bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...
From: Pitt Leidner <pitt.leidner@xxxxxxx>
Date: Mon, 10 Dec 2012 23:16:45 +0100
Hallo Mirek

Am Sonntag, 9. Dezember 2012, 19:53:18 schrieb Miroslaw Wilczak:
> ...
> > 2. Der WAP ist schnell zu, da Arktur als DHCP für fremde MACs nur 40-50
> > ...
> 
> Setze bitte unter /etc/dhcpd.conf die beiden Zeilen mit Zeit Angaben auf
> eine halbe Stunde und eine Stunde (3600) um.
> 
> # 14 Tage Zuteilungsdauer fuer eine IP-Nummer
> default-lease-time  1209600;
> 
> # 10mal soviel als Maximum
> max-lease-time  12096000;
> 
> Es wurde darüber schon diskutiert hier.
> 
Danke, ich hatte das in der üblichen Eile vorerst sogar hochgesetzt.

> > ....
> > Hier
> > punktet übrigens das iPad III eindeutig
> 
> Benutze diese Systeme nicht, die Proxy nicht akzeptieren wollen.
> Es ist zu gefährlich in Schulen keinen oder nicht funktionierenden
> Zugangsfilter zu betreiben. Gerade haben wir hier auch unter "SquidGuard
> db/Listen" und "Squidguard blockt nicht alles ab - V.5.x.xxx" etwas gesagt.
>
Ja, das kann ich so umsetzen, Unsere SuS haben aber nun mal ihre doch recht 
preiswerten Androids, denen zu sagen, die Dinger weg zu werfen, ist nicht 
gerade smart ;-)

Und was mache ich im Unterricht mit der Eclipse IDE? Die kann auch nicht mit 
dem Proxy (Was scheinbar Arktur-Spezifisch ist) 
 
> > B) Ideen und Fragen:
> > 1.) Macht es Sinn, Arktur vom etwas zu engen 192.168.-Subnetz auf ein 10.-
> > Subnetz umzustellen ...?
> 
> Es loht sich nicht. Es ist unter /etc/named und in den /etc/named* Dateien
> zu viel Arbeit. In einigen Scripts steht die IP von Arktur nicht kodiert
> also als 192.168.0.1 in Deinem Fall.
> Wenn, dann besser ihn ganz neu zu installieren - neue Hardware.
> Die Lösung mit den beiden Zeilen unter /etc/dhcpd.conf wäre auch eine gute
> Hilfe.
> 
Hm, das verstehe ich noch nicht ganz. Welche "beiden Zeilen"?

> > 2.) Lässt sich Arktur nebst seinem Proxy/Squid so konfigurieren, dass ich
> > die
> > dritte (noch freie) Netzwerkkarte für das LuL/Fachraum-Netz aktivieren
> > kann,
> > so dass auf dieser Ethernetkarte kein Proxy und kein Schutzfilter den
> > "normalen" Betrieb stören?
> > Das würde also bedeuten, Arktur schütz den gesammten Datenverkehr auf
> > seiner
> > zweiten Netzwerkkarte, nicht aber den Datenverkehr auf seiner dritten
> > Netzwerkkarte.
> 
> Ja, das lässt sich preiswert umsetzten.
> Würdest Du das Subnet 192.168.1.0/24 benutzen mit der IP 192.168.1.1 für
> Arktur, dann brauchst Du nur /etc/Schule/ipfilter-start etwas umzuschreiben
> und zwar folgend:
> $IPTABLES_BIN -t filter -A INPUT -p icmp -s 192.168.1.0/24  -j ACCEPT
> $IPTABLES_BIN -t filter -A INPUT -p tcp  -s 192.168.1.0/24  -j ACCEPT
> Vor # Diese Ports sperren,
> wenn Du ping und andere Anfragen an Arktur von dem Subnet 192.168.1.0/24
> erlauben möchtest.
> Dort sollen auch alle 192.168.0.0/16 auf 192.168.x.0/24 (x= 0,1
> ...)umgeschrieben werden  und etwas erweitern um alle Subnets zu bekommen,
> was es zu gebrauchen wären. Es soll auch die Datei /etc/Schule/masq-ein so
> angepasst werden.
>
Die Subnetze müssen sich nicht gegenseitig sehen. Mir wäre das die Lösung von 
Helmut mit dem "/28" lieber.
 
> 
> Um Proxy umgehen zu dürfen:
> 
> # Freigegeben um vom Subnet 192.168.1.0/24 ohne Proxy ins Internet zu gehen.
> $IPTABLES_BIN ...
> 
Ich muss gestehen, iptables ist noch nicht meins. Das ist immer auch eine 
heiße Kiste und ich hab schon fürchterliche Angriffe erlebt, die durch falsche 
IPTables Konfigurationen zustande kamen. Da gehe ich ungern ran.

> Dabei bitte die Datei /etc/samba/smb.conf nicht vergessen:
> Diese folgende Zeile soll ergänzt werden:
> interfaces = lo eth0
> 
Warum eth0?

> Es sollen die Lehrerrechner im Subnet 192.168.1.0/24 platziert werden und
> Internetbrowser muss nicht mehr Proxy-Eintrag haben. Am besten soll dort
> kein Eintrag stehen auch nicht selbst nach Einstellungen suchen.
> 
so hätte ich es gern, ja.

> Es kommt bei Dir Rembo im Einsatz, was nach einem Eintrag in die Datei
> <Rembo Root>/rembo.conf schreit und zwar:
> Interfaces 192.169.0.1 192.168.1.1
> Und noch aktivieren:
> cd /ihr/rembo/pfad
> ./rembo -c rembo.conf -d –exit
> Wenn Du die Lehrerrechner auch unter Rembo mit Software versorgst oder sie
> werden mit Rembo /mySHN x zurückgesetzt.
>
Nein, gilt nur für die PCs der Bibliothek, Lerninseln, etc. Lehrer müssen sich  
ihre PCs selbst warten.
 
> > Die alternative Lösung ...
> > hinter Arktur in das Netz mit dem DSL-Router zu bringen, was mich nur
> > einen
> > Kabelpatch kosten würde. Was hätte das für weitere Konsequenzen...?
> 
> Es ist ganz schlechte Idee. Es geht um die Sicherheit Deines
> Schulnetzwerkes.
>
Nur, wenn dort von außen ein Zugriff erlaubt ist. Innen, also hinter Arktur 
und hinter der DMZ reicht übrigens ein kleiner Trojaner und alles ist offen. 
(Siehe Teamviewer, der ja kein Trojaner ist aber so funktioniert)
 
> Es wird nach solchen Lösungen in Firmen gesucht, um einfacher in die
> internen Subnets einer Firma zugreifen können.
> ...
> 
DMZs können auch gehärtet werden. Schließlich möchte man dort ja gerade auf 
SQL, Apache, Mailserver, etc. zugreifen. Aber wie gesagt, eine DMZ haben wir 
derzeit nicht.

> ...
> Eigentlich schade für Rembo / mySHN 5 das jetzt nur mit LogoDidackt zu
> kaufen ist. Die Firma SBE versucht Ihr Produkt LogoDidact auf dem
> schulischen Markt durchzusetzen, obwohl wir einen oder sogar mehrere gute/n
> Server für Schulen schon haben und einen neuen zu kaufen nicht brauchen auch
> nicht, wenn es um Windows 7 Aktivierung geht.
>
Für uns ein Grund, ganz neue Wege zu gehen und SuS beim PC-Kauf zu sponsern 
o.ä. Faktisch wird der Schul-PC durch die Tabletts/Smatphones nicht gerade 
notwendiger und wenn man Hürden, wie das logo-Didakt schafft, muss man sich 
nicht wundern, wenn wir lieber neue Wege beschreiten. Ich möchte jetzt keinen 
Vergleich zum Westwall des WWII ziehen, aber der stand auch völlig neben 
allem.

> Hätten sie uns nur den Aufsatz, die Steuerung von LogoDidact verkauft, würde
> ich schell dabei sein, wenn das sich schnell unter Arktur integrieren
> lassen würde.
> 
Tja, ich hab schon viele sterben sehen (Comodore, Compaq, ...)


> Es muss wohl eine Methode dahinter
> stecken...Ich soll neue Hardware kaufen. 
>
Das ist klar: ctfmon-Remover hilft meißtens. Oder jetzt ist es ein neuer 
Virus, den ich noch nicht ganz verstanden habe, der aber auch als Tablett-
Treiber definiert wurde ...

> Es ist bitter, gerade für Scanner
> und Drucker, für die ich keine neue Treiber finde, obwohl sie noch Jahre
> lang arbeiten hätten.
> 
Scanner? Mal ehrlich, wozu benötigt man die noch? Wir hatten das letzten 
Sonntag, als meine Liebste eine mathematische Kurve einscannen wollte. Ich 
zeigt ihr ihre Digitalkamera, den Slot für den SD-Chip und so war sie 
schneller fertig als der Scanner sich aufwärmen konnte. Vom Platzbedarf mal 
gar nicht gesprochen ...

> Nach 7 bis 8 Jahren ist bei mir sowieso Schluss und ich muss neue Hardware
> (Computer, nicht Monitore) kaufen.
> 
Ja, so ist unser Admin-Leben - schön das wir mal drüber geschrieben haben ;-)

> > ...
> Bloß nicht diese Lösung. Es entstehen im  Lande mehrere Rechenzentren,
> dessen Aufgabe ist es, die Ressourcen (Hardware und Manpower) zu vereinigen.
> Ich beobachte seit Jahren eine Konzentration an Daten und Macht. Sehr
> gefährlich auch für Computersysteme, die leider mit unsicheren, in diesem
> Fall, Telefonleitungen zusammen verbunden sind. Es kommt noch eine Hardware
> dazwischen, die ausfallen könnte. Ist das nur die Telefonleitung/en oder
> doch viel mehr? Die kaputt gehen könnten und das ganze Schulische
> Computerinfrastruktur lahm legen könnten.
>
Ja und daher habe ich ein Auto BJ 1961. Der läuft immer :-) - Ja ne ist klar. 
das ist der Trend und wir werden nicht, wir sind abhängig.

> Deine Daten sind dein Kapital. 
>
Ja insbesondere gilt das für Firmen

> Ich würde von den großen Firmen, wie "Coca Cola" lernen.
> Es gibt zwei Menschen, die das Rezept (wichtige Daten) von "Coca Cola"
> kennen.
>
Und der Apotheker Hussmann aus Marburg ;-)

> ...
> Ist das nicht möglich, leiden darunter viele Firmen, deren Rechner auf das
> Rechenzentrum angewiesen sind. Die sind auch ganz gut gestresst...
>
Also unsere SuS kopieren das Wiki, o.ä., das braucht man nicht auszuwerten und 
da sie sich in Faceb. dazu austauschen, wissen die Betreiber es schon vor dem 
Lehrer, wie die Note sein wird :-)

Und Du hast völlig recht. Ich kenne mittelständische U'men, die sich lieber 
zwei Netze leisten, eines mit Internet und eines ohne für ihre Daten. Ich 
erinnere an die Tesa-Film Geschichte, die ja nach Spionage über das Web in den 
USA patentiert wurde und nicht durch den eigentlichen Urheber, die Max-Plank 
Ges. ... Dennnoch nutzt das nichts, denn unsere SuS interessiert das nicht 
mehr. Sie sind die Internetgeneration. Wir sind die, die noch Bits im PC 
interpretirren konnten und Treets, Raider und ....
 
> ...
> Ich könnte hier noch ein Buch darüber schreiben...
> 
Und würdest zu dem Schluss kommen, dass wir längst mehr preisgeben mussten als 
wir in unseren künsten Albträumen befürchtet hätten ...

Nimm als Beispiel die Sendung "Persons of Interest". Dort sieht man Menschen 
mit einem Kästchen um ihr Video-Abbild... Das hab ich bereit 1991 so life 
gesehen und wir haben ja inzwischen 2012 = 1984XXXXL

Spannend bleibt, was die reale Welt unserer SuS geworden ist. Da möchte ich 
schon einen Kontrapunkt wagen...

-- 
Mit freundlichen Grüßen

Pitt Leidner
_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 11.12.2012