Sie sind nicht angemeldet.

authentifizierung an der Firewall

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

1

07.01.2008, 16:22

authentifizierung an der Firewall

Hi all,

ich suche eine Loesung, dass sich User an meinem Router auf einer HTTP(S)-Seite authentifizieren muessen, bevor dieser forwarded.

Gibt es da eine Loesung?

Insgesamt sieht die Konstellation so aus:

accesspoint 1,2,3,4 -> Router -> Internet

Ich moechte die Accesspoints oeffnen - aber auf dem Router eine Authentifizierung durchfuehren. Mir reicht hierbei NICHT die Squid-Authentifizierung!!!! Durch Authentifizierung soll der User ALLE Moeglichkeiten (Ports, Protokolle...) ins Internet haben.

Ein paar Schlagworte waeren fuer den Anfang genug! :)

Kind regards,

Bernd
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

epikur

... only human being

  • »epikur« ist männlich

Beiträge: 589

  • Nachricht senden

2

07.01.2008, 23:35

hi bonsai ...

... wir haben für unseren wlan-zugang folgende lösung umgesetzt
... vielleicht hilft dir das weiter:

der eingesetzte host verfügt über 2 netzwerkkarten und fungiert auch als dhcp-server,
webserver [für die anmeldeseite.php] und proxy.

die iptables-fw wird über ein script [anmelderc] gestartet.

hierbei werden alle eingehenden anfragen vom wlan-segment [eth1 : port 80 und 443] auf
die anmeldeseite [$gate] umgeleitet

Quellcode

 
1
2

  $iptables -A INPUT  -i eth1 -m state --state NEW,ESTABLISHED,RELATED -d $gate -p TCP --dport 80 -j ACCEPT 
  $iptables -A INPUT  -i eth1 -m state --state NEW,ESTABLISHED,RELATED -d $gate -p TCP --dport 443 -j ACCEPT

alles andere erhält einen DROP


nach erfolgreicher anmeldung wird das script anmelderc mit dem parameter "letzter
teil der ipv4-adresse" [$1 ... 1-250] ausgeführt und der user mit einem redirect auf
den transparenten proxy belohnt =D

Quellcode

 
1
2
3

  $iptables -A FORWARD  -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -s 172.10.10.$1 -p TCP --dport 443 -j ACCEPT
  $iptables -t nat -A PREROUTING -i eth1 -p TCP -s 172.10.10.$1 --destination-port :442 -j REDIRECT --to-port 8080 
  $iptables -t nat -A PREROUTING -i eth1 -p TCP -s 172.10.10.$1 --destination-port 444: -j REDIRECT --to-port 8080



gruß epikur
wie soll ich wissen, was ich denke?
... bevor ich hoere, was ich sage
... bevor ich lese, was ich schreibe

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

3

08.01.2008, 12:22

Hi Epikur,

nette Loesung - aber der squid selber kann uebrigens Authentifizierung. :)

Leider muss ich nach erfolgreicher Authentifizierung ALLES zulassen und somit muss ich es mindestens aendern.

Ich habe gehoert, da gibt es ein iptables-Module?

Insgesamt bin ich nach wie vor fuer Anregungen dankbar!!!!

/bernd
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

inovaline

Schüler

Beiträge: 61

  • Nachricht senden

4

08.01.2008, 16:41

Hallo


Eventuell ist dies ein Lösungsansatz:

http://www.nufw.org/-English-.html

Grüße
Thema bewerten