Internetsperre funktioniert nicht

Hallo Alois,

die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen gleich mal aus. Dann kann ich ein Gros der Geräte aus den workstations-Datei rausnehmen.

Viele Grüße
Dominik

Hallo Dominik,

die Switches sind konfigurierbar mit VLAN-IDs. Das probiere ich morgen
gleich mal aus.

… ich kenne ja deine Vorkentnisse nicht, aber normalerweise ist das
nichts was man “mal schnell” macht.
Man kann dabei aber durchaus “mal schnell” das ganze Netz lahm legen.
Ich weiß also nicht, ob du das Morgen “gleich mal” ausprobieren willst :slight_smile:

LG

Holger

Hallo Holger,

danke für die Sorge, war vielleicht sehr lapidar formuliert. Unser Netzwerk ist klein und wir haben Ferien und damit mehr Zeit als sonst.
Bei der Einteilung in zwei VLANs (grün und blau) über zwei Switches und ca. 30 Clients sollte das aber auch bei näherer Betrachtung in 1-2 Stunden über die Bühne zu bringen sein oder übersehe ich irgendetwas Entscheidendes?

  • Die Ports für das jeweilige VLAN innerhalb eines Swichtes festlegen (darauf achten, dass die Pakete untagged an die Clients weitergeleitet werden)
  • Die Uplinks der Swiches auf tagged setzen
  • Gleiche VLAN-IDs verwenden

Dazu habe ich im Anwederwiki eine Anleitung gesehen, suche ich mir für “morgen mal” raus :wink:

Viele Grüße
Dominik

Hallo Dominik,

das Konzept scheint dir nicht neu zu sein. Das kannst du schaffen.

Lg Holger

Hallo zusammen,

ich habe leider nach wie vor das Problem, dass die Internetsperre nicht funktioniert. In diesem Clip bin ich die Schritte alle durchgegangen, vielleicht übersehe ich ja etwas: https://youtu.be/-nDK18EmiUg

Jetzt wird erstmal das WLAN ins blaue Netz umgezogen.

Viele Grüße
Dominik

Hallo Dominik,

wie sieht es mit anderen Seiten aus? Web.de z.B.

Gruß

Alois

Hallo Dominik,

ich habe leider nach wie vor das Problem, dass die Internetsperre nicht
funktioniert. In diesem Clip bin ich die Schritte alle durchgegangen,
vielleicht übersehe ich ja etwas: https://youtu.be/-nDK18EmiUg

ich hab dein Video angeschaut: der Test ist für mich nicht
zufriedenstellend, da du nach Abschalten des Internets einen Reload
machst: die Seite kommt dann aus dem lokalen Cache oder dem Proxy vom
IPFire: aber möglicherweise eben nicht aus dem Internet: potentiell
könnte die Sperre also schon funktionieren.
Das gewünschte Verhalten bringt also vielleicht garnicht das löschen des
Subnetzes, sondern der reload des Proxys.

Als: mach alles nochmal so, aber ruf nach Einschalten der Sperre eine
andere Seite auf (so wie es auch Alois vorschlägt).

LG

Holger

Hallo Alois,

web.de: das führt zu einem Timeout, aber nicht der Sperrseite von IP-Fire (was ja auch nicht so sein sollte).
Bei Spiegel komme ich aber problemlos durch und kann auch danach die Links auf Spiegel nutzen (auch nach dem Löschen des lokalen Caches). Diese weiteren Seiten befinden sich dann ja nicht im Proxy-Cache und werden trotzdem geladen.
Und der Proxy sollte doch eigentlich alle IPs, die nicht in src_allowed_ip.acl sind überhaupt nicht bedienen, sondern die Sperrseite ausliefern (egal ob die Seite im Proxy-Cache ist oder nicht). In dieser Datei ist die IP des Rechners nicht vermerkt.
Welche Logfiles kann ich mir denn anschauen, die die Anfrage an den IPFire bis zur Auslieferung dokumentieren? /var/log/squid/access.log wäre jetzt zum Beispiel mein Tipp gewesen. Darin finde ich auch die Anfrage wieder und Squid, der sie während der aktiven Sperre und fehlendem Eintrag in src_allowed_ip.acl ausliefert.


Dort würde ich eigentlich ein INVALID erwarten.

Bin echt ratlos.

Viele Grüße
Dominik

Hallo Dominik,

die Sperrseite kommt m.E. nur, wenn das URL-Filter zugeschlagen hat. Ansonsten kommt - wieder m.E. - der Timeout.

Warum bei Euch der Spiegel zu erreichen ist ist mir unklar. Hast Du vielleicht einen Covachilli installiert? Dort kann man Internetseiten freischalten die immer erreichbar sind.

Wenn das so wäre, dann könnte - durch eine Fehlkonfiguartion - die Auslieferung der Seite über “blau” erfolgen.

Warum ist bei Euch - auch ohne WLAN - der Proxy auf blau transparent? Ich würde die Haken dort weg nehmen, solange das WLAN nicht über blau läuft.

Gruß

Alois

Hallo,

ich habe gerade eine interessante Beobachtung gemacht. Ich wollte die Internetsperre bei uns in der Schule testen und habe bei ausgeschaltetem Internet die Spiegel-Seite aufgerufen. Das gelang nicht.

Dann habe ich die Schulkonsole aufgerufen. Kurz bevor die Schulkonsole angezeigt wurde wurde die Spiegel.de-Seite angezeigt und verschwand wieder.

Dann habe ich via Schulkonsole das Intenet frei geschaltet. Jetzt konnte ich die Spiegel.de-Seite laden.

Schalte ich das Intenet aus, behalte aber die Spiegel.de-Seite angezeigt, dann kann ich - trotz Sperre - verlinkte Seiten von Spiegel.de aufrufen.

Neue Seiten lassen sich nicht aufrufen.

Ich denke durch das o.a. Phänomen lässt Dominik meinen dass die Internet-Sperre nicht funktioniert.

Gruß

Alois

Hallo Alois,

das klingt sehr ähnlich zu meiner Beobachtung. Nur, dass bei mir gesperrte Internetseiten zu einem Timeout führen und nicht der Sperr-Seite.

Viele Grüße
Dominik

Hallo Dominik,

Das ist bei mir auch so. Nur wenn das Webfilter zuschlägt kommt ie Sperrseite.

Gruß

Alois

Hallo Alois,

:open_mouth: oh, mann. Vor dem Umzug unserer Schule (um das Gebäude zu sanieren) war unser Linuxmuster vermutlich auch schon fehlerhaft konfiguriert. Wenn die Internetsperre aktiv war, wurde der Sperrbildschirm angezeigt (unabhängig von dem Zuschlagen des Webfilters). Deshalb ging ich davon aus, dass das so sein muss. Oh, mann. Viel Ärger um (fast) nichts.

Das von Alois und mir beschriebene Verhalten ist zumindest komisch. Nachdem der Internetzugriff entzogen wurde, ist der betreffende Host nicht mehr in der Netzwerkgruppe allowed_hosts der Firewall, die damit den Zugriff nicht zulassen sollte.
Evtl. greift der Web-Proxy vorher ein. Doch auch der weiß, dass der Client nicht mehr berechtigt ist, weil sich die IP nicht mehr in src_allowed_ip.acl befindet. Auch ein Leeren des Caches des Proxy bwz. Neustart lässt die “Folgeseiten” der letzten Seite außerhalb der Internetsperre zu.

Trotzdem natürlich vielen Dank für die geduldige Hilfe :ok_hand:

Viele Grüße
Dominik

Hallo zusammen,

ich habe mich näher mit der Konfigurationsdatei des Squid-Proxies beschäftigt und einen potentiellen Fehler gefunden, der zu dem beobachteten Verhalten führen könnte. Bevor ich es herunterschreibe, habe ich ein kurzes Video erstellt, in dem ich die squid.conf durchgehe und das Problem aufzeige.

Als Ergänzung dazu: Da keine src_no_access_ips.acl definiert werden, müssen irgendwo die nicht gestatteten IPs herausgefiltert werden. Ansonsten macht die Rechtevergabe der src_allowed_ip.acl keinen Sinn, da denen ja auch über die Subnetze der Zugriff gestattet wird.
Beim Zurücksetzen des IPFire wurde standardmäßig nur das blaue Netz eingetragen. und das ist so sinnig, da dieses Subnetz ohne weitere Einschränkung Zugriff erhält. Nur hat meiner Meinung nach das grüne Subnetz darin nichts verloren, da in diesem die Zugriffvergabe über die src_allowed_ip.acl erfolgt.

Warum es in den Dokumentationen so drinsteht und vermutlich auch funktioniert hat, ist mir ein Rätsel.

Viele Grüße
Dominik

1 Like

Hallo Dominik,

folgende Anmerkungen aus meiner Sicht:

Leider gibt es ja immer viele Wege nach Rom … Aus meiner Sicht darf unter Netzwerk --> Web Proxy --> Erlaubte Subnetze das Schulnetzwerk (10.16.0.0/12) nicht eingetragen werden!

Die Zugriffskontrolle wird von der Schulkonsole/workstations-Datei des Schulservers in die Datei /var/ipfire/proxy/advanced/acls/src_allowed_ip.acl auf dem IPFIRE geschieben.

Der Eintrag in der /etc/squid/squid.conf dazu lautet:

#Start of custom includes

acl IPFire_allowed_ips src "/var/ipfire/proxy/advanced/acls/src_allowed_ip.acl"
http_access allow IPFire_allowed_ips within_timeframe

Die src_allowed_ip.acl wird aus meiner Sicht wirkungslos, wenn das Schulnetz unter den erlaubten Netzen eingetragen wird (first match greift dann in der squid.conf …) .

Grüße
Bertram

Hallo Dominik,

da waren wir noch auf der linuxmuster.net 5.x. Als Firewall wurde er IPCOP verwendet. Mag sein, dass es da anders funktionierte.

Gruß

Alois

Hallo Bertram,

Ich werde das demnächst - wenn wieder Schule ist - testen.

Gruß

Alois

Hallo Bertram,

ich bin ganz Deiner Meinung. Problematisch ist nur, dass die Doku das anders darstellt und es deshalb zu den Problemen kommen kann.

Viele Grüße
Dominik

Hallo Dominik,

es gehört zu dem Geschäft, dass man entdeckte Fehler korrigiert. Wenn sich der Eintrag als falsch heraus stellt, dann wird das sicher geändert.

Gruß

Alois

Hallo Alois,

und das ist auch alles vollkommen in Ordnung. Es hat mich als absoluten Linuxmuster-Neuling nur sehr verunsichert, weil ich den Fehler überall anders gesucht habe.

Viele Grüße
Dominik