Hallo allerseits,
On Fri, Oct 22, 2010 at 08:08:48PM +0200, Joachim Heller wrote:
Die Workstations können nur und
ausschließlich den Server ansprechen.
Da sind wir beim Problem. Wie wird das sicher gestellt?
Sofern die Schüler keinen root-Zugang haben, können sie auch keine
Defaultroute setzen (das ist der Eintrag, den man braucht, um das lokale
Netz verlassen zu können). Wenn keine gesetzt ist, haben die Clients
tatsächlich nicht die Möglichkeit, ins Internet zu kommen, außer über
den per lokaler Netzwerkroute erreichbaren Tjener.
Das Szenario funktioniert allerdings nur bei Clients, die vollständig
unter Kontrolle sind.
Wenn da nun jmd die IP vom Gateway (ist ja kein Geheimnis und
jederzeit von jedem in der Doku nachlesbar) eintraegt?
Zumindest unter Linux hat nur der Administrator dazu die Möglichkeit,
aber es ist generell nicht ratsam, sich darauf zu verlassen, dass
niemand im lokalen Netz in der Lage ist, etwas an seiner eigenen
Netzwerkkonfiguration zu verändern.
Eine bessere Variante, die auch mit schülereigenen Notebooks
funktioniert, ist, auf dem Gateway das Forwarding ins Internet auf die
IP des Tjener (10.0.2.2) zu beschränken, und keine anderen Rechner
zuzulassen. Das hat bedingt mit dem Thema "Firewall" zu tun, ist aber
eher eine selektive Freischaltung einer IP.