Re: Transparenten Proxy (Squid) unter Lenny nur für 2 Workstations

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo,

ich habe als Linux-Laie diesen Thread aufmerksam verfolgt, aber leider 
sind einige interessante Aspekte auf der Strecke geblieben und das was 
hier so als selbstverständlich postuliert wird, ist für mich überhaupt 
nicht nachvollziehbar. :(   Damit würden sich für mich aber andere 
Lösungen ergeben, die ich leider (noch) nicht kenne.

Am 16.09.2010 00:39, schrieb Maxx:
> Ralf Oertner wrote on Wed, 15 Sep 2010 23:22:06 +0200:
> > Hallo Debian Spezialisten!
> >
> > Ich bin dabei eine Server (Debian Lenny) für ein Kinderheim
> > aufzubauen.

Kinderheim - stellt für mich höhere Anforderungen als eine Schule.

> > Es gibt ca 10 Rechner von denen 2 für die Kinder mit
> > Jugenschutzfiltern die im Proxy Squid integriert sind ausgerüstet
> > werden sollen.
> >
> > Damit das ganze nicht so leicht zu umgehen ist wollte ich Squid als
> > transparenten Proxy für diese beiden PCs einrichten.
>
> Warum ist ein transparenter Proxy nicht so leicht zu umgehen?

kann ich auch nicht nachvollziehen. Wenn es um Sicherheit geht, dann ist 
doch auch ein Problem, wenn jemand den Proxy umgeht oder Seiten besucht, 
die gesperrt hätten sein müssen aber nicht sind, dann gezielt Einfluß 
nehmen zu können. Und m.E. braucht man dazu das Login zu jeder 
(eventuell interessierenden) Seite im Logfile. Und das geht zumindest 
hinreichend sicher doch nur mit Anmeldung am Proxy. Für mich wäre ein 
transparenter Proxy für ein Kinderheim damit schon aus dem Rennen.

> Ein transparenter Proxy macht m.E. vor allem da Sinn, wo wechselnde
> Rechner ins Netz gehen. Das erspart die ständige und lästige
> Umkonfiguration.

Es geht doch m.E. um die Einrichtung des Browsers. Wenn man z.B. beim 
Firefox unter  Extras > Einstellungen > Erweitert > Netzwerk > 
Verbindungen (Einstellungen)  aufruft, dann hat man doch die Auswahl 
zwischen
 * kein Proxy
 * die Proxy-Einstellungen für dieses Netzwerk automatisch erkennen
 * die Proxy-Einstellungen des Systems verwenden
 * Manuelle Proxy-Konfiguration
 * Automatische Proxy-Konfigurations-URL:

Mit diesem Umkonfigurieren ist doch sicher gemeint, dass man hier den 4. 
Punkt verwendet, also "Manuelle Proxy-Konfiguration". Der 1. Punkt ist 
ebenfalls uninteressant. Aber schon der letzte Punkt mit der URL auf 
eine .pac-Datei würde das Problem schon entschärfen (denke ich 
zumindest). Unklar ist mir, was der 2. und der 3. Punkt bedeutet. Aber 
wenn das erstmal jemand erklären könnte, würde vielleicht dieses eher 
ominöse "ständige und lästige Umkonfiguration" gegenstandslos sein. Da 
alle 5 Punkte über Radiobuttons ausgewählt werden, haben der 2. und der 
3. Punkt offensichtlich nichts mit der pac-Datei zu tun. (oder doch?)

jedenfalls scheint es Lösungen zu geben, die Firefox zu kennen scheint, 
aber ich nicht kenne und die hier auch nicht genannt wurden. Die Hilfe 
sagt leider auch nichts. :(

> Ansonsten sehe ich eher Nachteile.

Ich sehe zwar nur den Nachteil, dass damit keine Anmeldung möglich ist, 
siehe oben. Für mich wären andere Nachteile aber auch von Interesse.

Wäre zu Hinweisen / Erklärungen zu den Punkten 2 und 3 sehr dankbar.

Viele Grüße
Hans-Dietrich