Wil niet lullig doen ofzo, maar due user die IP 192.168.0.10 kan ook gewoon .11 nemen en dan wel
www.geilepornozaait.nl bekijken? Aangezien je 192.168.0.0/24 op intern_if gebruikt om te forwarden kan iemand een ander IP in 192.168.0.0/24 om meer rechten te krijgen.
Hoe je dit fixed is via een non-IP based authentication of via een DMZ.
Non-IP based: voorbeeld is al gegeven, Squid is een programma waar het mee kan. Squid kan authen. Squid kan ook transparent draaien (vb: al uitgaande naar externe NIC redirect je naar localhost port 3128). Squid kan niet allebei tegelijk. Too bad! Wat je ook in kunt stellen in Squid is dat ze alleen naar port 80/443 (http/https) mogen gaan. Kan ook in IPTables btw. En dan heb je nog AuthPF in OpenBSD voor PF, misschien is er ook zoiets voor IPTables. Je kunt het ook wel zelf in elkaar scripten/coden zo ingewikkeld is dat progje niet. AuthPF moet je naar SSHen, dan username/passwd en dan heeft AuthPF een aantal commando's die hij execute na de authenticatie bijv. iets voor IPsec. Handig met WiFI. Wat je er echter ook mee kunt gebruiken is PF (IPTables) bepaalde rules toevoegen zoals NAT rules van IPv4/32 naar bepaalde IP's of pass out's naar bepaalde IP's.
DMZ: 2 NIC's op de router (waar nu IPTables op draait). Een die NAT op NIC_1 voor alle trusted users bijv. 10.0.0.5/24 door naar het internet. Eventueel met een authenticatie waarbij je er zeker van bent dat die die users ook echt zo'n trusted user is dus niet dat een aardappel van NIC_2 gedeelte achter bak NIC_1 gedeelte zit. Maar goed, dat zou niet mogelijk mogen zijn. En dan NIC_2 doet NAT voor bijv. 192.168.0.25/24 waarbij elke user naar geen IP mag gaan, behalve *lijst IP's waarbij je rekening houdt met round-robin DNS*. Op deze manier kan user X niet zeggen van 'hey ff m'n IP veranderen' omdat NIC_2 alleen forward voor 192.168.0.25/24 en niet voor een 'superuser' 10.0.0.5/24
Nofi. Hoewel ik niet weet voor welke users dit is bedoelt en wat je verder voor security draait in je netwerk om deze problemen te voorkomen weet ik niet. Voor zover ik het nu zie vind ik je huidige authenticatie methode bagger. Op deze manier heeft je 'beveiliging' m.i. geen zin, omdat de beveiliging zo omzeilt kan worden. Aangezien je het belangrijk lijkt te vinden dat users bepaalde sites absoluut niet mogen zien vind ik het belangrijk dat je dit in acht neemt, maargoed, tis jouw netwerk en jouw keus ofcourse! Succes!
)
:strip_icc():strip_exif()/u/15504/maglite.jpg?f=community)
:strip_icc():strip_exif()/u/9589/telepathy_3abigbrownchunx_2dskype_2ddbus_3ajdhoek.jpeg?f=community)
)/u/3875/gnu_linux_freebsd_openbsd_small_v2.png?f=community)
/u/26742/000000751.png?f=community)
/u/56336/schimpy.JPG?f=community)
:strip_icc():strip_exif()/u/25814/camus_small.jpg?f=community)