Howto: Domain-Usern Zugriff auf Internetseiten sperren

Hallo Besucher, schön dass du hier hergefunden hast. Ich hoffe dir gefällt was du hier liest und schaust ab sofort öfter vorbei. Viel Spass! Daniel

Wie hindere ich die User in meiner Domäne daran ungewollte Seiten zu besuchen? Indem ich per Gruppenrichtlinie einen Proxy für die Verbindungen des Browsers konfiguriere. Proxys gibt es viele, ich habe mich durch meine Linux-Affinität für squid3 entschieden.

Installation

Die Installation gestaltet sich wie bei Ubuntu immer recht einfach:

aptitude install squid3

Konfiguration

Die Konfigurationsdatei von squid3 ist durch die vielen informativen Kommentare extrem aufgebläht. Um einen Überblick über die reinen Konfigurationsparameter zu bekommen benutze ich folgenden Befehl:

cat /etc/squid3/squid.conf | sed '/ *#/d; /^ *$/d'

Nun sieht man die aktuelle Konfiguration in Reinform. Anschließend machen wir im Block “http_access” der Konfiguration folgende ergänzende Angaben:

acl blocksites dstdomain "/etc/squid3/badsites.conf"
acl lan src 192.168.2.0/24
http_access deny blocksites
http_access allow lan
  1. Da mitunter viele Internetseiten geblockt werden sollen, lagert die erste Konfigurationsanweisung die Angabe der Internetseiten in eine Datei aus. Der Pfad zur Datei wird in Anführungszeichen angegeben. Es wird pro Zeile eine Internetseite angegeben:
    www.facebook.com
    facebook.com
    www.bild.de
    bild.de
  2. Ich gebe Informationen über das Netzwerk an, welches auf den Proxy zugreifen darf.
  3. Ich gebe die Anweisung den Zugriff auf alle Seiten die im acl blocksites definiert sind zu verwehren
  4. Ich gebe den Zugriff auf alle anderen Seiten frei

Nachdem man die Konfigurationsdatei geändert hat, muss man die squid3-Dienst neu starten:

/etc/init.d/squid3 restart

Die hier gemachten Konfigurationseinstellungen müssen nicht vollständig sein. Ich zeige hier lediglich wie schnell man dieses Problem umsetzen kann. Eine weitere Einarbeitung in das Thema kann hier erfolgen.

Gruppenrichtlinie

Nun muss noch eine entsprechende Gruppenrichtlinie in einer OU angelegt werden die die Einstellungen verteilt: Benutzerkonfiguration -> Windows-Einstellungen -> Internet-Explorer-Wartung -> Verbindung -> Proxyeinstellungen.

Sobald man das Häkchen “Proxyeinstellungen aktivieren” anhakt, kann man die Adresse des Ubuntu Servers samt dem entsprechendem Port 3128 angeben. Anschließend bitte auf Funktionalität prüfen.

Fehlerseiten

Wer die Fehlerseiten anpassen möchte findet diese in dem Pfad:

/usr/share/squid3/errors

EDIT:

Nach der Umstellung kann es zu Problemen mit Outlook 2007 und evtl. anderen Versionen kommen. Dies liegt daran, dass Outlook ab 2007 viele Informationen per http vom Exchange Server bezieht.  Hierzu muss in dem bereits oben genannten Baum in den Proxyeinstellungen unter Ausnahme der interne und externe Domänenname (domain.local/domain.com) eingetragen werden. Anderenfalls wird man ständig eine Popup-Meldung erhalten, die einen zur Eingabe des Usernamens samt Passwort auffordert. Dieser Popup kann nach meinem Test nur durch das Angeben der Ausnahmen verhindert werden.
Fragen, Anregungen und Kritik bitte in die Comments.

Beiträge die für dich ebenfalls interessant sein können:
    Leider gibt es keine Beiträge die für Sie ebenfalls interessant sein können

Comments are closed.