, protože mailserver i požadované www stránky jsou dostupné z lokální sítě. Nevím však jak to nastavit...

27.7.2009 10:59 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Na routeru nastavit 
iptables -A FORWARD -s IP_adresa_stanice -j DROP
27.7.2009 13:17 Myšpulín | skóre: 8
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli

To je zase problém s tím, že v síti máme dhcp a tudíž pokud by došlo ke změně ip adresy dotyčného stroje, tak by to přestalo fungovat. Skutečně neexistuje žádný jednoduchý způsob? Nemáte někdo zkušenosti se squidguard nebo nastavením dansguardianu?

27.7.2009 13:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Jak jednoduše nadefinovat www stránky, které budou přístupné uživateli
Toto je nejjednodušší způsob. Tak tomu stroji přidělujte pevnou IP adresu. Squidguard nebo cokoli podobného stejně bude filtrovat jenom provoz, který jde skrze něj, takže stejně musíte provoz jinam zakázat.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.