Hallo Alois,
die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen gleich mal aus. Dann kann ich ein Gros der Geräte aus den workstations-Datei rausnehmen.
Viele Grüße
Dominik
Hallo Alois,
die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen gleich mal aus. Dann kann ich ein Gros der Geräte aus den workstations-Datei rausnehmen.
Viele Grüße
Dominik
Hallo Dominik,
die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen
gleich mal aus.
… ich kenne ja deine Vorkentnisse nicht, aber normalerweise ist das
nichts was man „mal schnell“ macht.
Man kann dabei aber durchaus „mal schnell“ das ganze Netz lahm legen.
Ich weiß also nicht, ob du das Morgen „gleich mal“ ausprobieren willst
LG
Holger
Hallo Holger,
danke für die Sorge, war vielleicht sehr lapidar formuliert. Unser Netzwerk ist klein und wir haben Ferien und damit mehr Zeit als sonst.
Bei der Einteilung in zwei VLANs (grün und blau) über zwei Switches und ca. 30 Clients sollte das aber auch bei näherer Betrachtung in 1-2 Stunden über die Bühne zu bringen sein oder übersehe ich irgendetwas Entscheidendes?
Dazu habe ich im Anwederwiki eine Anleitung gesehen, suche ich mir für “morgen mal” raus
Viele Grüße
Dominik
Hallo Dominik,
das Konzept scheint dir nicht neu zu sein. Das kannst du schaffen.
Lg Holger
Hallo zusammen,
ich habe leider nach wie vor das Problem, dass die Internetsperre nicht funktioniert. In diesem Clip bin ich die Schritte alle durchgegangen, vielleicht übersehe ich ja etwas: https://youtu.be/-nDK18EmiUg
Jetzt wird erstmal das WLAN ins blaue Netz umgezogen.
Viele Grüße
Dominik
Hallo Dominik,
ich habe leider nach wie vor das Problem, dass die Internetsperre nicht
funktioniert. In diesem Clip bin ich die Schritte alle durchgegangen,
vielleicht übersehe ich ja etwas: https://youtu.be/-nDK18EmiUg
ich hab dein Video angeschaut: der Test ist für mich nicht
zufriedenstellend, da du nach Abschalten des Internets einen Reload
machst: die Seite kommt dann aus dem lokalen Cache oder dem Proxy vom
IPFire: aber möglicherweise eben nicht aus dem Internet: potentiell
könnte die Sperre also schon funktionieren.
Das gewünschte Verhalten bringt also vielleicht garnicht das löschen des
Subnetzes, sondern der reload des Proxys.
Als: mach alles nochmal so, aber ruf nach Einschalten der Sperre eine
andere Seite auf (so wie es auch Alois vorschlägt).
LG
Holger
Hallo Alois,
web.de: das führt zu einem Timeout, aber nicht der Sperrseite von IP-Fire (was ja auch nicht so sein sollte).
Bei Spiegel komme ich aber problemlos durch und kann auch danach die Links auf Spiegel nutzen (auch nach dem Löschen des lokalen Caches). Diese weiteren Seiten befinden sich dann ja nicht im Proxy-Cache und werden trotzdem geladen.
Und der Proxy sollte doch eigentlich alle IPs, die nicht in src_allowed_ip.acl
sind überhaupt nicht bedienen, sondern die Sperrseite ausliefern (egal ob die Seite im Proxy-Cache ist oder nicht). In dieser Datei ist die IP des Rechners nicht vermerkt.
Welche Logfiles kann ich mir denn anschauen, die die Anfrage an den IPFire bis zur Auslieferung dokumentieren? /var/log/squid/access.log
wäre jetzt zum Beispiel mein Tipp gewesen. Darin finde ich auch die Anfrage wieder und Squid, der sie während der aktiven Sperre und fehlendem Eintrag in src_allowed_ip.acl
ausliefert.
Bin echt ratlos.
Viele Grüße
Dominik
Hallo Dominik,
die Sperrseite kommt m.E. nur, wenn das URL-Filter zugeschlagen hat. Ansonsten kommt - wieder m.E. - der Timeout.
Warum bei Euch der Spiegel zu erreichen ist ist mir unklar. Hast Du vielleicht einen Covachilli installiert? Dort kann man Internetseiten freischalten die immer erreichbar sind.
Wenn das so wäre, dann könnte - durch eine Fehlkonfiguartion - die Auslieferung der Seite über “blau” erfolgen.
Warum ist bei Euch - auch ohne WLAN - der Proxy auf blau transparent? Ich würde die Haken dort weg nehmen, solange das WLAN nicht über blau läuft.
Gruß
Alois
Hallo,
ich habe gerade eine interessante Beobachtung gemacht. Ich wollte die Internetsperre bei uns in der Schule testen und habe bei ausgeschaltetem Internet die Spiegel-Seite aufgerufen. Das gelang nicht.
Dann habe ich die Schulkonsole aufgerufen. Kurz bevor die Schulkonsole angezeigt wurde wurde die Spiegel.de-Seite angezeigt und verschwand wieder.
Dann habe ich via Schulkonsole das Intenet frei geschaltet. Jetzt konnte ich die Spiegel.de-Seite laden.
Schalte ich das Intenet aus, behalte aber die Spiegel.de-Seite angezeigt, dann kann ich - trotz Sperre - verlinkte Seiten von Spiegel.de aufrufen.
Neue Seiten lassen sich nicht aufrufen.
Ich denke durch das o.a. Phänomen lässt Dominik meinen dass die Internet-Sperre nicht funktioniert.
Gruß
Alois
Hallo Alois,
das klingt sehr ähnlich zu meiner Beobachtung. Nur, dass bei mir gesperrte Internetseiten zu einem Timeout führen und nicht der Sperr-Seite.
Viele Grüße
Dominik
Hallo Dominik,
Das ist bei mir auch so. Nur wenn das Webfilter zuschlägt kommt ie Sperrseite.
Gruß
Alois
Hallo Alois,
oh, mann. Vor dem Umzug unserer Schule (um das Gebäude zu sanieren) war unser Linuxmuster vermutlich auch schon fehlerhaft konfiguriert. Wenn die Internetsperre aktiv war, wurde der Sperrbildschirm angezeigt (unabhängig von dem Zuschlagen des Webfilters). Deshalb ging ich davon aus, dass das so sein muss. Oh, mann. Viel Ärger um (fast) nichts.
Das von Alois und mir beschriebene Verhalten ist zumindest komisch. Nachdem der Internetzugriff entzogen wurde, ist der betreffende Host nicht mehr in der Netzwerkgruppe allowed_hosts
der Firewall, die damit den Zugriff nicht zulassen sollte.
Evtl. greift der Web-Proxy vorher ein. Doch auch der weiß, dass der Client nicht mehr berechtigt ist, weil sich die IP nicht mehr in src_allowed_ip.acl
befindet. Auch ein Leeren des Caches des Proxy bwz. Neustart lässt die „Folgeseiten“ der letzten Seite außerhalb der Internetsperre zu.
Trotzdem natürlich vielen Dank für die geduldige Hilfe
Viele Grüße
Dominik
Hallo zusammen,
ich habe mich näher mit der Konfigurationsdatei des Squid-Proxies beschäftigt und einen potentiellen Fehler gefunden, der zu dem beobachteten Verhalten führen könnte. Bevor ich es herunterschreibe, habe ich ein kurzes Video erstellt, in dem ich die squid.conf durchgehe und das Problem aufzeige.
Als Ergänzung dazu: Da keine src_no_access_ips.acl
definiert werden, müssen irgendwo die nicht gestatteten IPs herausgefiltert werden. Ansonsten macht die Rechtevergabe der src_allowed_ip.acl
keinen Sinn, da denen ja auch über die Subnetze der Zugriff gestattet wird.
Beim Zurücksetzen des IPFire wurde standardmäßig nur das blaue Netz eingetragen. und das ist so sinnig, da dieses Subnetz ohne weitere Einschränkung Zugriff erhält. Nur hat meiner Meinung nach das grüne Subnetz darin nichts verloren, da in diesem die Zugriffvergabe über die src_allowed_ip.acl
erfolgt.
Warum es in den Dokumentationen so drinsteht und vermutlich auch funktioniert hat, ist mir ein Rätsel.
Viele Grüße
Dominik
Hallo Dominik,
folgende Anmerkungen aus meiner Sicht:
Leider gibt es ja immer viele Wege nach Rom … Aus meiner Sicht darf unter Netzwerk --> Web Proxy --> Erlaubte Subnetze das Schulnetzwerk (10.16.0.0/12) nicht eingetragen werden!
Die Zugriffskontrolle wird von der Schulkonsole/workstations-Datei des Schulservers in die Datei /var/ipfire/proxy/advanced/acls/src_allowed_ip.acl auf dem IPFIRE geschieben.
Der Eintrag in der /etc/squid/squid.conf dazu lautet:
#Start of custom includes
acl IPFire_allowed_ips src "/var/ipfire/proxy/advanced/acls/src_allowed_ip.acl"
http_access allow IPFire_allowed_ips within_timeframe
Die src_allowed_ip.acl wird aus meiner Sicht wirkungslos, wenn das Schulnetz unter den erlaubten Netzen eingetragen wird (first match greift dann in der squid.conf …) .
Grüße
Bertram
Hallo Dominik,
da waren wir noch auf der linuxmuster.net 5.x. Als Firewall wurde er IPCOP verwendet. Mag sein, dass es da anders funktionierte.
Gruß
Alois
Hallo Bertram,
Ich werde das demnächst - wenn wieder Schule ist - testen.
Gruß
Alois
Hallo Bertram,
ich bin ganz Deiner Meinung. Problematisch ist nur, dass die Doku das anders darstellt und es deshalb zu den Problemen kommen kann.
Viele Grüße
Dominik
Hallo Dominik,
es gehört zu dem Geschäft, dass man entdeckte Fehler korrigiert. Wenn sich der Eintrag als falsch heraus stellt, dann wird das sicher geändert.
Gruß
Alois
Hallo Alois,
und das ist auch alles vollkommen in Ordnung. Es hat mich als absoluten Linuxmuster-Neuling nur sehr verunsichert, weil ich den Fehler überall anders gesucht habe.
Viele Grüße
Dominik