Re: Squid-Nutzung erzwingen
Am Dienstag, den 18. Januar hub Albrecht Frank folgendes in die Tasten:
> >D.h., dass Du die Ports 135-139 auf jedem router blocken muesstest
> > => d.h. weiter, dass Du dann auch nicht mehr auf einen samba-server
> > zugreifen koenntest (es sei denn, Du gibts ihn fuer *jedes* subnetz
> > auf *jedem* Router frei.
> Sind das nicht großenteils Broadcasts?
Wenn Du WINS nutzt und den Windowsrechner z.B. per DHCP (Hab ich mal in
die standard-config eingetragen, muss man nur noch auskommentieren.)
sagst, wo sie ihren WINS-Server finden, uns dass sie den immer zu erst
fragen sollen, ist das Thema nahezu vom Tisch.
> Auf dem Router läuft dann eh NAT und Aufbauversuche für Zugriffe von "außen"
> ins Subnetz werden per iptables geblockt (SYN).
Wenn Du NATtest brauchst Du keine SYN-Pakete nach intern mehr zu blocken.
> Dann ist die Klasse gegen Störungen von außen geschützt.
und der Admin muss laufen...
Im Zuge der Einfuehrung von Kerberos wird es ggf. erforderlich, dass man
vom tjener aus auf *jede* Workstation und *jeden* TS sshen kann.
> > Wie ich schonmal sagte:
> > Das ist *viel* *zu* *viel* Administrationsoverhead und eine viel zu
> > grosse
> > Fehlerquelle.
> Das muß nicht sein. Gerade Debian hat bei den iptables eine sehr gute
> Vorkonfiguration, die man fast unbesehen übernehmen kann.
> > Wenn ich mal Dein Argument der "Normalisierung" der "Neuen Medien"[tm]
> > zum
> > Standardwerkzeug aufgreifen darf, waere dass eine genauso grosse, wenn
> > nicht
> > groessere Gefahrenquelle, die das ganze Netze oder Teile *unbrauchbar*
> > machen
> > kann.
> Der Lehrer kann nur _sein_ Subnetz lahmlegen.
Da dieses System vermutlich im webmin auf dem tjener untergebracht
werden wuerde muesste eh jeder Lehrer auf den zentralen Server
zugreifen, um dieses feature nutzen zu koennen, ergo muesste er immer
alle Klassen/Raeume schalten koennen.
> > Mit dem Unterschied, dass man fuer spezielle Router kein
> > Standard-webmin-GUI
> > entwickeln kann und somit auch nicht jeder Lehrer (der das duerfen soll)
> > ein vereinfachtes Interface (Klasse 5a -> offline, jetzt)
> Da die Funktion standardisiert werden kann, ist das möglich.
Und nochmal: viel zu viel Aufwand fuer viel zu wenig Nutzen.
> >Ralf hat so ein Setup laufen.
> >Ich fuer meinen Teil bin u.a. Systemadminstrator an der Uni Paderborn und
> >moechte mal behaupten, mit den Grundlagen der Netzwerktechnik klar zu
> >kommen.
> Sorry Max, Dich habe ich damit nicht gemeint, es war Ralfs Statement, auf
> das ich geantwortet habe.
> Falls das unklar war, bitte ich um Entschuldigung.
> Ihr habt garantiert eine hierarchische Topologie über Backbone und nicht
> jeden Popelrechner direkt am zentralen Switch (der virtuell ist)
> angeschlossen.
Nein.
Wir haben eine klassische Sternverkabelung mit ein paar VLANs um Netze
trennen zu koennen; bis zum Uplink zun Router is *alles* per Layer2
verbunden.
Ich behaute mal, dass eine Schule niemals so viele Rechner haben wird,
wie wir in einem VLAN (reines Layer 2!) stehen haben.
> >Auch wenn Du nur 2-3 Patchdosen pro Raum hast, kannst Du - dank
> >Sterntopologie -
> >immernoch einen Switch in den Raum stellen und diesen ggf. per GBic "hoch-
> >patchen".
> Genau, über einen Router mit NAT, der Zugriffe von "außen" verhindert.
Nein.
