Userabhängige Internetfreigabe?

[Vittel 10]

Hallo,

 

Ich bin mir nicht gnz sicher ob diese frage hierher gehört.

Ich habe in einem Lan einen Windows 2003 Server mit NAT eingerichtet. Nun möchte ich gerne erreichen das die freigabe des Gateways (vom LAN in richtung Internet) nur mit einem bestimmten User und/oder Passwort möglich ist. Ich habe es auch mit den einstellbaren statischen Paketfiltern probiert, aber bin daran gescheitert, weil diese dann aus irgendeinem Grund den gesamten Traffic deaktiviert haben.

beispielsweise habe ich folgende Filter eingerichtet:

 

diese erlauben, alle anderen sperren:

Quellsubnet: 100.100.100.0/255.255.255.0 rest beliebig

und zusätzlich

Zielsubnet: 100.100.100.0/255.255.255.0 rest beliebig

 

(ziel war, nur den nutzern dieses subnet das gateway zu öffnen)

 

hat jemand eine idee wie man die eingeschränkte internetfreigabe realisieren könnte?

[Damian 1.401]

Hallo und willkommen on Board. :)

 

So etwas löst man im allgemeinen mit einem Proxy. Dort kannst du Regeln für IP-Adressen und auch Passwörter hinterlegen.

 

Damian

[Vittel 10]

Ja, das habe ich auch schon in erwägung gezogen, aber dabei ist es wieder nötig jedes programm welches das internet nutzen will einzeln zu konfigurieren, damit es den proxy benutzen kann, und ebend dies wollte ich vereinfachen. die beste lösung währe wohl eine firewall, welche falsche ip´s herausfiltert.

da gibt es aber auch wieder 2 probleme: 1. eine firewall finden welche unter 2003 server problemlos läuft, und 2. eine zu finden bei der man die rechte für das gateway eindeutig zuordnen kann, also so das nur der entsprechende prozess (welcher ist das eigentlich?) für bestimmte masken gesperrt bzw. freigeschaltet wird, aber alle anderen frei zugänglich sind (dateifreigaben ect.)

 

kann mir vielleicht jemand eine firewall empfehlen die das so unterstützt?

[Damian 1.401]

Hi.

 

Wie sieht deine Netzwerkstruktur aus? Welche und wieviele Clientsysteme sind vorhanden? Arbeitsgruppe oder Domäne? Sollen nur bestimmte IP-Adressen gefiltert werden oder muss der Internetzugriff noch differenzierter eingestellt werden?

 

Damian

[Vittel 10]

vorweg: ich habe inzwischen eine halbwegs akzeptable lösung mithilfe der statischen paketfilter realisieren können.

 

netzstruktur:

insgesamt ein einziges physikalisches netz

 

subnet 10.0.0.0/255.0.0.0

->linux gateway/router/wins/dns/ect. mit anbindung an hochgeschwindigkeits-datennetz

 

subnet 100.100.100.0/255.255.255.0

->mein gateway/dns/wins

 

da das hochgeschwindigkeitsnetz des öfteren ausfällt und ich des öfteren auch größere dateien herunterlade (auf dem hg-netz ist eine traffic begrenzung) habe ich mit eine dsl-flatrate angeschafft.

ziel ist es das system so einzurichten das ich durch alleiniges ändern des gateways/dns/wins das netz problemlos wechseln kann. (jeder rechner der das können soll hat jewels beide netze in seiner ip-liste)

 

die absicherung soll jetzt gegen die anderen rechner im ersten subnetz erfolgen, das diese nicht auch auf die idee kommen sich einfach eine entsprechende maske/ip geben und dann auf dem selben weg den 2. router benutzen

 

momentan hab ich den server zumindest soweit abgeschert das das gateway auf jeden fall nur von dem 2. subnetz aus erreichbar ist, was das oben erwähnte problem aber nicht behebt

 

EDIT:

was ich noch vergessen hab: alle rechner die das 2. netz benutzen sollen gleichzeitig im ersten subnetz voll funktionstauglich sein, also sozusagen im lan dateifreigaben realisieren ect.

[Melmak69 10]

Hi nur mal so als Idee, cersuche es mal mit IPCOP .

Dazu noch ein par Plugins und schon hast Du das was du möchtest.

[Vittel 10]

hm ok,aber das ja linux ;)

in linux kann das ja jeder :P

 

hm nein, aber ich hab da auch nen filesharing drauf laufen, was halt nich für linux gibt, des weiteren wär mir das ein zu großer umstand jetzt das os auf dem server zu wechseln

[IThome 10]

In Fällen , in denen User vor dem Zugriff ihre Daten eingeben müssen (aber nicht nur in solchen Fällen), setzen wir Watchguard Produkte (Hardwarefirewall/VPN Appliance) ein.

http://www.watchguard.com

Da können sich die User mit ihrem normalen Useraccount anmelden, die Büchse fragt im Active Directory nach ...

[Damian 1.401]

@ Vittel

Bitte beachte unsere Boardregeln.

 

Damian

[IThome 10]

@ Vittel

Bitte beachte unsere Boardregeln.

 

Damian

 

Sorry, Regel 4 missachtet ... :(

Ich gehe mal davon aus, dass Du mich meinst und nicht Vittel ...

[Vittel 10]

:-)

 

nein ich denke schon er meint mich

und wenn er dich gemeint hat dann lass dir gesagt sein das es mir wenigstens etwas geholfen hat.

 

allerdings bräuchte ich die selbe lösung die diese firma anbietet als softwarelösung, welche mit w2k3 server nat zusammenarbeitet.

 

ich habe leider nicht die möglichkeit neue hartware zu installieren (ist halt so)

 

@ damian: welche regel hab ich missachtet, damit ich sicher sein kann!?

[netsniffer 10]

Ich würd sagen der Hinweis von Damian zielte auf Regel #8 ab...

Filesharing --> Illegale Downloads bzw. keine Hilfe zu Filesharingtools

[IThome 10]

Hätte ich nichts gesagt, wäre es niemandem aufgefallen :D

[timetraxx 10]

hallo

wie wärs mit 2 dhcp bereichen und fester ip adressen<> mac adressen bindung

einer mit gatewayadresse einer ohne

benutzer müssen natürlich mit eingeschränkten benutzerrechten arbeiten damit sie die netzwerkeinstellungen nicht verändern können