SHARINGAN
Inactive
|
Hallo Leute,
Ich suche eine Software mit folgende Ansprüche.
-Proxyserver
-Trafficshapping/Qos
-jeder Teilnehmer muss account/pwd eingeben damit sie ins internet kommen
-jeder User wird geloggt-> auf welcher seite er war und wieviel traffic er verursacht hat.
Damals wo ich im HTLW16 war, gab so ein System oder Groupware der das ganze konnte, aber kA wie das noch hieß.
Grund: im unserem kleinunternehmen gehts mir tierisch auf den Sack, dass einige Leute unsere Leitung mit privaten Downloads verstopfen. 10 Mitarbeiter sharen eine 2MBbit Leitung.
|
Crash Override
BOfH
|
Erstmal solltest du dich um die rechtliche Seite kümmern, was du wie loggen darfst und was nicht.
Der IPCop kann soetwas mit wenigen addons.
|
COLOSSUS
AdministratorFrickler
|
Das geht dann aber nur fuer HTTP - ist dir schon bewusst, gell?
|
Smut
takeover & ether
|
mit dem microsoft isa server kannst alles machen, nicht nur HTML. (ich meinte HTTP)
ist aber overkill.
imho aber die falsche herangehensweise. proxy ja, loggen nein.
Bearbeitet von Smut am 19.10.2011, 14:27 (edit (ich hab natürlich http gemeint))
|
quilty
Ich schau nur
|
Also wenn man für 10 Leute so einen technischen Aufwand in Erwägung zieht, anstatt einfach mal Klartext zu reden und den Leuten klarzumachen was geht und was nicht geht, dann läuft wohl auch etwas anderes schief, oder?
|
COLOSSUS
AdministratorFrickler
|
mit dem microsoft isa server kannst alles machen, nicht nur HTML.
ist aber overkill. Wie soll ein "Captive Portal" mit "Zwangslogin" funktionieren, wenn das zu transportierende Protokoll keinerlei Moeglichkeiten dazu bietet a) dieses Portal am Client/UA irgendwie anzuzeigen und b) die Authentifikationsinformationen irgendwie zu transportieren? Nichtmal Microsoft-Magie kann das, das kann man mir schon glauben.
|
SHARINGAN
Inactive
|
Also wenn man für 10 Leute so einen technischen Aufwand in Erwägung zieht, anstatt einfach mal Klartext zu reden und den Leuten klarzumachen was geht und was nicht geht, dann läuft wohl auch etwas anderes schief, oder? schon mehrmals versucht, leute verwarnt, aber sie machen fröhlich weiter...jetzt wird halt die admin keule geschwungen. Erstmal solltest du dich um die rechtliche Seite kümmern, was du wie loggen darfst und was nicht.
Der IPCop kann soetwas mit wenigen addons. Ich brauch nur die URL...alles andere ist mir bare
|
Obermotz
Fünfzylindernazi
|
Squid?
|
Crash Override
BOfH
|
Solange du die URL Nutzerunabhängig erfasst, ist es kein Problem. Wenn du sie aber Nutzerabhängig logst, kommst du rechtlich in Teufels Küche. Wie wäre es mit einem Proxy mit Blacklist für die privaten Seiten die viel Traffic verursachen?
|
SHARINGAN
Inactive
|
Solange du die URL Nutzerunabhängig erfasst, ist es kein Problem. Wenn du sie aber Nutzerabhängig logst, kommst du rechtlich in Teufels Küche. Wie wäre es mit einem Proxy mit Blacklist für die privaten Seiten die viel Traffic verursachen? Ich verstehe...danke für den hinweis..dann hat meine schule früher mistgebaut, da sie nutzerabhängig mitgeloggt haben, aber das ist jetzt ein anderes thema.
|
DAO
Si vis pacem, para bellum
|
nimm squid schalt den transparent und zeigs deinen chief 
|
othan
Layer 8 Problem
|
War bei uns (Schule) ein ähnliches Problem. Facebook gesperrt und >50% Traffic ist verschwunden 
|
Smut
takeover & ether
|
Wie soll ein "Captive Portal" mit "Zwangslogin" funktionieren, wenn das zu transportierende Protokoll keinerlei Moeglichkeiten dazu bietet a) dieses Portal am Client/UA irgendwie anzuzeigen und b) die Authentifikationsinformationen irgendwie zu transportieren?
Nichtmal Microsoft-Magie kann das, das kann man mir schon glauben. um ehrlich zu sein versteh ich deinen post nicht, aber ich probier drauf einzugehen. z.b. isa server als standardgateway, authentifizeriung per AD. isa-server kann das, egal für welches protokoll. proxy heißt ja nicht nur http/s. MS isa kann genau das was er sucht, kannst mir sogesehen auch glauben 
Bearbeitet von Smut am 19.10.2011, 14:10
|
COLOSSUS
AdministratorFrickler
|
User A startet auf Host X seinen Bittorrent-Client. Der Default Gateway seines LANs bemerkt, dass ploetzlich von diesem Host auf diesem Port mit dem Protokoll Bittorrent Traffic gesendet wird, und interveniert. Wie kann er das tun? Genau, indem er die Kommunikation einfach unterbricht. Der BT-Client von User X kriegt das in irgendeiner Form mit, und meldet es vermutlich seinem Benutzer - "kann mich nicht zum Tracker verbinden; connectiond timed out" oder so. Ist fuer den User klar, was die eigentliche Ursache des Nichtzustandekommens der Verbindung ist? Nein. Der BT-Client hat es ihm ja nicht mitgeteilt - weil es keinen im Protokoll standardisierten Weg gibt, das zu tun.
Gibt es fuer HTTP auch nicht, aber da ist es nicht so schlimm - hier kann man dem User ja mithilfe der im Protokoll vorgesehenen Kniffe (wie z. B. durch Redirects) mitteilen, dass der Verbindungsversuch nicht erlaubt ist, weil <Begruedung>. Fuer die ueberwaeltigende Mehrzahl an Layer 7-Protokoll gilt das aber nicht. Insofern kann man sich bei solchen Application Layer Proxies auch nicht aus seinem (z. B.) BT-Client heraus "anmelden", um das Problem zu beheben. Hat zur Folge, dass man sich via HTTP irgendwie an einem Captive Portal ausweisen muss, und dann auch fuer andere Protokolle ueber dem TCP- oder IP-Layer durch irgendeine Art von TOken "authentifiziert" bleibt. Meistens wohl der IP-Adresse. Ist das schoen? Nein. Ist das sicher? Kommt auf den Token an.
Dass ISA einen generischen Proxy fuer jedes erdenkliche Layer7-Protokoll (auch jene, die es noch gar nicht gibt) implementiert, halte ich fuer begrenzt wahrscheinlich. Wenn der Zugriff unter OSI Layer 7 limitiert wird, wovon ich ausgehe, ist diese Funktion einfach nicht die eines Proxies.
|
Smut
takeover & ether
|
ja gut, du hast schon recht wenns um packet-inspection geht, war aber nie eine anforderung.
aber bis auf QoS werden alle seine genannten anforderungen erfüllt.
beim isa server kannst auch den traffic abseits von HTTP dem user zuordnen und auswerten.
|
Anmeldung