Einfach nur eine Strippe vom Raumswitch zum naechst hoeheren (von mir aus
auch Backbone) oder zum TS, der im Serverraum haengt/steht.
[TS]
> Er hat nur die Funktion von auf eine Kiste zusammengeschrumpften
> Workstations.
> Und damit ist er gut beschäftigt. Deshalb braucht er m. E. nicht unbedingt
> im Serverraum stehen.
Interessante Logik.
> >Das macht Sinn.
> >Daher kann man ihn ggf. als Lehrerrechner einsetzen.
> >Hier spielen aber auch noch einige Sicherheitsueberlegungen einen Rolle,
> >die ich hier mal aussen vor lassen moechte.
> Genau deswegen habe ich die Maschinen bei manchen Funktionen gerne
> getrennt. Und zwar _physisch_.
> >>ein
> >>Router ist er normalerweise nicht, da er ja als Computing Server
> >>agiert und die X-Terminals nur mit ihm kommunizieren. Und selbständige
> >>Clients haben im LTSP-Subnetz _absolut_nichts_ verloren.
> >Wenn es netztechnisch nicht anders geht, kann man sie dort auch
> >unterbringen;
> >es ist nicht wirklich schoen, aber technisch kein Problem.
> Auch wenn es technisch kein Problem ist, genau so etwas macht dann die
> Sache unübersichtlich und damit potentiell instabil.
Weder noch.
Dafuer gibt es DHCP (da man eh eine Uebersicht hat, welcher Rechner
welche MAC hat, ist es ja kein Problem, einer Kiste eine bestimmte IP
zuzuweisen.)
Das ist dann nur ein Netzwerkgeraet mehr, dass "hinter" dem TS haengt.
> >Dass das nicht passiert ist Aufgabe des Admin-GUIs, dass optimalerweise
> >solche "Tasks" vereinfach darstellt, damit sie jeder Lehrer (ich
> >unterstelle
> >hier mal, dass nicht jeder Lehrer weiss, was ACLs, IPs, Proxies oder
> >Router sind) moeglichst einfach und sicher bedienen kann.
> Ein GUI kann das nie schaffen, es ist die Organisation, die das leisten muß.
> Und genau deshalb hat "jeder Lehrer" an _zentralen_ Diensten nichts zu
> schaffen.
Dafuer gaebe es dann ein intuitives GUI auf dem *zentralen* Server,
damit jeder Lehrer *einfach und sicher* den Raum der Wahl "an/aus"
schalten kann. Hier waren schonmal Netgroups im Gespraech, ich weiss
leider aus dem Stand nicht, was daraus geworden ist.
> >Wer soll Deiner Meinung nach, die Router Administrieren?
> Schon mal was von cfengine gehört? Speziell bei den *x'en gibt es sehr
> leistungsfähige Werkzeuge zur Systemwartung. Diese Werkzeuge sind durch
> ihre Leistungsfähigkeit natürlich sehr "scharf" und damit gefährlich.
> Aber gerade die Router benötigen relativ wenig Wartung.
Bei Deiner Konfiguration benoetigt er sehr viel Wartung, da Du
"andauernd" die Konfiguration aendern willst. (Raum an, aus).
cfengine bietet sich dafuer vermutlich weniger an.
> Die Administration eines Netzes mit mehr als zwei Rechnern bedarf eines
> gewissen Skills, auch wenn das manche Schulamtsdirektoren, Landräte,
> Regierungs- und Ministerpräsidenten nicht wahrhaben wollen.
> Auch und gerade für Netze mit Wxx-Rechnern.
Die Erfahrung hat aber leider gezeigt, dass diese "Skills" vielerorts
nicht vorhanden sind.
> Wenn sie/er ihre/seine Klasse "abschießt" blamiert sie/er nur sich selbst.
> ;-)
Super.
> >>Leute, denkt doch einmal ein bißchen in die Zukunft. Wenn der Rechner für
> >>die Schüler zum normalen Werkzeug wie Bleistift, Papier und Lineal wird,
> >>kracht das System nach Eurem Konzept mit vollem Karacho gegen die Wand.
> >Wo denn?
> >Mit ein paar *kleinen* Abwandlungen koennte man Debian-edu auch bei uns
> >in der Universitaet einsetzen.
