Ralf Oertner wrote on Fri, 17 Sep 2010 00:07:18 +0200:
Jonny Oschätzky a écrit :
1. Direkten Internetzugang per IPTables am Server für alle
blockieren. Der Router darf dafür nicht direkt von den PCs
erreichbar sein (z.B. separates Interface oder VLANs), damit
der Server nicht umgangen werden kann.
2. Proxy so einstellen, dass die Clients standardmäßig durch
den Filter müssen.
3. MAC-Adressen der privilegierten PCs auf eine Ausnahmeliste
setzen und somit dafür sorgen, dass diese ungefiltert ins
Internet kommen.
Danke für die Tips!
Für mein Szenario scheint mir diese Konfig. am geeignetsten.
Sehe ich auch so - idealer Weise mit User-Auth
Wo muß die Ausnahmeliste konfiguriert werden?
In IPtables oder in Squid?
Da gibt es vorgefertigte Listen, die man auch noch anpassen kann,
z.B. mit Squidguard.
Geht es auch andersrum eine Liste der Clients die durch den Squid
gehen sollen (sind ja nur 2 alle anderen surfen ohne Proxy)
Undgünstig, weil dann ein Schüler dem PC einfach eine IP geben kann,
die nicht über den Proxy läuft, und schon surft er am Proxy vorbei.
Nein, alle Rechner im Netz über den Proxy, und alle User dürfen
alles, außer der User "Schueler" - und die Schüler erhalten nur das
Passwort für den user "Schueler". Das ist am sichersten.