Re: Squid-Nutzung erzwingen
Am Dienstag, den 18. Januar hub Albrecht Frank folgendes in die Tasten:
> Ralf Gesel|ensetter wrote:
> >Am Dienstag, 18. Januar 2005 14:40 schrieb Maximilian Wilhelm:
> >>Spar die Arbeit und das Geld und stell Dir einen zentralen Router
> >>dahin, der Verbindungen nach aussen filtert.
> Der ist sowieso notwendig.
> Ansonsten bin ich der Meinung, daß max. 20% des Netzverkehrs in der Klasse
> über den zentralen Switch gehen sollte. Sobald Wxx-Rechner dabei sind,
> ist es wesentlich besser, wenn nicht jeder Wxx- jeden anderen Wxx-Rechner
> in der Schule sieht. So kann man auch Virenbefall in Grenzen halten.
D.h., dass Du die Ports 135-139 auf jedem router blocken muesstest
=> d.h. weiter, dass Du dann auch nicht mehr auf einen samba-server
zugreifen koenntest (es sei denn, Du gibts ihn fuer *jedes* subnetz
auf *jedem* Router frei.
Wie ich schonmal sagte:
Das ist *viel* *zu* *viel* Administrationsoverhead und eine viel zu grosse
Fehlerquelle.
Wenn ich mal Dein Argument der "Normalisierung" der "Neuen Medien"[tm] zum
Standardwerkzeug aufgreifen darf, waere dass eine genauso grosse, wenn nicht
groessere Gefahrenquelle, die das ganze Netze oder Teile *unbrauchbar* machen
kann.
Mit dem Unterschied, dass man fuer spezielle Router kein Standard-webmin-GUI
entwickeln kann und somit auch nicht jeder Lehrer (der das duerfen soll)
ein vereinfachtes Interface (Klasse 5a -> offline, jetzt)
> >Der Gedanke, den Lehrerrechner als Router zu nehmen, impliziert, dass
> >die Schüler erst ins Netz kommen, wenn der Lehrer seine Kiste
> >angeworfen hat. Wo die Verkabelung eh handgestrickt und raumweise
> >vorliegt, wäre das ggf. eine Möglichkeit - aber auch sehr individuell.
> Das ist eine ganz schön harte Unterstellung.
> Habt Ihr von jedem U-Raum 20-30 Netzwerkkabel zur zentralen Patchbay?
> Dann ist das m. E. ein Fall für den Rechnungshof. ;-)
> Die Netzwerkverkabelung ist eh der dickste Brocken der IT-Infrastruktur.
> Ich weiß ja nicht, wie viel Ahnung Du von Netzwerktechnik hast.
Ralf hat so ein Setup laufen.
Ich fuer meinen Teil bin u.a. Systemadminstrator an der Uni Paderborn und
moechte mal behaupten, mit den Grundlagen der Netzwerktechnik klar zu kommen.
Auch wenn Du nur 2-3 Patchdosen pro Raum hast, kannst Du - dank Sterntopologie -
immernoch einen Switch in den Raum stellen und diesen ggf. per GBic "hoch-
patchen".
> >Anbieten würde sich, den LTSP als Lehrerrechner zu verwenden - aber: Ein
> >Server gehört m.E. in sichere Verwahrung.
> cf. oben.
> Auch bei einem Schulneubau bekommt Ihr nicht mehr als 4-6 Netzwerkkabel
> in jedes Klassenzimmer oder Gruppenraum.
Nein.
Ich kenne zufaellig eine vor ~2-3a neu gebaute Schule:
Der Computerraum dort hat genug Patchdosen, die auf einem zentralen Verteiler
landen.
> Ein LTSP ist in dem Sinne _kein_ Server, da er seine Programme und Daten
> vom Server holt und die Programme ausführt.
Er ist ein Server, da er Dienste anbietet.
Frueher haette so etwas dann Host gehiessen.
> Er gehört (netz-)topologisch möglichst nahe an die Terminals heran;
Das macht Sinn.
Daher kann man ihn ggf. als Lehrerrechner einsetzen.
Hier spielen aber auch noch einige Sicherheitsueberlegungen einen Rolle,
die ich hier mal aussen vor lassen moechte.
> ein
> Router ist er normalerweise nicht, da er ja als Computing Server
> agiert und die X-Terminals nur mit ihm kommunizieren. Und selbständige
> Clients haben im LTSP-Subnetz _absolut_nichts_ verloren.
Wenn es netztechnisch nicht anders geht, kann man sie dort auch unterbringen;
es ist nicht wirklich schoen, aber technisch kein Problem.