> Die aber dann _etwas_ in Arbeit ausarten ;-)
Nein.
> >Wir haben hier ~150 - 200 Kisten in mehreren Etagen/Bueros stehen;
> >moechtest
> >Du fuer jedes Buero oder fuer jede Etage einen Router anschaffen?
> Für funktionale Trennung auf jeden Fall, manchmal genügt auch ein Switch
> der VLAN kann. Es kommt auf die Erfordernisse der Organisation an.
Etwa die gleichen, wie in einer Schule.
Den Bau kann man in etwa mit einer Schule vergleichen, wenn mir mal die
Bueros mit Klassenraeumen gleichsetzen. (Die Portanzahl duerfte etwa
stimmen :)).
Das funktioniert erstaunlich gut, mit einer flachen Netzstruktur fuer
*alle* Linuxrechner in dem Bau.
[Netzwerkstruktur]
> Die jetzige Situation ist mir durchaus bekannt. Aber wenn man etwas
> entwickelt, sollte man da nicht auch etwas in die Zukunft planen?
> Ich rede von Schulen mit bis zu 1000 und mehr Schülern und von der
> Projektion auf eine Zeit, die die Netzwerkstruktur aushalten _muß_.
Ja und?
Wieder der Vergleich mit der Uni:
Ich behaupte, dass unsere Mitarbeiter, die jeden Tag an ihren Rechner
arbeiten genug Netzlast produzieren (Homes, Mails, Web, DNS, LDAP, ...)
Mal ganz zu schweigen von groesseren Datentransfers a la Datensicherung
von ~40-50G / Maschine...
Das bischen Last, mit dem man dagegen in der Schule zu kaempfen
hat/haben wird ist eher "gering".
[Backbone]
> >Bei uns reichen 48 * 100Mbit mit 1 * 1GBic uplink zu naechst hoeren
> >Switch dicke.
> Auch wenn (selbstgemachte) Video- und Tonaufnahmen bearbeitet sowie
> Bildbearbeitung gemacht werden? Und das in mehreren Klassen gleichzeitig?
> In der Grundschule fängt es schon an... ;-)
Das Argument zieht nicht.
In dem Fall ist Dein Problem die Netzwerkanbindung des Fileservers und
nicht die Netzwerkverkabelung bis dahin.
Hier wuerdest Du mit x Routern genau garnichts gewinnen, ausser evtl.
zusaetzliche Verzoegerungen durch das Maskieren, was bei Videokrams eher
stoerend wirken duerfte.
[10Mbit Karten in den Clients wuerden reichen]
> Bei *x vielleicht ;-), sobald Wxx im Spiel ist, belegt das schon alleine
> ca 30-40% der Netzwerkkapazität (bei 10 Mbit/s).
=> WINS
[Der Flaschenhals ist eher Dein Fileserver]
> Das ist mir bekannt; deshalb: aufteilen.
Inwiefern?
Mehrere Fileserver, die ueberall gemountet werden?
Noch mehr Overhead und noch mehr Daten im Backbone.
> >Dinge wie Windosen, die das Netz mit Broadcast begluecken kann und sollte
> >man mit WINS-Servern (Samba macht das bei uns) unterbinden.
> ACK
> Ganz den Rand halten tun sie dann leider doch nicht...
Wenn Du vernuenftigen Zugriff auf den Fileserver haben willst, kommst Du
an einer direktverbindung mit entsprechendem Browsing nicht vorbei.
> Skolelinux ist für kleine Organisationen sehr gut bis ideal wenn man das
> Konzept übernehmen will und kann.
As I said: mit *kleinen* Veraenderungen (extra features wie Kerberos usw.)
koennten wir das fix in der Uni ausrollen.
Dafuer ist Debian-EDU auch konzipiert!
> Aber das hindert mich nicht daran, etwas über den Tellerrand zu schauen
> und ein wenig in die Zukunft zu projizieren, was notwendig oder auch nur
> wünschenswert werden könnte. Kann man nicht jetzt schon darauf hinarbeiten?
Warum unnoetige Arbeit machen?
Ciao
Max
--
Follow the white penguin.
Reply to: