Firewall-Proxy-Kombi gesucht

[rasti]

Hallo.

Eventuell ist der Betreff nicht ganz aussagekräftig, daher hier die Situation:

DSL-Zugang per Speedport, DHCP im Speedport abgeschaltet
WHS mit aktiviertem DHCP, als Gateway wird der Speedport zugeweisen.

Das funktioniert so problemlos. Den DHCP des Speedport kann und will ich nicht nutzen. Ich habe für bestimmte Rechner bestimmte IP-Adressen reserviert. Diese Reservierung im DHCP-Server vornehmen zu können, macht mich flexibler als das feste vergeben der Adressen.

Jetzt suche ich eine Möglichkeit, alle Zugriffe aufs WEB zu verbieten und nur bestimmte Seiten zulassen zu können. Die zugelassenen Seiten müssen mit einfachen Mitteln editierbar sein. Des weiteren muss das ganze finanziell im Rahmen belieben.

Erster Lösungsansatz: Proxy
Alle Proxys, welche ich mir angeschaut habe, müssen im System bzw. Browser hinterlegt werden. Also ganz einfach zu umgehen.

Zweiter Lösungsansatz: Firewall
Die Firewalls, welche das gewünschte Szenario anbieten, sind alle zu teuer. Selbst für einen IPCop muss ich dedizierte Hardware anschaffen. Denn als VM auf dem Homeserver bringt er nicht wirklich was, das Sicherheitsrisiko ist zu groß.

Dritter Lösungsansatz: Speedport-Regeln
In meinem Speedport kann ich bestimmte URLs blocken. Ich kann auch per Zeitsteuerung bestimmte Rechner blocken. Das ist aber genau das Gegenteil von dem, was ich will.


Hab ich irgendwas übersehen? Gibt es Denkanstöße für mich?

[Wikinger74]

Fragen wir doch erst einmal, wieviel möchtest du maximal investieren?
Ich weiß nicht welchen Speedport du hast, aber für die meisten bekommst du mitlerweile auch Fritz!Box Firmware.
Hier hast du wesentlich mehr Möglichkeiten. Zum Beispiel immer gleiche IP für ein Gerät und auch kannst du bei den neueren mittlerweile die Adressen die aufgerufen werden können einstellen.

[apollo]

Erster Lösungsansatz: Proxy
Alle Proxys, welche ich mir angeschaut habe, müssen im System bzw. Browser hinterlegt werden. Also ganz einfach zu umgehen.

Das Problem ist dabei aber wohl eher der Client, nicht der Proxy.

Wie wäre es mit einer Kombination aus 3 und 1:
Per SpeedPort allen Rechner den Internet-Zugriff verbieten und auf allen den Proxy einrichten.
Wer den Proxy rausnimmt, kommt halt nimmer raus.

Gruß apollo

[rasti]

Fragen wir doch erst einmal, wieviel möchtest du maximal investieren?

So wenig wie möglich. Finanzminister(in) sitzt mir im Nacken....

Ich weiß nicht welchen Speedport du hast, aber für die meisten bekommst du mitlerweile auch Fritz!Box Firmware.
Hier hast du wesentlich mehr Möglichkeiten. Zum Beispiel immer gleiche IP für ein Gerät und auch kannst du bei den neueren mittlerweile die Adressen die aufgerufen werden können einstellen.

W722V. Ich hatte vorher einen Netgear VPN-Router, der lässt aber Entertain nicht durch. Daher der Speedport.

[rasti]

Erster Lösungsansatz: Proxy
Alle Proxys, welche ich mir angeschaut habe, müssen im System bzw. Browser hinterlegt werden. Also ganz einfach zu umgehen.

Das Problem ist dabei aber wohl eher der Client, nicht der Proxy.

Wie wäre es mit einer Kombination aus 3 und 1:
Per SpeedPort allen Rechner den Internet-Zugriff verbieten und auf allen den Proxy einrichten.
Wer den Proxy rausnimmt, kommt halt nimmer raus.

Gruß apollo

Das ist doch mal ein interessanter Lösungsansatz.

Ich sperre alle Rechner bis auf den Server. Auf dem Server läuft der Proxy, welcher bestimmte URLs durchgehen lässt.

Blockt der Speedport dann alles? Oder nur den http-Port? Obwohl, ist ja eigentlich wurscht, der Mailverkehr wird eh über den Server abgewickelt...

Welcher Proxy für Windows empfiehlt sich? Ist der Squid für Win empfehlenswert? Oder gibt es Alternativen?

Ach ja, in absehbarer Zeit werden die W2k-Clients durch ThinClients ersetzt. Das müsste dann doch auch per RemoteDesktop funktionieren.... Wobei, der Terminalserver ist eine andere Maschine. Also gar kein Thema...

[der-Leo]

Vielleicht taugt das hier ja etwas:
http://computingondemand.com/turning-yo ... oxy-server