Re: "Dezentrales" Proxysystem bei fehlender Namensauflösung
Am 16.02.2014 21:33, schrieb Spiro Trikaliotis:
> Hallo,
>
> ich habe die Aufgabe erhalten, in einer Grundschule die Rechner durch
> modernere zu ersetzen. Die Schule hat hierzu ausgemusterte Rechner
> erhalten. Die Leistungsfähigkeit ist nicht sonderlich hoch;
> Nachbarschulen haben versucht, Win Vista und Win 7 darauf zu packen,
> aber ohne großen Erfolg: Die Hardware ist nicht leistungsfähig genug.
>
> Leider fällt ein kompletter Umstieg auf Linux, den ich vorgeschlagen
> hatte, aus verschiedenen Gründen flach. Größtes Problem: Die vorgesehene
> Software läuft schlicht und ergreifend nur unter Windows.
>
> Also bleibt nur Windows XP. Angesichts des auslaufenden Supports von MS
> und weiteren Gründen habe ich mich durchsetzen können, dass XP in einer
> VM (ich nutze VirtualBox) unter Wheezy läuft. Gedacht ist hier, dass die
> VM beim Start von Linux automatisch startet, und sobald die VM
> herunterfährt soll sich auch das unterliegende Linux herunterfahren.
>
> Da bin ich noch nicht ganz fertig, aber auf einem guten Weg.
>
>
> Dabei will ich jetzt aber auch ein anderes Problem angehen: Die
> Internetverbindung der Schule ist eher schlecht, sie wird über
> sogenanntes "Drahtloses DSL" angebunden. Ich kann nicht sagen, ob es
> sich hierbei über WiMAX oder um ein WLAN handelt, die Info habe ich
> schlicht und ergreifend nicht.
>
> Nun ist es ungünstig, wenn über die eh begrenzte und unzuverlässige
> Leitung noch gleichzeitig zwölf Rechner versuchen ins Internet zu gehen
> - vor allem, wenn die meisten die gleichen Seiten laden sollen würde
> sich ein cachender Proxy sehr lohnen.
>
> Dummerweise gibt es hier keinen permanent laufenden Rechner. Also dachte
> ich mir, einen der Rechner dafür abzustellen und dort einen Squid zu
> nutzen.
>
> Jetzt habe ich aber das Problem, das alle Rechner per DHCP ihre
> Konfiguration erhalten. Der DHCP-Router als Teil der Routers ist dabei
> leider nicht in der Lage, die Namen auch per DNS zur Verfügung zu
> stellen. Sprich: Der Proxy kann ich nicht finden, weil die IP sich
> ändern kann (und sie tut es). als auch keine Namensauflösung möglich
> ist.
>
> Ich habe mir jetzt überlegt, auf den einzelnen Rechnern jeweils einen
> bind9 laufen zu lassen. Der hochstartende Rechner mit dem Proxy könnte
> dann per Broadcast seine IP den anderen Rechnern mitteilen (z.B. per
> eigenem Programm), und diese tragen diese IP dann dynamisch in den bind9
> ein.
>
> Da ich diese dynamische Zuordnung im bind9 schon anderweitig nutze weiß
> ich wie das geht, so ist die Entscheidung für bind9 begründet.
>
> Allerdings frage ich mich, ob ich hier nicht mit Kanonen auf Spatzen
> schieße? Gibt es keine einfachere Lösung, ohne zentralen Rechner die
> Namensauflösung vorzunehmen?
>
>
> Der Proxy selbst könnte meiner Meinung nach auch zu mehreren Proxys
> werden. Da ich nicht sicher weiß, ob ein bestimmter Rechner immer an
> ist, könnte ich mir auch vorstellen, dass jeder Rechner seinen eigenen
> Squid bekommt, wobei jeder die anderen als "Siblings" eingetragen
> bekommt. Somit würden sie die jeweils anderen befragen, bevor sie die
> Anfrage nach aussen stellen. Aber auch hier müßten sich die
> Proxy-Instanzen auf den Rechnern jeweils finden, sonst macht das keinen
> Sinn.
>
> Gibt es irgendwelche vorgefertigten Lösungen für Debian, oder muss ich
> das selbst machen? Denke ich zu kompliziert, und die Lösung ist viel
> einfacher, als ich es gerade sehe?
>
> Vielen Dank im Voraus für alle Hinweise.
>
mein Hinweis: Schnapsidee, und zwar gleich mehrfach.
HW, die für W7 zu schlapp ist, soll debian plus Vbox plus XP
performant betreiben können? ähähm. Dass Nachbarschulen es nicht
geschafft haben, sagt nichts. Wenn man das ganze /eye candy/ und
diverse unnötige Dienste entfernt, kann W7 auch auf schwächerer
HW laufen. BTDT. Mit einem alten Dual-Core (noch nicht Core-i2)
und 2GB RAM ist es sogar schon luxuriös.
Ein Proxy-Cache ist noch das kleinste Problem. XP soll surfen
können, ohne dass es sich Schädlinge einfängt? Egal wie du XP
abschotten willst: Um eine echte Firewall mit SPI *und
Inhaltsfilter* kommst du nicht herum. Und dann kommt gleich die
nächste Falle: So ein Filter muss gepflegt werden! Wer macht das?
Außerdem gibt es eine weitere Eintrittspforte für Schädlinge:
Dateien, die per Datenträger eingebracht werden. Das coole Spiel
hier, der neueste Crack da. Wie willst du das verhindern?
Die IT-Fähigkeiten von Jugendlichen kannst du gar nicht hoch
genug einschätzen. Deine wacklige Konstruktion und wahrscheinlich
viele weitere Schutzmaßnahmen hätten die ausgehebelt, ehe du dich
einmal umdrehst.
Zusammenfassung: In dieser Konstellation kannst du nur scheitern.
Selbst wenn die HW leistungsfähig genug wäre und/oder ein Umstieg
komplett auf Linux: Was meinst du, weshalb es spezielle Schul-
und Classroom Distributionen gibt? Da sind eine Menge Dinge zu
beachten. Außerdem braucht so ein Netz ständige Pflege; /fire and
forget/ ist nicht.
Neugier am Rande: Was ist das für eine ominöse SW, die den /show
stopper/ für Linux macht? Ist die - guten Willen vorausgesetzt -
verzichtbar oder durch andere Lösungen ersetzbar?
Christoph
Reply to: