internet tiltas gepenkent

[Hambuch Gábor]

Kubanka Peter írta:

> Az én elgondolásom, iptables, php, mysql felhasználásával
> történne,weblapon keresztül, php segítségével,egy iptables parancsal
> tiltanám a netet, de nemtudom ez mennyire müködőképes, mennyire
> szeretné az iptables az állandó változtatásokat.
> 
> Ha valaki használ ilyen iptables megoldást, tapasztalatára kiváncsi lennék.

Én majdnem teljesen ezt a megoldást alkalmazom, igaz mysql nélkül.
Írtam egy php-t, ami a dhcpd configja alapján (némi egyéb infó megadása 
után) épít fel egy weblapot. Gépenként egy-egy checkbox, a gépek 
csoportosítva. A dhcp config helyett fixen bele lehet írni a php-be a 
gépeket is, eleinte úgy működött. Viszont ez a megoldás egy belső 
hálózaton üzemelő dns szervert feltételez, mert gépneveket használ a 
tiltáshoz. A weblaphoz a hozzáférést .htaccess-en keresztül szabályozom.
A tiltásokat iptables-el teszi fel a php, sudo-n keresztül (tudom, hogy 
sechole lehet, de amennyire tudtam minimalizáltam a kockázatot néhány 
trükkel). Egy külön láncot használok a szűrésre, ahol is a squid portját 
tiltom csak (egyébként csak proxy-n keresztül érik el a gépek az 
internetet). Ezzel elérem azt, hogy az internet tiltva van, de a suli 
weblapja továbbra is elérhető, mert azon a gépen van, amin a proxy is.
Évek óta teljesen jól működik ez a megoldás nálunk, nincs vele probléma.
Maga a lap a helyi sajátosságok szerint lett írva (meg nem is túl szép a 
kódja..), szóval nem szívesen tenném ki publicba. Ha érdekel valakit, 
akkor magánban elküldöm szívesen, némi magyarázattal a működéshez.

-- 
Hambuch Gábor
hambuch at server.radnoti-pecs.sulinet.hu