bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...

To: "'Schulen ans Netz - Anwender'" <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...
From: "Miroslaw Wilczak" <wilczakm@xxxxxxxxxxxxxxxx>
Date: Sun, 9 Dec 2012 19:53:18 +0100
Hallo Pitt,

sehe bitte darunter

Viele Grüße
Mirek 
> 
> Hallo ML,
> 
> Vorab, endlich ist mal wieder richtig Winter, so wie ich ihn kenne; frohe
> Weihnachtszeit allen, auch am 23sten! ;-) - In diesen Tagen suche ich
> immer
> wieder die Zeit zur Reflektion und schaue auf das, was so täglich um uns
> geschieht. SMS wurde 20 Jahre alt und scheint gänzlich auszusterben. Wenn
> ich
> beobachte, dass jedes Handy zum Fenster in die Welt und vice versa mutiert
> ist, stellen sich mir doch einige Fragen. Manche sind eher ganz
> praktischer
> Natur unserer alltäglichen Probleme, daher zunächst ...
> 
> A) Ist-Zustand:
> Bisher nutzen wir Arktur (Vers. 5.3.xxx) als Proxy, der zum Einen die
> Cache-
> Funktion anbietet und zum Zweiten mit Squid/Squidguard als Schutzfilter
> funktioniert.
> 
> Unser Arktur hat 3 Netzwerkkarten:
> Die erste bedient das Subnetz 192.168.178.0/24, in dem sich neben dem
> Arktur
> lediglich der VDSL-Router, hier eine Fritzbox (3270) und ein AdminPC
> tummeln.
> 
> Die zweite Netzwerkkarte bedient das SuS-Subnetz 192.168.0.0/24, in dem
> sich
> bisher eigentlich alle PC, also neben den ganzen SuS-Rechnern auch die PCs
> der
> Smartboards, des Lehrerzimmers und anderer Fachräume tummeln. Es gibt in
> der
> Bibliothek PC-Inseln, in denen SuS in Freiblöcken und Pausen oder in
> Gruppenarbeitsphasen selbstständig arbeiten. Seit kurzem hängt in diesem
> Subnetz auch ein WAP (WLAN-Access-Point) über den die SuS mit ihren
> Smartphones und Tablets/Net- & Notebooks über unseren Proxy ins Web
> dürfen.
> 
> All das wird nun etwas eng. Und, eigentlich sollten die Lehrer in ihrem
> Fach-/unterricht ohne Schutzfilter arbeiten dürfen. Das geht, da man
> bestimmte
> PCs vom Squidguard durchlassen darf. Dennoch muss auch auf diesen Rechnern
> der
> Proxy, also Arktur, konfiguriert sein. Schwierig wird es, wenn LuL dann im
> Unterricht mit ihren eigenen PCs/Tabletts arbeiten wollen, da ich deren
> MAC
> gar nicht erst wissen möchte, geschweige denn, sie im Squidguard einflegen
> will ... (Brrr, NEIN)
> 
> Drei Dinge fallen auf:
> 1. Andoit-Phones/Tabletts lassen sich scheinbar ohne "rooting" nicht zur
> Authentifizierung am Proxy konfigurieren. Windows und IOS können das
> problemlos.
> 2. Der WAP ist schnell zu, da Arktur als DHCP für fremde MACs nur 40-50
> IP-
> Adressen anbietet und die SuS einfach alle hier rüber in Web wollen. Das
> ist
> auch für die Leistung des WAP schon zuviel, er dient auch nur als
> Überbrückung, bis im Haushalt etwas "dickeres" kommt ... (Dennoch werden
> wir
> da einen gewissen "Engpass" lassen wollen)


Setze bitte unter /etc/dhcpd.conf die beiden Zeilen mit Zeit Angaben auf
eine halbe Stunde und eine Stunde (3600) um.

# 14 Tage Zuteilungsdauer fuer eine IP-Nummer
default-lease-time  1209600;

# 10mal soviel als Maximum
max-lease-time  12096000;

Es wurde darüber schon diskutiert hier.


> 3. Der Proxy macht in vielen Bereichen Probleme, die ich nur
> wegadministrieren
> kann, wenn es schuleigene PCs sind. Es gibt Programme und Windows-
> Versionen,
> die sich nicht überreden lassen, den Proxy zu akzeptieren. (Windows selbst
> macht ja schon Mucken, wenn es nicht auf seinen eigenen Explorer-Eintrag
> schauen möchte, aber selbst ein "winhttp" akzeptiert es nicht immer :-(.
> Hier
> punktet übrigens das iPad III eindeutig

Benutze diese Systeme nicht, die Proxy nicht akzeptieren wollen.
Es ist zu gefährlich in Schulen keinen oder nicht funktionierenden
Zugangsfilter zu betreiben. Gerade haben wir hier auch unter "SquidGuard
db/Listen" und "Squidguard blockt nicht alles ab - V.5.x.xxx" etwas gesagt.

> 
> B) Ideen und Fragen:
> 1.) Macht es Sinn, Arktur vom etwas zu engen 192.168.-Subnetz auf ein 10.-
> Subnetz umzustellen oder eher komplett neu aufzusetzen? Was müsste ich
> dabei
> alles umkonfigurieren?

Es loht sich nicht. Es ist unter /etc/named und in den /etc/named* Dateien
zu viel Arbeit. In einigen Scripts steht die IP von Arktur nicht kodiert
also als 192.168.0.1 in Deinem Fall.
Wenn, dann besser ihn ganz neu zu installieren - neue Hardware.
Die Lösung mit den beiden Zeilen unter /etc/dhcpd.conf wäre auch eine gute
Hilfe.

> 2.) Lässt sich Arktur nebst seinem Proxy/Squid so konfigurieren, dass ich
> die
> dritte (noch freie) Netzwerkkarte für das LuL/Fachraum-Netz aktivieren
> kann,
> so dass auf dieser Ethernetkarte kein Proxy und kein Schutzfilter den
> "normalen" Betrieb stören?
> Das würde also bedeuten, Arktur schütz den gesammten Datenverkehr auf
> seiner
> zweiten Netzwerkkarte, nicht aber den Datenverkehr auf seiner dritten
> Netzwerkkarte.


Ja, das lässt sich preiswert umsetzten.
Würdest Du das Subnet 192.168.1.0/24 benutzen mit der IP 192.168.1.1 für
Arktur, dann brauchst Du nur /etc/Schule/ipfilter-start etwas umzuschreiben
und zwar folgend:
$IPTABLES_BIN -t filter -A INPUT -p icmp -s 192.168.1.0/24  -j ACCEPT
$IPTABLES_BIN -t filter -A INPUT -p tcp  -s 192.168.1.0/24  -j ACCEPT
Vor # Diese Ports sperren, 
wenn Du ping und andere Anfragen an Arktur von dem Subnet 192.168.1.0/24
erlauben möchtest.
Dort sollen auch alle 192.168.0.0/16 auf 192.168.x.0/24 (x= 0,1
...)umgeschrieben werden  und etwas erweitern um alle Subnets zu bekommen,
was es zu gebrauchen wären. Es soll auch die Datei /etc/Schule/masq-ein so
angepasst werden.


Um Proxy umgehen zu dürfen:

# Freigegeben um vom Subnet 192.168.1.0/24 ohne Proxy ins Internet zu gehen.
$IPTABLES_BIN -t filter -A FORWARD -p tcp -s 192.168.1.0/24 --dport 80 -j
ACCEPT
Vor der folgenden Zeile:
$IPTABLES_BIN -t filter -A FORWARD -p tcp --dport 80 -j reject_fkt

Noch für Samba ab "# Und das gleiche für Subnet 192.168.1.0/24:"

# Samba
# $IPTABLES_BIN -I INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT

$IPTABLES_BIN -I INPUT -s 192.168.0.0/24 -p udp -m multiport --dports
135,137,138,139 -j ACCEPT
$IPTABLES_BIN -I INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports
135,139,445 -j ACCEPT

# Und das gleiche für Subnet 192.168.1.0/24

$IPTABLES_BIN -I INPUT -s 192.168.1.0/24 -p udp -m multiport --dports
135,137,138,139 -j ACCEPT
$IPTABLES_BIN -I INPUT -s 192.168.1.0/24 -p tcp -m multiport --dports
135,139,445 -j ACCEPT

Dabei bitte die Datei /etc/samba/smb.conf nicht vergessen:
Diese folgende Zeile soll ergänzt werden:
interfaces = lo eth0

Es sollen die Lehrerrechner im Subnet 192.168.1.0/24 platziert werden und
Internetbrowser muss nicht mehr Proxy-Eintrag haben. Am besten soll dort
kein Eintrag stehen auch nicht selbst nach Einstellungen suchen.

Es kommt bei Dir Rembo im Einsatz, was nach einem Eintrag in die Datei
<Rembo Root>/rembo.conf schreit und zwar:
Interfaces 192.169.0.1 192.168.1.1
Und noch aktivieren:
cd /ihr/rembo/pfad
./rembo -c rembo.conf -d –exit
Wenn Du die Lehrerrechner auch unter Rembo mit Software versorgst oder sie
werden mit Rembo /mySHN x zurückgesetzt.

> Die alternative Lösung könnte ja sein, die nicht schützenswerten
> PCs/Tabletts
> hinter Arktur in das Netz mit dem DSL-Router zu bringen, was mich nur
> einen
> Kabelpatch kosten würde. Was hätte das für weitere Konsequenzen (Kein
> Samba,
> Keine Accounts für LuL, ...)?


Es ist ganz schlechte Idee. Es geht um die Sicherheit Deines
Schulnetzwerkes.

Es wird nach solchen Lösungen in Firmen gesucht, um einfacher in die
internen Subnets einer Firma zugreifen können.
Man infiziert zuerst einen Rechner in der DMZ (so nennen die IT-Fachmänner
diese Lösung). Es wird einer oder mehrere Rechner in der Zone befahlen und
von dem/n aus versucht man auf die Rechner der Firma zu zugreifen.
Es muss sich wohl lohnen also es ist wirklich unsichere Lösung, wenn unsere
Wirtschaft nach einer Schätzung Jahr für Jahr zweistellige Milliarden
Beträge an Datendiebstahl erleidet...
In Deinem Fall ist das nicht so gefährlich, da die privaten internetfähigen
Geräte nur einige Stunden in der DMZ täglich verbleiben werden.
Die Nutzer der Geräte sollen aber bewusst werden, dass sie nicht genug vom
Internet aus abgesichert sind.
Es ist aber andere Sache, wenn dort Geräte hinkommen, wie schwarze Bretter
oder einige Mensa Rechner für Bestellungen und Abrechnungen des bestellten
Menüs. Die stehen dort lange und sind anfälliger an Infektion mit
Ungeziefer, wenn Du sie nicht selbst installieren hattest.

> C) Zukunft & Lizenzen:
> Wir nutzen bei den Clients immer noch das für 2014 abgekündigte WinXPpro
> mit
> einer Volumenlizenz. Das funktioniert zusammen mit Rembo prächtig.
> 
> Aber, da Rembo uns keine weiteren Lizenzen mehr verkaufen möchte, denke
> ich
> entweder über den Biss in den Sauren Apfel nach, zu einem HD-Sheriff
> zurückzukehren oder einmal die Alternativ Linbo zu probieren.
> Das Hauptproblem erwarte ich in den neuen Windows-Lizenzen.
> Womit muss ich da bei einem Wechsel auf Linbo rechnen?

Linbo oder Fog sind auch möglich. Sie sind unter Arktur leicht zu
integrieren. Helmut wird eine davon bestimmt in nächste Versionen von Arktur
installieren können.
Wenn linbo genau wie Rembo arbeiten würde, ist beim plötzlichen Ausschalten
von Windows 7 Rechnern (Stromausfall, ...) mit langer Zeit der
Wiederherstellung zu rechnen, da die ganze C Partition wird mit Daten vom
Rembo aus vollständig überschrieben.

Ich habe für Windows 7 für die Software Installation mit Rembo gearbeitet.
In den Rechnern habe ich aber auch Wächterkarten von Dr. Kaiser, der für uns
die Treiber umgeschrieben hatte, das sie mit Rembo zusammen abreiten.
Es landen die Imagedaten vom Rembo in dem freien Speicher der
Hauptfestplatte, dort wo auch Wächterkarte ihre Daten ablegen musste.
Seit dem Treiber 6.2 wurde das für Wächterkarte geändert und unter C:\
entsteht  eine große Auslagerungsdatei für die Wächterkarte, die ich immer
lösche, wenn ich unter Rembo arbeite.
Ist Offline Modus mit Rembo entfernt, kann ich Wächterkarte aktivieren und
der Start von Windows 7 ist viel schneller. Dr. Kaiser Drive Programm würde
das gleiche erreichen, wo Hardware Lösung mit Wächterkarte nicht zu
gebrauchen wäre. 

Eigentlich schade für Rembo / mySHN 5 das jetzt nur mit LogoDidackt zu
kaufen ist. Die Firma SBE versucht Ihr Produkt LogoDidact auf dem
schulischen Markt durchzusetzen, obwohl wir einen oder sogar mehrere gute/n
Server für Schulen schon haben und einen neuen zu kaufen nicht brauchen auch
nicht, wenn es um Windows 7 Aktivierung geht.
Hätten sie uns nur den Aufsatz, die Steuerung von LogoDidact verkauft, würde
ich schell dabei sein, wenn das sich schnell unter Arktur integrieren lassen
würde.

 
> Eigentlich würde ich gerne Windows 7 auslassen und direkt zu Windows 8 in
> die
> nächsten Jahre wechseln. Ein Händler hier zeigte mir kürzlich ein in die
> Jahre
> gekommenes Notebook, dass unter Win8 mehr als ordentlich lief, gefühlt war
> es
> schneller als je zuvor. Die Frage wird eher sein, ob es im Zusammenspiel
> mit
> Windows (7/8) und Linbo und seinem täglichen Recoveries Probleme mit den
> MS-
> Lizenzen gibt. Wie sind Eure Erfahrungen und was plant Ihr dafür im
> kommenden
> Jahr?

Ich wechsle nie das System, wenn er nicht etliche Jahre schon auf dem Markt
ist. Es sind die meisten Sicherheitslücken schon geschlossen und ich hatte
Zeit das System besser kennenzulernen.
Die Hardware muss wohl neu sein, da die alte Hardware meistens von dem neuen
System nicht mehr unterstützt ist. Es muss wohl eine Methode dahinter
stecken...Ich soll neue Hardware kaufen. Es ist bitter, gerade für Scanner
und Drucker, für die ich keine neue Treiber finde, obwohl sie noch Jahre
lang arbeiten hätten.

Nach 7 bis 8 Jahren ist bei mir sowieso Schluss und ich muss neue Hardware
(Computer, nicht Monitore) kaufen.

> D) Last but not Least:
> Inwiefern könnte man zukünftig den Zugriff auf "einen" Server über mehrere
> Schulen umsetzen? Hier sehe ich die Herausforderung, dass unsere SuS uns
> medientechnisch längst zu überholen scheinen und wir wenigstens versuchen
> sollten dem allgemeinen Mainstream zu irgendwelchen Gesichtsbüchern einen
> Gegenpol zu entgegnen, der vielleicht sogar noch einen gewissen Schutzraum
> darstellt, quasi eine Art virtuellen Pausenhofs.
> Ein Server wie Arktur, der hinter einem asynchronen VDSL liegt, könnte da
> kaum
> mithalten, es sei denn man fände eine respektable Methode, einen
> Dedizierten
> Server einer Serverfarm oder irgendeine Cloud quasi über Nacht zu
> synchronisieren. Da die Cloudanbieter genau das nicht zu wollen scheinen,
> wird
> es hier schwer, performanten Lösungen zu finden.
> 
> In der täglichen Praxis ringen wir mit Problemen, wie: HDMI kann zwar
> Netzwerk
> und Sound, aber eben kein USB. VGA/USB kann wenigstens beides, wird aber
> immer
> seltener bestückt. Funk-Screen ist eher noch eine Utopie. Smartboards
> allenthalebn das Nonplusultra, usw. Doch nachwievor sind Pins an Kabeln
> umgeknickt, USB-Stecker in den Zungen gebrochen, OHP mit nur einer Birne
> bestückt und DVDs verlangen genau den Codec, der noch auf keinem PC
> installiert ist. LuL lassen nach Begriffen surfen, die jeden Schmutzfilter
> aufwirbeln und SuS geben in Klausuren wenigstens ihr erstes Handy vorne
> ab.
> Kabel verflüchtigen sich auf wundersamme Weise und wer von uns konnte
> einen
> Beamer schon vom chinesischen Menü auf das deutsche zurücksetzen? ;-)
> 
> Hier bleibt es jedenfalls spannend! Sorry, dass es doch so viel wurde ;-)
> 
> 

Bloß nicht diese Lösung. Es entstehen im  Lande mehrere Rechenzentren,
dessen Aufgabe ist es, die Ressourcen (Hardware und Manpower) zu vereinigen.
Ich beobachte seit Jahren eine Konzentration an Daten und Macht. Sehr
gefährlich auch für Computersysteme, die leider mit unsicheren, in diesem
Fall, Telefonleitungen zusammen verbunden sind. Es kommt noch eine Hardware
dazwischen, die ausfallen könnte. Ist das nur die Telefonleitung/en oder
doch viel mehr? Die kaputt gehen könnten und das ganze Schulische
Computerinfrastruktur lahm legen könnten.
Deine Daten sind dein Kapital. Würde er gestohlen oder den anderen bekannt,
hast Du davon nichts mehr oder sogar hättest Du verloren.
Alle Daten an einer Stelle zu platzieren ist eine Verrücktheit - vorsichtig
ausgedrückt. Es ist so, als ob Du Dich in einem Flugzeug mit der ganzen
Staatmannschaft befändest und zu einem Land fliegst, der denen nicht
besonnen ist. Würdest Du mit fliegen wollen?
Ich würde von den großen Firmen, wie "Coca Cola" lernen.
Es gibt zwei Menschen, die das Rezept (wichtige Daten) von "Coca Cola"
kennen.
Die beiden dürfen sich nie in einer Stadt in einem Hotel in einem Flugzeug,
Bahn und ... gemeinsam zur glichen Zeit befinden.
Es ist auch unzumutbar, den IT-Managern und Fachkräften in so einem Zentrum
der Hardware und Daten Macht, unter permanenten Stress arbeiten zu lassen.
Sie sollen ständig beobachtet werden, damit keiner die Daten klauen kann.
Ist das so?
Sie müssen Probleme schnell lösen können, die meistens das Wissen von
einzigen oder sogar Gruppen von Fachleiten übersteigt.
Ist das nicht möglich, leiden darunter viele Firmen, deren Rechner auf das
Rechenzentrum angewiesen sind. Die sind auch ganz gut gestresst...

Es ist die beste, die alte Lösung mit Servern in der Firma (Stadt, Schule)
und einem oder mehreren IT-Fachläuten, die die Infrastruktur pflegen müssen.
Die beste, da das System übersichtlich ist und schwer zu korrumpieren. Die
Daten von mehreren Firmen müssen einzeln besorgt werden, wenn einer nach der
streben würde.
Ich könnte hier noch ein Buch darüber schreiben...

--
> Mit freundlichen Grüßen
> 
> Pitt Leidner
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 09.12.2012