[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RE: Squid-Nutzung erzwingen

> -----Original Message-----
> From: user-bounces@skolelinux.de
> [mailto:user-bounces@skolelinux.de] On Behalf Of Stefan Padberg
> Sent: Wednesday, January 19, 2005 12:41 AM
> To: user@skolelinux.de
> Subject: Re: Squid-Nutzung erzwingen
> 
> 
> Hallo Arnulf!
> 
> Am Montag, 17. Januar 2005 20:47 hub Arnulf in die Tasten:
> " Wie geht das mit Squid- muss bei den Browsern der
> Proxyserver " eingestellt werden, oder geht alles, was an 
> gateway geht (10.0.2.1) " standardmäßig über squid?
> 
> Alles, was an 10.0.2.1 geht, geht per default NICHT an Squid,
> sondern geht 
> ungefiltert raus ins Freie.
> 
> Man muss den Squid in jedem einzelnen Browser einstellen. Da
> die Schüler das 
> im Prinzip rückgängig machen könnten, ist diese Lösung nicht 
> besonders 
> tragfähig.

ACK.
IMHO wird leider aber jeder Workstation per DHCP 10.0.2.1 als Gatewayeintrag
aufgehalst.

> 
> Denkbar wäre meines Erachtens - jedenfalls werde ich das bei nächster
> Gelegenheit ausprobieren - die default route nicht auf das 
> Gateway, sondern 
> auf den Squid einzurichten und dann vom Squid auf das Gateway 
> zu routen. Dann 
> ist zumindest alles, was von den ThinClients kommt, filterbar.
> 
> Brauchbar ist für mich auch der Vorschlag, auf dem Gateway
> mit ip_tables alle 
> IP-Adressen von Workstations abzublocken. Dann müssen die den Squid 
> einstellen, wenn sie rauswollen. Allerdings muss dein Gateway 
> in diesem Sinne 
> konfigurierbar sein.
> 
Meiner Meinung nach ist für diese Fälle, und so mache ich es bei mir in der
Schule, nur eine zusätzliche NIC im tjener angebracht (physikalische
Netztrennung). iptables "routet" dabei nur noch das, was von 10.0.2.2 kommt,
also von sich selbst. Alles andere wird verworfen.
Dabei ist der tjener somit gleichzeitig Gateway und hat die 10.0.2.1 auf der
einen und die 10.0.2.2 auf der anderen NIC.
Desweiteren bringt dies auch eine "einfachere" Anbindung an bestehende Netze
mit sich, sowie die Umgehung des Squid beim apt-get.

Mit freundlichen Gruessen,
Juergen Leibner
-- 
Coffeecup empty - Userpanic!
-- 
Jürgen Leibner	juergen.leibner@t-online.de
Tel 0521-8949019
-- 
Diese Mail wurde durch neueste Virenscanner mit den aktuellsten Signaturen
geprüft und ist bestmöglich virenfrei!
Reply to: