Will
Anmeldungsdatum: 19. November 2006
Beiträge: 173
Wohnort: /hd
|
Hallo Leute! Ich habe Kinder die gerne mal am Rechner spielen, Musik hören und Fotos anschauen. Da muss ich nicht immer dabei sein. Ich habe für die Kids (9 und 5 Jahre) ein eigenes Benutzerkonto eingerichtet. Und jetzt möchte ich ihnen die Möglichkeit nehmen ohne Kontrolle auf das Internet zuzugreifen. D. h. über das Benutzerkonto soll man nicht auf das Internet zugreifen können. Ins Internet komme ich per LAN über einen Router. Kann mir einer helfen?
|
icux
Anmeldungsdatum: 15. Oktober 2006
Beiträge: Zähle...
Wohnort: Baden-Wuerttemberg
|
Hallo, also ich stelle mir das etwas schwierig bzw. umständlich vor. Möglichkeit 1: Z.B. mittels Berechtigung den Zugriff auf den Browser beschränken. Allerdings sehr umständlich, denn wenn die Kids surfen dürfen, musst Du die Rechte wieder entsprechend ändern; und auch dann wieder, wenn sie nicht dürfen. Möglichkeit 2: Da Du ja über einen Router verfügst, dessen Adminoberfläche (natürlich) passwortgeschützt ist, könntest Du jeweils immer vor Beginn der "Kids-Aktivitäten" die Verbindung trennen. Später für den Eigengebrauch via "Klick" wieder aktivieren. Also mehr Möglichkeiten sehe ich hierbei leider nicht. Gruß, Marcus
|
The_Eye
Anmeldungsdatum: 14. August 2005
Beiträge: 493
|
Keine Ahnung wie es bei LAN ist. Aber in der Benutzer-und-Gruppen-Konfiguration gibt es doch die Möglichkeit einem User den Zugriff auf das Modem zu verweigern und eine Verbindung zum Internet zu erstellen. Gruß
|
Will
(Themenstarter)
Anmeldungsdatum: 19. November 2006
Beiträge: 173
Wohnort: /hd
|
Hallo! Man kann unter "Benutzer & Gruppen" durch das Setzen der entsprechenden Gruppe die Einwahl per Modem erlauben/verbieten. Die LAN-Verbindung zum Router wird mit dem Booten des Rechners hergestellt und dafür gibt es keine Gruppe. Die Kids sind in folgenden Gruppen vertreten: cdrom, floppy, audio, video, plugdev, scanner Bisher mach ich es in der Art wie icux es unter Möglichkeit 2 beschreibt. Nur dann kann ich den Kindern nicht das Passwort zum Rechner geben. Will
|
glatzor
Anmeldungsdatum: 12. März 2006
Beiträge: Zähle...
Wohnort: Vierkirchen bei Dachau
|
Du kannst das über die Firewall regeln: iptables -o ppp+ -m owner --uid-owner KIND -j DROP KIND musst Du durch den Benutzernamen Deines Kindes ersetzen. ppp+ gilt für alle ppp-basierenden Netzwerkschnittstellen. Falls Du einen Router verwendest kannst Du es durch eth+ ersetzen. In der Systemdokumentation unter Hilfe kannst Du nachlesen, wie Du einen Befehl bei jedem Start des Rechners ausführen lassen kannst. Grüße, Sebi
|
bero
Anmeldungsdatum: 31. August 2006
Beiträge: 637
|
Hallo, das Problem kommt mir sehr bekannt vor. Konnte es zwischenzeitlich bei WLAN so lösen, dass ich einfach den USB-Stick weggeschlossen habe. 😀 Inzwischen habe ich mich für folgende Lösung entschieden: Habe bei den Kindern im Profil den Menupunkt "Internet" gelöscht und noch sind sie nicht so pfiffig, dass sie herausgefunden hätten, dass man den firefox auch über einen Terminal starten kann. Obwohl der Große (12) langsam anfängt, sich mit der Konsole zu beschäftigen, ist also wohl ne Frage der Zeit. Fürs Surfen der Kinder habe ich einen neuen Benutzer angelegt, dessen PW natürlich nur wir Eltern kennen, so dass wir das Surfverhalten steuern können, ohne unsere eigenen Profile zur Verfügung stellen zu müssen. Gruß Bernd
|
infonaut
Anmeldungsdatum: 24. November 2006
Beiträge: Zähle...
Wohnort: Germany/Passau
|
Habe bei den Kindern im Profil den Menupunkt "Internet" gelöscht und noch sind sie nicht so pfiffig, dass sie herausgefunden hätten, dass man den firefox auch über einen Terminal starten kann. Obwohl der Große (12) langsam anfängt, sich mit der Konsole zu beschäftigen, ist also wohl ne Frage der Zeit.
Na dann ist es nur ne Frage der Zeit bis er mit ner Rescue CD root wird. Ich glaub da darfst du dir wirklich was anderes einfallen lassen 😉 USB Stick wegschließen ist wohl ein Weg, bis er sich... ein Kabel legt, dann musst du wohl den WLAN Router sperren. Nichts für ungut, ich hab auch 2 Jungs. as
|
bero
Anmeldungsdatum: 31. August 2006
Beiträge: 637
|
Na dann ist es nur ne Frage der Zeit bis er mit ner Rescue CD root wird. Ich glaub da darfst du dir wirklich was anderes einfallen lassen.
.....ich weiß ja das du recht hast, aber dann helfen alle systeminternen Massnahmen nix! 😀 Wenn ich an der Stelle weiterdenke (Live-CD, Recovery-Modus) müsste ich eh mit nem BIOS-Passwort arbeiten. <Pädagogikgeschwafel an> Irgendwann bekommen die eh raus, wie sie ohne Zustimmung an den PC, ins Netz, auf einschlägige Seiten, zu Ballerspielen und was weiß ich was kommen. Spätestens dann kommen die Uraltthemen wie Vertrauen, richtige Erziehung usw. auf den Plan. Dennoch erhebe ich den Anspruch, dass ich bei der Lütten noch danebensitze, wenn sie surft und beim Großen wenigstens ab und an mal einen Blick werfe. <Pädagogikgeschwafel aus> 🙄 Schaut mir doch der Große gerade unbemerkt über die Schulter....... und lacht sich kapput....
|
Will
(Themenstarter)
Anmeldungsdatum: 19. November 2006
Beiträge: 173
Wohnort: /hd
|
Hallo! Die Idee den Internetzugriff per iptables zu unterbinden find ich super. Nur bekomme ich folgende Fehlermeldung: iptables v1.3.3: no command specified Ich habe mal in die manpage geschaut und kann keinen Fehler entdecken. Den Befehl habe ich in der Konsole eingegeben. ppp+ habe ich gegen eth+ ersetzt und KIND habe ich gegen den Nutzernamen der Kinder ausgetauscht. Da ich bisher noch keine Firewall installiert hatte habe ich firestarter installiert. Gruß. Will
|
Superdreadnought
Anmeldungsdatum: 31. Mai 2006
Beiträge: 563
|
gib bitte mal das genau kommando, das du benutzt hast, an.
|
Will
(Themenstarter)
Anmeldungsdatum: 19. November 2006
Beiträge: 173
Wohnort: /hd
|
Ich habe folgendes eingegeben: sudo iptables -o eth+ -m owner --uid-owner babes -j DROP
|
Superdreadnought
Anmeldungsdatum: 31. Mai 2006
Beiträge: 563
|
du musst firestarter dazu nicht installieren. firestarter ist nur ein programm, das über den umweg iptables eine firewall zusammenbastelt. linux hat von haus aus einen portfilter im kernel integriert, der sich mit iptables ansprechen lässt. glatzor hat am anfang einfach was vergessen (ist halt auch nur ein mensch) ich hab das interface jetzt auch mal weggelassen (braucht es eigentlich nicht, es sei denn, du willst, dass sie über ein anderes doch ins netz kommen). folgendes gerät lässt vom user babes einfach garnix raus:
iptables -A OUTPUT -m owner --uid-owner babes -j DROP
|
Will
(Themenstarter)
Anmeldungsdatum: 19. November 2006
Beiträge: 173
Wohnort: /hd
|
Funktioniert SUPER! Genau wie ich es wollte. Bisher habe ich mich allerdings noch nicht mit iptables befasst. Gilt die Einstellung dauerhaft? Dann wüsste ich noch gerne wie ich wieder den Urzustand herstelle. Ich möchte mich bei allen bedanken die sich mit meiner Frage befasst haben. War meine erste Frage und es hat bestens geklappt. Ein besonderes Danke an glatzor (Sebi) und Superdreadnought. Will
|
Superdreadnought
Anmeldungsdatum: 31. Mai 2006
Beiträge: 563
|
iptables regelt, wie ich schon gesagt habe, das paketfilter-modul des kernels. einstellungen, die du mit iptables tätigst halten genau bis zum neustart deines systems. damit dann auch automatisch beim systemstart die oben angeführte filterregel gesetzt wird, musst du ein autostart-script erstellen. das geht folgendermaßen. speichern in /etc/init.d (dateiname is wurscht - hauptsache du erkennst ihr igrendwann mal wieder (also am besten einer, der sinn ergibt - ich nehm jetzt mal iptab-filter.sh):
#!/bin/bash
iptables -A OUTPUT -m owner --uid-owner babes -j DROP in der konsole
ln -s /etc/init.d/iptab-filter.sh /etc/rc2.d/S99iptab-filter EDIT: Falls du mehr zu autostart wissen willst, lies dir mal Dienste und rc.local durch.
|
Will
(Themenstarter)
Anmeldungsdatum: 19. November 2006
Beiträge: 173
Wohnort: /hd
|
Ich habe den Dienst in die rc.local eingefügt. Jetzt wird bei jedem Systemstart der Dienst ausgeführt. Keine weiteren Fragen Euer Ehren 😀 . Gruß. Will
|