bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...

To: "'Schulen ans Netz - Anwender'" <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Fragen zu Proxy in mehreren Subnetzen ...
From: "Miroslaw Wilczak" <wilczakm@xxxxxxxxxxxxxxxx>
Date: Wed, 12 Dec 2012 00:38:39 +0100
Hallo Pitt,


Viele Grüße
Mirek
> 
> Hallo Mirek
> 
> Am Sonntag, 9. Dezember 2012, 19:53:18 schrieb Miroslaw Wilczak:
> > ...
> > > 2. Der WAP ist schnell zu, da Arktur als DHCP für fremde MACs nur 40-
> 50
> > > ...
> >
> > Setze bitte unter /etc/dhcpd.conf die beiden Zeilen mit Zeit Angaben auf
> > eine halbe Stunde und eine Stunde (3600) um.
> >
> > # 14 Tage Zuteilungsdauer fuer eine IP-Nummer
> > default-lease-time  1209600;
> >
> > # 10mal soviel als Maximum
> > max-lease-time  12096000;
> >
> > Es wurde darüber schon diskutiert hier.
> >
> Danke, ich hatte das in der üblichen Eile vorerst sogar hochgesetzt.
> 
> > > ....
> > > Hier
> > > punktet übrigens das iPad III eindeutig
> >
> > Benutze diese Systeme nicht, die Proxy nicht akzeptieren wollen.
> > Es ist zu gefährlich in Schulen keinen oder nicht funktionierenden
> > Zugangsfilter zu betreiben. Gerade haben wir hier auch unter "SquidGuard
> > db/Listen" und "Squidguard blockt nicht alles ab - V.5.x.xxx" etwas
> gesagt.
> >
> Ja, das kann ich so umsetzen, Unsere SuS haben aber nun mal ihre doch
> recht
> preiswerten Androids, denen zu sagen, die Dinger weg zu werfen, ist nicht
> gerade smart ;-)
> 
> Und was mache ich im Unterricht mit der Eclipse IDE? Die kann auch nicht
> mit
> dem Proxy (Was scheinbar Arktur-Spezifisch ist)

Es kann nicht sein, dass Schüler oder Lehrer mit neuen Spielzeugen uns auf
Proxy oder auf eine elementare Sicherheit in Schulen zu verzichten zwingen.
Handys wurden schon in einigen Ledern in Schulen verboten.
Diese Geräte sind nicht schultauglich, meins Erachtens und haben in Schulen
nichts zu suchen. Übrigens, diese WLAN Strahlung (hat auch ähnliche
Charakteristika, wie Handy Smog) ist den lebenden Organismen nicht neutral
und kann sehr gefährlich werden. Das Verbot wurde aber mit der  Begründung
gesprochen, dass einige Schüler ihre Handy gemachte Bilder/ Filme im
Internet platzieren und Mitschüler damit in Verlegenheit bringen können
(Mobbing). Schulen sollen diese Aktivitäten auf keinem Fall unterstützen.

Zu Eclipse IDE müsste ich mehr Input haben.
Warum stört ihn Proxy, wenn das nur eine Entwicklungsumgebung (Java) wäre,
die lokal auf den Rechnern installiert ist.

Mit Updates habe ich nur Probleme, wenn ich auf dem Proxy die Anmeldung von
Usern aktiviere, dann lassen sich viele Programme nicht mehr updaten.
Ab und zu muss ich aber die Updates erlauben, dann setze ich die
Authentifizierung auf dem Proxy für die Installationen zurück.


> 
> > > B) Ideen und Fragen:
> > > 1.) Macht es Sinn, Arktur vom etwas zu engen 192.168.-Subnetz auf ein
> 10.-
> > > Subnetz umzustellen ...?
> >
> > Es loht sich nicht. Es ist unter /etc/named und in den /etc/named*
> Dateien
> > zu viel Arbeit. In einigen Scripts steht die IP von Arktur nicht kodiert
> > also als 192.168.0.1 in Deinem Fall.
> > Wenn, dann besser ihn ganz neu zu installieren - neue Hardware.
> > Die Lösung mit den beiden Zeilen unter /etc/dhcpd.conf wäre auch eine
> gute
> > Hilfe.
> >
> Hm, das verstehe ich noch nicht ganz. Welche "beiden Zeilen"?
> 
> > > 2.) Lässt sich Arktur nebst seinem Proxy/Squid so konfigurieren, dass
> ich
> > > die
> > > dritte (noch freie) Netzwerkkarte für das LuL/Fachraum-Netz aktivieren
> > > kann,
> > > so dass auf dieser Ethernetkarte kein Proxy und kein Schutzfilter den
> > > "normalen" Betrieb stören?
> > > Das würde also bedeuten, Arktur schütz den gesammten Datenverkehr auf
> > > seiner
> > > zweiten Netzwerkkarte, nicht aber den Datenverkehr auf seiner dritten
> > > Netzwerkkarte.
> >
> > Ja, das lässt sich preiswert umsetzten.
> > Würdest Du das Subnet 192.168.1.0/24 benutzen mit der IP 192.168.1.1 für
> > Arktur, dann brauchst Du nur /etc/Schule/ipfilter-start etwas
> umzuschreiben
> > und zwar folgend:
> > $IPTABLES_BIN -t filter -A INPUT -p icmp -s 192.168.1.0/24  -j ACCEPT
> > $IPTABLES_BIN -t filter -A INPUT -p tcp  -s 192.168.1.0/24  -j ACCEPT
> > Vor # Diese Ports sperren,
> > wenn Du ping und andere Anfragen an Arktur von dem Subnet 192.168.1.0/24
> > erlauben möchtest.
> > Dort sollen auch alle 192.168.0.0/16 auf 192.168.x.0/24 (x= 0,1
> > ...)umgeschrieben werden  und etwas erweitern um alle Subnets zu
> bekommen,
> > was es zu gebrauchen wären. Es soll auch die Datei /etc/Schule/masq-ein
> so
> > angepasst werden.
> >
> Die Subnetze müssen sich nicht gegenseitig sehen. Mir wäre das die Lösung
> von
> Helmut mit dem "/28" lieber.



Mit der Maske /24 sehen sich die Subnets 192.168.x.0 auch nicht mehr. Aber
von x=0 bis x=3 hast Du alles unter DNS Server eingetragen.

> 
> >
> > Um Proxy umgehen zu dürfen:
> >
> > # Freigegeben um vom Subnet 192.168.1.0/24 ohne Proxy ins Internet zu
> gehen.
> > $IPTABLES_BIN ...
> >
> Ich muss gestehen, iptables ist noch nicht meins. Das ist immer auch eine
> heiße Kiste und ich hab schon fürchterliche Angriffe erlebt, die durch
> falsche
> IPTables Konfigurationen zustande kamen. Da gehe ich ungern ran.
> 
> > Dabei bitte die Datei /etc/samba/smb.conf nicht vergessen:
> > Diese folgende Zeile soll ergänzt werden:
> > interfaces = lo eth0
> >
> Warum eth0?

Das war nur Beispiel. Es kann ethx stehen.
Bei dir würde das die Bezeichnung der Netzwerkkarte stehen müssen, die für
das neue Subnet verantwortlich ist.
 
> 
> > Es sollen die Lehrerrechner im Subnet 192.168.1.0/24 platziert werden
> und
> > Internetbrowser muss nicht mehr Proxy-Eintrag haben. Am besten soll dort
> > kein Eintrag stehen auch nicht selbst nach Einstellungen suchen.
> >
> so hätte ich es gern, ja.
> 
> > Es kommt bei Dir Rembo im Einsatz, was nach einem Eintrag in die Datei
> > <Rembo Root>/rembo.conf schreit und zwar:
> > Interfaces 192.169.0.1 192.168.1.1
> > Und noch aktivieren:
> > cd /ihr/rembo/pfad
> > ./rembo -c rembo.conf -d –exit
> > Wenn Du die Lehrerrechner auch unter Rembo mit Software versorgst oder
> sie
> > werden mit Rembo /mySHN x zurückgesetzt.
> >
> Nein, gilt nur für die PCs der Bibliothek, Lerninseln, etc. Lehrer müssen
> sich
> ihre PCs selbst warten.
> 
> > > Die alternative Lösung ...
> > > hinter Arktur in das Netz mit dem DSL-Router zu bringen, was mich nur
> > > einen
> > > Kabelpatch kosten würde. Was hätte das für weitere Konsequenzen...?
> >
> > Es ist ganz schlechte Idee. Es geht um die Sicherheit Deines
> > Schulnetzwerkes.
> >
> Nur, wenn dort von außen ein Zugriff erlaubt ist. Innen, also hinter
> Arktur
> und hinter der DMZ reicht übrigens ein kleiner Trojaner und alles ist
> offen.
> (Siehe Teamviewer, der ja kein Trojaner ist aber so funktioniert)
> 
> > Es wird nach solchen Lösungen in Firmen gesucht, um einfacher in die
> > internen Subnets einer Firma zugreifen können.
> > ...
> >
> DMZs können auch gehärtet werden. Schließlich möchte man dort ja gerade
> auf
> SQL, Apache, Mailserver, etc. zugreifen. Aber wie gesagt, eine DMZ haben
> wir
> derzeit nicht.


Würdest Du Geräte zwischen den Router (Internetzugang der Schule) und Arktur
aufstellen, ist das eine DMZ ähnliche Konfiguration, die zu solchen werden
kann, wenn Deine Routerfirewall mit DMZ konfiguriert wird.
Wenn das auch nicht stattfindet also keine DMZ dann gilt folgendes:
Alle Geräte entziehen sich etlicher Kontrolle, die zwischen Router und
Arktur angeschlossen werden. In Schulen würde ich das als Schulträger nicht
erlauben. Ich würde deswegen auch den Rektor/in (Datenbeauftragte und
allgemein für alles in Schulen Verantwortlichen) nicht unter solchen
gefährlichen Lösung konfrontieren.


> 
> > ...
> > Eigentlich schade für Rembo / mySHN 5 das jetzt nur mit LogoDidackt zu
> > kaufen ist. Die Firma SBE versucht Ihr Produkt LogoDidact auf dem
> > schulischen Markt durchzusetzen, obwohl wir einen oder sogar mehrere
> gute/n
> > Server für Schulen schon haben und einen neuen zu kaufen nicht brauchen
> auch
> > nicht, wenn es um Windows 7 Aktivierung geht.
> >

> Für uns ein Grund, ganz neue Wege zu gehen und SuS beim PC-Kauf zu
> sponsern
> o.ä. Faktisch wird der Schul-PC durch die Tabletts/Smatphones nicht gerade
> notwendiger und wenn man Hürden, wie das logo-Didakt schafft, muss man
> sich
> nicht wundern, wenn wir lieber neue Wege beschreiten. Ich möchte jetzt
> keinen
> Vergleich zum Westwall des WWII ziehen, aber der stand auch völlig neben
> allem.
> 

Lieder sind die neuen Wege Industrie Wege, die in Schulen noch einen neuen
großen Markt gefunden hatte mit den Smart Boards, schwarzen Brettern und
vielen anderen schnick schnack. Es kostet uns alle Viel Geld - Steuer Geld
und ist meistens überflüssig. Die Folgekosten sind auch erheblich.
Kein von diesen neuen Geräten hatte Schüler zum Lernen motiviert aber Lahrer
sehr oft zur Verzweiflung gebracht...


> > Hätten sie uns nur den Aufsatz, die Steuerung von LogoDidact verkauft,
> würde
> > ich schell dabei sein, wenn das sich schnell unter Arktur integrieren
> > lassen würde.
> >
> Tja, ich hab schon viele sterben sehen (Comodore, Compaq, ...)
> 
> 
> > Es muss wohl eine Methode dahinter
> > stecken...Ich soll neue Hardware kaufen.
> >

> Das ist klar: ctfmon-Remover hilft meißtens. Oder jetzt ist es ein neuer
> Virus, den ich noch nicht ganz verstanden habe, der aber auch als Tablett-
> Treiber definiert wurde ...
> 


> > Es ist bitter, gerade für Scanner
> > und Drucker, für die ich keine neue Treiber finde, obwohl sie noch Jahre
> > lang arbeiten hätten.
> >

> Scanner? Mal ehrlich, wozu benötigt man die noch? Wir hatten das letzten
> Sonntag, als meine Liebste eine mathematische Kurve einscannen wollte. Ich
> zeigt ihr ihre Digitalkamera, den Slot für den SD-Chip und so war sie
> schneller fertig als der Scanner sich aufwärmen konnte. Vom Platzbedarf
> mal
> gar nicht gesprochen ...

Das ja, aber mit OCR würde das nicht gehen. Dokumente in Textdateien zu
konvertieren. Die gibt's meistens noch in Verwaltungen.


> 
> > Nach 7 bis 8 Jahren ist bei mir sowieso Schluss und ich muss neue
> Hardware
> > (Computer, nicht Monitore) kaufen.
> >

> Ja, so ist unser Admin-Leben - schön das wir mal drüber geschrieben haben
> ;-)
> 

> > > ...
> > Bloß nicht diese Lösung. Es entstehen im  Lande mehrere Rechenzentren,
> > dessen Aufgabe ist es, die Ressourcen (Hardware und Manpower) zu
> vereinigen.
> > Ich beobachte seit Jahren eine Konzentration an Daten und Macht. Sehr
> > gefährlich auch für Computersysteme, die leider mit unsicheren, in
> diesem
> > Fall, Telefonleitungen zusammen verbunden sind. Es kommt noch eine
> Hardware
> > dazwischen, die ausfallen könnte. Ist das nur die Telefonleitung/en oder
> > doch viel mehr? Die kaputt gehen könnten und das ganze Schulische
> > Computerinfrastruktur lahm legen könnten.
> >
> Ja und daher habe ich ein Auto BJ 1961. Der läuft immer :-) - Ja ne ist
> klar.
> das ist der Trend und wir werden nicht, wir sind abhängig.
> 
> > Deine Daten sind dein Kapital.
> >
> Ja insbesondere gilt das für Firmen
> 
> > Ich würde von den großen Firmen, wie "Coca Cola" lernen.
> > Es gibt zwei Menschen, die das Rezept (wichtige Daten) von "Coca Cola"
> > kennen.
> >
> Und der Apotheker Hussmann aus Marburg ;-)
> 

Er nimmt alles was er weiß mit...
Übrigens, Apotheken sind zu Verkaufstellen mutiert. Sie haben keine
Laborräume mehr.

> > ...
> > Ist das nicht möglich, leiden darunter viele Firmen, deren Rechner auf
> das
> > Rechenzentrum angewiesen sind. Die sind auch ganz gut gestresst...
> >

> Also unsere SuS kopieren das Wiki, o.ä., das braucht man nicht auszuwerten
> und
> da sie sich in Faceb. dazu austauschen, wissen die Betreiber es schon vor
> dem
> Lehrer, wie die Note sein wird :-)
> 
> Und Du hast völlig recht. Ich kenne mittelständische U'men, die sich
> lieber
> zwei Netze leisten, eines mit Internet und eines ohne für ihre Daten. Ich
> erinnere an die Tesa-Film Geschichte, die ja nach Spionage über das Web in
> den
> USA patentiert wurde und nicht durch den eigentlichen Urheber, die Max-
> Plank
> Ges. ... Dennnoch nutzt das nichts, denn unsere SuS interessiert das nicht
> mehr. Sie sind die Internetgeneration. Wir sind die, die noch Bits im PC
> interpretirren konnten und Treets, Raider und ....
> 

Ich hatte immer das gesagt. Zwei Netzwerke für Internet und ein internes für
Entwicklung und Daten. Schade, dass die Manger von Firmen das nicht
verstehen. 


> > ...
> > Ich könnte hier noch ein Buch darüber schreiben...
> >
> Und würdest zu dem Schluss kommen, dass wir längst mehr preisgeben mussten
> als
> wir in unseren künsten Albträumen befürchtet hätten ...
> 
> Nimm als Beispiel die Sendung "Persons of Interest". Dort sieht man
> Menschen
> mit einem Kästchen um ihr Video-Abbild... Das hab ich bereit 1991 so life
> gesehen und wir haben ja inzwischen 2012 = 1984XXXXL
> 
> Spannend bleibt, was die reale Welt unserer SuS geworden ist. Da möchte
> ich
> schon einen Kontrapunkt wagen...
> 
> --
> Mit freundlichen Grüßen
> 
> Pitt Leidner
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 12.12.2012