# Linux Gateway



## Drade (19. März 2007)

Nabend,

ich würde gern meinen Linux Server als Gateway umfunktionieren.

Ansprüche:
- Jeder im Netzwerkbefindliche PC geht über den Server ins Internet also keine direkte Verbindung
-Jeder Seitenaufruf soll mitgeloggt werden. Also wer auf welcher Seite war.

Wie kann man das am leichtesten lösen?

Ich hatte zuerst an einen Proxy gedacht, aber da besteht ja die Möglichkeit, einfach die Einstellungen im Browser geändert werden und so nichts mehr mitgeloggt wird.

Distrubtion würde ich eine Ubuntu bevorzugen, aber eigentlich ist das nicht so wichtig.

Wie kann ich sowas umsetzten?

Schon mal danke für eure Hilfe
mfG Drade


----------



## Navy (19. März 2007)

Zwischen Router/Modem eine alte Kiste stellen und IpCop drauf installieren. Ist genau das was Du willst und via Webfrontend sowie ssh fernadministrierbar.

(Und Dein Problem mit dem Proxy kann ich nicht nachvollziehen...)


----------



## Dennis Wronka (20. März 2007)

Drade hat gesagt.:


> Ich hatte zuerst an einen Proxy gedacht, aber da besteht ja die Möglichkeit, einfach die Einstellungen im Browser geändert werden und so nichts mehr mitgeloggt wird.



Ein Proxy ist meiner Meinung nach genau was Du brauchst, denn damit bekommst Du die besten Access-Logs.
Du kannst das ganze zwar auch ueber einen Router laufen lassen, aber die Proxy-Logs sind meiner Meinung nach wesentlich angenehmer zu lesen als die Firewall-Logs.

Und wenn jemand die Browser-Einstellungen aendert wird zwar nichts mehr mitgeloggt, aber derjenige kann auch nicht mehr in's Internet, vorausgesetzt, dass es eben *nur* den Weg ueber den Proxy gibt, und nicht auch noch Routing.

Um natuerlich auch noch anderen Verkehr zu ermoeglichen waere Routing nicht schlecht, jedoch solltest Du da dann darauf achten, dass Webtraffic da nicht drueber laufen darf.


----------



## andy72 (20. März 2007)

> Und wenn jemand die Browser-Einstellungen aendert wird zwar nichts mehr mitgeloggt, aber derjenige kann auch nicht mehr in's Internet, vorausgesetzt, dass es eben nur den Weg ueber den Proxy gibt, und nicht auch noch Routing.



Ich Hatte das Problem auch mal, dass die User dann einfach direkt über die Route des Servers ins INet gingen. Habe das mit iptables und Port-Forwarding gelöst, so dass IpTables den Client immer auf 8080 des Proxys geleitet hat, egal, ob der Client über die Route kam oder direkt über den Proxy 

LG
Andy

PS: Als Proxy hatte ich Squid mit Seitenfilter *Name leider vergessen habe ...*


----------



## Navy (20. März 2007)

Das wiederum heißt aber, dass implizit *nur* http requests erlaubt werden... Vielleicht etwas zu restriktiv.


----------



## andy72 (20. März 2007)

Squid kann aber auch FTP - zwar nur als Webfrontend und ohne Uploadmöglichkeit, jedoch kann man zumindest downloaden über den Browser. Restriktiv ist immer gut, wenn es um Sicherheit geht ... In Einrichtungen bzw Firmen ist glaube ich Chatten und Videos nicht so gerne gesehen


----------



## Dennis Wronka (20. März 2007)

Navy hat gesagt.:


> Das wiederum heißt aber, dass implizit *nur* http requests erlaubt werden... Vielleicht etwas zu restriktiv.


Darum hatte ich ja erwaehnt, dass anderer Verkehr ja auch noch geroutet werden kann. Und mit ein paar Filterregeln, wie Andy ja erwaehnt hat, kann man auch Zugriffe auf die gewoehnlichen HTTP-Ports durch den Proxy tunneln, wenn dieser eingestellt ist auch als transparenter Proxy zu arbeiten. Dies muss naemlich, wenn ich mich recht erinnere, bei Squid eingestellt werden.


----------



## Navy (20. März 2007)

> Darum hatte ich ja erwaehnt, dass anderer Verkehr ja auch noch geroutet werden kann. 
> Und mit ein paar Filterregeln, wie Andy ja erwaehnt hat, kann man auch Zugriffe auf die 
> gewoehnlichen HTTP-Ports durch den Proxy tunneln, wenn dieser eingestellt ist auch als 
> transparenter Proxy zu arbeiten. Dies muss naemlich, wenn ich mich recht erinnere, bei 
> Squid eingestellt werden.

Danke, ich kenne die Möglichkeiten von Routing hinreichend 
Nur war /mir/ diese Aussage jeglichen traffic auf Port 8080 zu routen implizit verbunden mit dem alleinigen forwarden auf 80. Mein Parser war da etwas zu fein eingestellt.


----------



## Dennis Wronka (20. März 2007)

Navy hat gesagt.:


> Danke, ich kenne die Möglichkeiten von Routing hinreichend


Ich hab ja auch nie gesagt dem sei nicht so, richtig? 


Navy hat gesagt.:


> Nur war /mir/ diese Aussage jeglichen traffic auf Port 8080 zu routen implizit verbunden mit dem alleinigen forwarden auf 80. Mein Parser war da etwas zu fein eingestellt.


Manchmal ist ein Interpreter mit etwas Fuzzy Logic garnicht schlecht damit dieser eben nicht ganz so haarklein ist.


----------



## Drade (20. März 2007)

Also wäre ein Proxyserver doch das richtige?

Der Netzwerkaufbau müsste ja dann wie folgt aussehen:

Splitter->Router->Proxy Server->Fileserver(nur für Intern) und Clienten

oder liege ich da falsch?


Ich habe mir mal das Handbuch für das Squird angesehen. Ich bin leider kein Profi in solchen Sachen, daher weiß ich nicht so recht ob das schwierig ist zu kofiguriren...
Gibt es für Squird eine Weboberfläche in der man die Logs lesen kann?


mfG Drade


----------



## Navy (20. März 2007)

ich würde es eher so machen:


```
Fileserver
,--------,                                  /
| Netz   |  --------- Router ----- Proxy  --- Client1
`--------´                                  \ 
                                              Client2
```

Warum sollte der Fileserver zwischen Proxy und Client stehen und wiederrum routen?


----------

