Re: Frage zu DHCP / LDAP - dynamischer Bereich stimmt nicht
Hallo Michael,
Fladischer Michael schrieb:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hans-Dietrich Kirmse, 2010-07-15 18:27:
Es geht mir "nur" um die Lösung
(m)eines Problems. Dazu brauche ich eine Gruppierung von Rechnern
(unabhängig von den Netzwerkinterfaces) und das was du schreibst sehe
ich da nicht als Lösung für mich
Vielleicht hilft es, mal genauer zu beschreiben was du denn vorhast,
ohne auf der genauen Definition von "Pool" zu verharren.
ich versuche es mal anschaulich(er). Das ich es am Beispiel der Schule
mache - jeder sollte sich das vorstellen können ;)
In jeder Schule gibt es heutzutage mehrere Räume mit Rechnern und
Internetzugang. sicher haben die Schüler bestimmte Aufgaben, aber ob die
immer gerade darauf "Book haben" - die surfen auch auf Seiten, die
nichts damit zu tun, schlimmer noch, auf Seiten, auf die sie ganz
bestimmt nicht sollen (z.B. weil es kriminell ist oder weil die Schule
in Verruf kommen kann). Damit muss der Lehrer seiner Aufsichtspflicht
wenigstens stichprobenhaft nachkommen können. Nochmal es geht nicht
drum, dass man kontrollieren muss, aber *kann*. Bei Arktur gibt es da
z.B. das Deckers-Script, welches das Proxy-Logfile als HTML-Seite
aufbereitet wobei die URL auch noch als Link ausgeführt ist, sodass der
Lehrer (wenn er will) ganz schnell die Seite sich anschauen kann. Das
sieht so aus (die beiden unteren Screenshots):
http://arktur.schul-netz.de/wiki/index.php/Benutzerhandbuch:Surfkontrolle
Nehmen wir an, man hat 15 Rechner => 30 Schüler, die in dieser Stunde
jeder 10 Seiten aufruft (ist sicher nicht zu hoch gegriffen), in den
anderen 3 Räumen analog, dann sind pro 45 Minuten ca. 900 Zeilen zu
überblicken. Selbst wenn es nur 200 Zeilen wären, ist ad hoc am
Stundenende der überblick für einen "normalen" Lehrer nicht zu leisten.
Das würde aber ganz anders aussehen, wenn alle die URLs, die gar nicht
aus diesem Raum aufgerufen wurden, einfach nicht angezeigt werden. Dazu
muss doch nur folgendes passieren: das Script bekommt ide IP des
aufrufenden Rechners (ENV-Variable) und schaut im LDAP nach, zu welchen
Raum diese IP gehört ("Pool"), damit weiss das Script den Raum und jetzt
werden einfach alle IPs zu diesem Raum ("Pool") noch geholt und dann
werden nur diese Links angezeigt, wo die IP der URL in dieser Liste
gefunden wird. das sieht dann z.B. so aus (Screenshot und Quelltext):
http://www.delixs.de/dwiki/index.php/Kirmse/Surfkontrolle oder auch
http://www.delixs.de/dwiki/index.php/Kirmse/Anmeldekontrolle oder auch
http://www.delixs.de/dwiki/index.php/Kirmse/Qotakontrolle
In ähnlicher Weise geht das auch mit dem Sperren und Freigeben des
Surfens, denn dazu müssen "nichts weiter" als IP-Listen für diesen raum
dem Squid zur Verfügung gestellt werden und ein reload und der ganze
Raum ist gesperrt bzw. freigegeben.
Sven hat schon
recht, dass du hier etwas anderes erwartet hast als im DHCP-Gebrauch
unter "Pool" verstanden wird.
okay: mir ist es doch völlig gleich ob das pool oder sonstwie heisst.
Hauptsache es ist eine Gruppierung für *feste* IPs.
Was ich vermisse, wie gedenkst du die logische Gruppierung der Rechner
zur Trennung vom Netz zu nutzen? DHCP und Paketkontrolle spielen sich
eigentlich in zwei getrennten Ebenen ab und IMHO sollte das auf Basis
von Subnetzen oder VLANs passieren.
soche "raumweisen" Filter oder das sperren der IPs eines Raums am Squid
oder auch bei der Firewall (wegen Masquerading) hat doch nichts mit
Subnetzen oder gleich gar nichts mit VLANs zu tun. Es geht einzig und
allein um *Gruppierungen* von Rechnern (im LDAP). Und da diese Zuordnung
fest sein muss (es geht nicht um Laptops), geht es um feste IPs.
Ich hoffe, ich konnte jetzt das Problem deutlich machen.
Viele Grüße
Hans-Dietrich
Reply to: