bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...
From: Hans-Dietrich Kirmse <hd.kirmse@xxxxxx>
Date: Sun, 09 Dec 2012 21:21:16 +0100
Hallo Pitt,

Am 09.12.2012 14:43, schrieb Helmut Hullen:

All das wird nun etwas eng. Und, eigentlich sollten die Lehrer in
ihrem Fach-/unterricht ohne Schutzfilter arbeiten dürfen. Das geht,
da man bestimmte PCs vom Squidguard durchlassen darf.

Das läuft auf ABM hinaus.
"squidGuard" reagiert faktisch nur auf IP-Adressen (wenn er auch auf
Usernamen reagieren soll, dann muss sich jeder User zum Surfen bei Squid
"authentifizieren").

Ist bei "squid" genauso. In beiden Fällen kannst Du zwar eine Liste mit
bekannten IP-Adressen führen (lassen), von denen aus mehr erlaubt ist.
Aber bei privaten Geräten läuft auch das auf ABM hinaus.

Dennoch muss auch auf diesen Rechnern der Proxy, also Arktur,
konfiguriert sein. Schwierig wird es, wenn LuL dann im Unterricht mit
ihren eigenen PCs/Tabletts arbeiten wollen, da ich deren MAC gar nicht
erst wissen möchte, geschweige denn, sie im Squidguard einpflegen will

Man kann auch in Squidguard mit Bereichen arbeiten. Beispiele dafür findet man hier:

  http://www.squidguard.org/Doc/extended.html

Man müßte also nur dafür sorgen, dass die IPs der Lehrerrechner (Vorbereitungsräume) in einem Bereich liegen und die aller anderen Bereiche in anderen (welche wären dann egal). Das läßt sich auch mit DHCP und dynamischer Zuweisung erledigen, sodass da kein großer Aufwand entsteht.

In der Squidguard.conf muß dann ein Bereich für die IPs der Lehrerrechner erstellt werden, wo eben alles durchgelassen wird und für allen anderen wird die übliche acl (default) verwendet.


B) Ideen und Fragen:
1.) Macht es Sinn, Arktur vom etwas zu engen 192.168.-Subnetz auf ein
10.- Subnetz umzustellen oder eher komplett neu aufzusetzen? Was
müsste ich dabei alles umkonfigurieren?

Du musst natürlich solche Bereiche haben, die deine Clients versorgen können.

 :

Die erste Netzwerkkarte (192.168.0.0/24) wird so benutzt, dass nur für
sie per DHCP quasi feste IP-Adressen (auf MAC-Basis) vergeben werden.
Und dann kann für bestimmte Maschinen ("Lehrer-Rechner") mehr erlaubt
werden.

Wer sich über die zweite Karte einloggt, der arbeitet mit reduzierten
Rechten.

so ungefähr, aber es geht auch ohne feste IPs, eben mit Bereichen.


Viele Grüße
Hans-Dietrich

_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 09.12.2012