Download bestimmter Dateitypen im Router unterbinden

[theton]

Ich habe hier einen Router mit Ubuntu-Server drauf. Jetzt will ich fuer bestimmte Rechner im Netzwerk (alle Rechner im LAN sind mit festen IP-Adressen ausgestattet) den Download bestimmter Dateitypen (.zip, .exe und .rar) unterbinden. Hat jemand eine Idee, wie ich sowas am Besten bewerkstelligen kann?
Alle betroffenen Workstations, denen ich den Download dieser Dateitypen verbieten will, laufen mit Windows 2000 (ja, ich weiss, is sch..., will Chef aber so). Da Windows-Sicherheitsmechanismen bekanntermassen leicht umgangen werden koennen, moechte ich das gern direkt auf dem Router realisieren, sofern es irgendeine Moeglichkeit gibt.
Ausserdem muss die Moeglichkeit bestehen, dass ich den Download dieser Dateitypen von bestimmten Domains zumindest temporaer zulassen kann, falls mal doch ne Zip existiert, wo der entsprechende Mitarbeiter tatsaechlich ran muss.

 

[marzl]

den Download bestimmter Dateitypen (.zip, .exe und .rar) unterbinden. Hat jemand eine Idee, wie ich sowas am Besten bewerkstelligen kann?

das geht nur über einen proxy. schau dir mal squid als content filter an.

 

[sono]

du solltest dir in diesem Zusammenhang vielleicht gleich noch Squidguard anschauen , und wenn du lustig bis kannst du mit einem Router und Squid direkt nen Transparenten Zwangsproxie einrichten.

Damit bist du schonmal auf der relativ sicheren Seite.

Dann noch clamav an Squid anbinden und du bekommst direkt noch alles was durchkommt auf Viren und Malware gescannt .

Gruß Sono

 

[Rothut]

na ja auf clam av würde ich (noch) nicht vertrauen.
Geht das nicht auch mit antivir?

 

[sono]

Schau mal beim Open Antivirus Team , vielleicht gibts da was .

Ich weiß nur dass Antivir was für Mailserver und wohl auf für Fileserver hat.

 

[theton]

Danke, Squid war nen guter Hinweis. Werde den jetzt mal einrichten. Bis ich mich da allerdings durch die Konfiguration gewuselt habe, wird wohl ne Weile vergehen.

 

[theton]

So, grundlegend laeuft Squid jetzt. Nun stellen sich mir nur noch 2 Fragen, weil ich keine richtige Doku dazu finde:
1. Wie kann ich dafuer sorgen, dass .exe-Dateien ausgefiltert werden? (hab von regexps leider kaum Ahnung, Tip fuer ne Doku waere fein )
2. Was muss ich tun, damit jeglicher Netzwerktraffic, der ueber den Router geht, durch Squid gefiltert wird?

Die Konfiguration ist momentan noch sehr rudimentaer (funktioniert aber) und sieht wie folgt aus:

# Allgemeines
http_port 3128
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_mgr mein@email.de

#
# Access Control Lists
#

# verbotene Woerter in URLs
acl badurl1 url_regex -i sex
acl badurl2 url_regex -i porn
acl badurl3 url_regex -i password
acl badurl4 url_regex -i hacker
acl badurl5 url_regex -i freeware

# ACLs fuers Netzwerk
acl mynetwork src 192.168.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0

# Seiten, die 'sex' in der URL enthalten, verbieten
http_access deny badurl1
# Seiten, die 'porn' in der URL enthalten, verbieten
http_access deny badurl2
# Seiten, die 'password' in der URL enthalten, verbieten
http_access deny badurl3
# Seiten, die 'hacker' in der URL enthalten, verbieten
http_access deny badurl4
# Seiten, die 'freeware' in der URL enthalten, verbieten
# LAN die Benutzung des Proxy erlauben
http_access allow mynetwork
# localhost darf den Proxy auch benutzen
http_access allow localhost
# alle anderen haben an diesem Proxy nichts zu suchen
http_access deny all