web.de: das führt zu einem Timeout, aber nicht der Sperrseite von IP-Fire (was ja auch nicht so sein sollte).
Bei Spiegel komme ich aber problemlos durch und kann auch danach die Links auf Spiegel nutzen (auch nach dem Löschen des lokalen Caches). Diese weiteren Seiten befinden sich dann ja nicht im Proxy-Cache und werden trotzdem geladen.
Und der Proxy sollte doch eigentlich alle IPs, die nicht in src_allowed_ip.acl sind überhaupt nicht bedienen, sondern die Sperrseite ausliefern (egal ob die Seite im Proxy-Cache ist oder nicht). In dieser Datei ist die IP des Rechners nicht vermerkt.
Welche Logfiles kann ich mir denn anschauen, die die Anfrage an den IPFire bis zur Auslieferung dokumentieren? /var/log/squid/access.log wäre jetzt zum Beispiel mein Tipp gewesen. Darin finde ich auch die Anfrage wieder und Squid, der sie während der aktiven Sperre und fehlendem Eintrag in src_allowed_ip.acl ausliefert.
die Sperrseite kommt m.E. nur, wenn das URL-Filter zugeschlagen hat. Ansonsten kommt - wieder m.E. - der Timeout.
Warum bei Euch der Spiegel zu erreichen ist ist mir unklar. Hast Du vielleicht einen Covachilli installiert? Dort kann man Internetseiten freischalten die immer erreichbar sind.
Wenn das so wäre, dann könnte - durch eine Fehlkonfiguartion - die Auslieferung der Seite über “blau” erfolgen.
Warum ist bei Euch - auch ohne WLAN - der Proxy auf blau transparent? Ich würde die Haken dort weg nehmen, solange das WLAN nicht über blau läuft.
ich habe gerade eine interessante Beobachtung gemacht. Ich wollte die Internetsperre bei uns in der Schule testen und habe bei ausgeschaltetem Internet die Spiegel-Seite aufgerufen. Das gelang nicht.
Dann habe ich die Schulkonsole aufgerufen. Kurz bevor die Schulkonsole angezeigt wurde wurde die Spiegel.de-Seite angezeigt und verschwand wieder.
Dann habe ich via Schulkonsole das Intenet frei geschaltet. Jetzt konnte ich die Spiegel.de-Seite laden.
Schalte ich das Intenet aus, behalte aber die Spiegel.de-Seite angezeigt, dann kann ich - trotz Sperre - verlinkte Seiten von Spiegel.de aufrufen.
Neue Seiten lassen sich nicht aufrufen.
Ich denke durch das o.a. Phänomen lässt Dominik meinen dass die Internet-Sperre nicht funktioniert.
oh, mann. Vor dem Umzug unserer Schule (um das Gebäude zu sanieren) war unser Linuxmuster vermutlich auch schon fehlerhaft konfiguriert. Wenn die Internetsperre aktiv war, wurde der Sperrbildschirm angezeigt (unabhängig von dem Zuschlagen des Webfilters). Deshalb ging ich davon aus, dass das so sein muss. Oh, mann. Viel Ärger um (fast) nichts.
Das von Alois und mir beschriebene Verhalten ist zumindest komisch. Nachdem der Internetzugriff entzogen wurde, ist der betreffende Host nicht mehr in der Netzwerkgruppe allowed_hosts der Firewall, die damit den Zugriff nicht zulassen sollte.
Evtl. greift der Web-Proxy vorher ein. Doch auch der weiß, dass der Client nicht mehr berechtigt ist, weil sich die IP nicht mehr in src_allowed_ip.acl befindet. Auch ein Leeren des Caches des Proxy bwz. Neustart lässt die „Folgeseiten“ der letzten Seite außerhalb der Internetsperre zu.
Trotzdem natürlich vielen Dank für die geduldige Hilfe
ich habe mich näher mit der Konfigurationsdatei des Squid-Proxies beschäftigt und einen potentiellen Fehler gefunden, der zu dem beobachteten Verhalten führen könnte. Bevor ich es herunterschreibe, habe ich ein kurzes Video erstellt, in dem ich die squid.conf durchgehe und das Problem aufzeige.
Als Ergänzung dazu: Da keine src_no_access_ips.acl definiert werden, müssen irgendwo die nicht gestatteten IPs herausgefiltert werden. Ansonsten macht die Rechtevergabe der src_allowed_ip.acl keinen Sinn, da denen ja auch über die Subnetze der Zugriff gestattet wird.
Beim Zurücksetzen des IPFire wurde standardmäßig nur das blaue Netz eingetragen. und das ist so sinnig, da dieses Subnetz ohne weitere Einschränkung Zugriff erhält. Nur hat meiner Meinung nach das grüne Subnetz darin nichts verloren, da in diesem die Zugriffvergabe über die src_allowed_ip.acl erfolgt.
Warum es in den Dokumentationen so drinsteht und vermutlich auch funktioniert hat, ist mir ein Rätsel.
Leider gibt es ja immer viele Wege nach Rom … Aus meiner Sicht darf unter Netzwerk --> Web Proxy --> Erlaubte Subnetze das Schulnetzwerk (10.16.0.0/12) nicht eingetragen werden!
Die Zugriffskontrolle wird von der Schulkonsole/workstations-Datei des Schulservers in die Datei /var/ipfire/proxy/advanced/acls/src_allowed_ip.acl auf dem IPFIRE geschieben.
Der Eintrag in der /etc/squid/squid.conf dazu lautet:
#Start of custom includes
acl IPFire_allowed_ips src "/var/ipfire/proxy/advanced/acls/src_allowed_ip.acl"
http_access allow IPFire_allowed_ips within_timeframe
Die src_allowed_ip.acl wird aus meiner Sicht wirkungslos, wenn das Schulnetz unter den erlaubten Netzen eingetragen wird (first match greift dann in der squid.conf …) .
und das ist auch alles vollkommen in Ordnung. Es hat mich als absoluten Linuxmuster-Neuling nur sehr verunsichert, weil ich den Fehler überall anders gesucht habe.