> >Dirk G. arbeitet gerade an einem Webmin-Interface für Squidguard -
> >vielleicht kann man hier ein Raumkonzept integrieren. Eine
> >entsprechende Debatte läuft gerade auf debian-edu.
> Kann ich nichts dazu sagen, nur daß ich von einem zentralisierten Konzept
> bei Schulnetzwerken nicht viel halte. In der Schule hat doch jeder
> Klassenraum auch _eine_ Tür, die während des Unterrichts normalerweise
> geschlossen ist. Daß es auch direkt miteinander verbundene Räume gibt,
> liegt im Konzept der Gruppenräume und bestätigt die Regel.
Du musst aber trotzdem durch die Haupttuer in die Schule (und auch wieder
raus), ergo hast Du auch einen zentralen Router.
> Und ein Lehrer, der den Zugriff für seine Klasse auf das Internet am
> zentralen Proxy oder gar am zentralen Router steuert, gehört mit dem nassen
> Handtuch erschlagen, da sie/er viel zu leicht anderen Klassen den für
> den Unterricht ggf. lebensnotwendigen Internetzugang abdrehen kann.
> (z. B. in prüfungsähnlichen Situationen)
Dass das nicht passiert ist Aufgabe des Admin-GUIs, dass optimalerweise
solche "Tasks" vereinfach darstellt, damit sie jeder Lehrer (ich unterstelle
hier mal, dass nicht jeder Lehrer weiss, was ACLs, IPs, Proxies oder Router
sind) moeglichst einfach und sicher bedienen kann.
Wer soll Deiner Meinung nach, die Router Administrieren?
Der Otto-Normal-Informatiklehrer wird das sicher nicht immer schaffen.
(Ich weiss, dass es Lehrer gibt, die sehr tief in der Materie stecken,
nichts fuer Ungut!)
Und wenn da ein Fehler passiert, steht auch alles und es kann auch nicht
so einfach revidiert werden.
=> Fussschuss!
> Leute, denkt doch einmal ein bißchen in die Zukunft. Wenn der Rechner für
> die Schüler zum normalen Werkzeug wie Bleistift, Papier und Lineal wird,
> kracht das System nach Eurem Konzept mit vollem Karacho gegen die Wand.
Wo denn?
Mit ein paar *kleinen* Abwandlungen koennte man Debian-edu auch bei uns
in der Universitaet einsetzen.
Wir haben hier ~150 - 200 Kisten in mehreren Etagen/Bueros stehen; moechtest
Du fuer jedes Buero oder fuer jede Etage einen Router anschaffen?
> Und die Netzwerkplanung einer Schule macht man nicht nur für die nächsten
> zwei, drei Jahre, sondern eher drei bis fünf Jahrzehnte.
> Da kommt man m. E. an einem hierarchischen Konzept nicht vorbei.
Klar kommt man.
Was an einer Uni funktioniert, wird auch an eine Schule installieren.
Ich wage mal zu behaupten, dass die 3-4 Rechner (von mir aus auch 30-40)
die ueblicherweise in einer Schule stehen keine kuenstlich "normalisierte"
Netzwerkstruktur rechtfertigen.
> Wenn jeder Furz über den zentralen Switch geht, reicht bei den Schulgrößen
> im Ballungsraum auch 10-Gigabit-Ethernet nicht mehr aus.
-----schnipp-----
> Ich weiß ja nicht, wie viel Ahnung Du von Netzwerktechnik hast.
-----schnapp-----
Wie schaut das bei Dir aus?
Reden wir ueber moegliche Verbindungsgeschwindigkeiten oder ueber die Backplane
der Switche?
Bei uns reichen 48 * 100Mbit mit 1 * 1GBic uplink zu naechst hoeren
Switch dicke.
Fuer den normalen PC wuerde ein 10MBit Netzwerkkarte dicke reichen und
fluessig zu Arbeiten (Office, Web, Mail...).
Der Flaschenhals ist eher Dein Fileserver, da hier die geballte Ladung
an Anfragen auflaeuft; das wuerdest Du aber auch nicht mit Routern verhindern.
Dinge wie Windosen, die das Netz mit Broadcast begluecken kann und sollte
man mit WINS-Servern (Samba macht das bei uns) unterbinden.
> Ich will hier nicht streiten oder gar einen Flamewar lostreten, deshalb
> klinke ich mich aus der Debatte aus.
So einfach kannst Du es dir nicht machen...
Ciao
Max
--
May the penguin be with you.
Reply to: