Re: Squid-Nutzung erzwingen

To: user@skolelinux.de
Subject: Re: Squid-Nutzung erzwingen
From: Maximilian Wilhelm <max@rfc2324.org>
Date: Tue, 18 Jan 2005 14:40:41 +0100
Message-id: <[🔎] 20050118134041.GA28863@galois.math.uni-paderborn.de>
Mail-followup-to: Maximilian Wilhelm <max@rfc2324.org>, user@skolelinux.de
In-reply-to: <[🔎] 41ECF759.1090008@web.de>
References: <[🔎] 20050117204748.28577e2f.skolelinux@fernmeldung.de> <[🔎] 200501172118.06021.rgx@gmx.de> <[🔎] 20050117233023.GC545@rfc3514.org> <[🔎] 41ECF759.1090008@web.de>

Am Dienstag, den 18. Januar hub Albrecht Frank folgendes in die Tasten:


> > 1. zweite Netzwerkkarte in den Tjener und die 10.0.2.1 als zweite IP
> >    auf die interne NIC

> >    Allen Verbindungen, die von innen nach <irgendwo aussen> Port 80 wollen
> >    a) per tcp-reset (schnell) oder icmp-admin-prohibited ("sauber") 
> >    abblocken
> >        => Wer keine Proxy nutzt hat verloren.
> >    b) auf Port 3128 redirecten (transparenter Proxy, kann dann leider
> >       keine Authentifikation mehr)
> >       
> >   Dahinter kann man dann einen 0815-DSL-WLAN-Wollmilchsau-Router
> >   nehmen.

> Da muß die Konfiguration des tjener aber gewaltig geändert werden.

Nein.

> Routing,
Eine Netzroute bekommst Du automatisch.
Man muss lediglich die defaultroute auf 10.0.2.1 loeschen und eine
neue auf die IP des Routers einfuegen.

> iptables,

Muesste standardmaessig drauf sein.
Ein Regel a la "iptables -t nat -A POSTROUTING -s 10.0.2.0/23 -j MASQUERADE"
und ein "echo net.ipv4.ip_forward = 1 >> /etc/sysctl.conf" ist auch nicht zu
viel verlangt.

> neuer Kernel usw.

Nein.


> Eigentlich gehört zwischen die Rechner in einem Unterrichtsraum und
> dem zentralen Switch ein weiterer Router, der diese Sachen kontrolliert
> und verhindert, daß die Schüler 'ausbüchsen'. Da _kann_ keiner so leicht
> die iptables auf dem Router austricksen.
> Da böte sich der Lehrerrechner an als Router zu fungieren.

Wozu soviel Aufwand?
Das ist weder finanzierbar, noch vernuenftig wartbar.
Innerhalb des Netzen koennen die Schueler ruhig sshen, so erlaubt oder
sich webseiten des Servers anschauen; dabei verlierst Du nichts.

Spar die Arbeit und das Geld und stell Dir einen zentralen Router dahin,
der Verbindungen nach aussen filtert.

> Aber das ist im Skolelinux-Konzept leider (noch) nicht vorgesehen und auch 
> recht
> schwierig dies vorzukonfigurieren, da (fast) das gesamte Konzept umgeworfen
> werden müßte.

Das kannst Du auch mit firewall aus jeder Workstation und auf jedem TS
realisieren.

Ciao
Max
-- 
|           |                 Follow the white penguin.
|  |\/|  |  |-----------------------------------------------------------.
|  |  |/\|  |  Rechnerbetrieb Mathematik  |   Meine Baustellen:  TSM    |
|           |  Universitaet Paderborn     |   Hostmaster, Linux, LDAP   |

Reply to:

Follow-Ups:
- Re: Squid-Nutzung erzwingen
  - From: Ralf Gesel|ensetter <rgx@gmx.de>

References:
- Squid-Nutzung erzwingen
  - From: Arnulf <skolelinux@fernmeldung.de>
- Re: Squid-Nutzung erzwingen
  - From: Ralf Gesel|ensetter <rgx@gmx.de>
- Re: Squid-Nutzung erzwingen
  - From: Maximilian Wilhelm <max@rfc2324.org>
- Re: Squid-Nutzung erzwingen
  - From: Albrecht Frank <abfrankffm@web.de>

Prev by Date: Re: Squid-Nutzung erzwingen
Next by Date: Re: Squid-Nutzung erzwingen
Previous by thread: Re: Squid-Nutzung erzwingen
Next by thread: Re: Squid-Nutzung erzwingen
Index(es):
- Date
- Thread