Hallo,
brauche euch mal fürs Brainstorming.
Ich habe in einer Schule Die Shalla Blackliste geladen und aktiviert und dort unter anderem auch porn und co aktiviert. Am Client hab ich unter firefox den Proxy hinterlegt, es kommen aber trotzdem alle Clients problemlos auf diverse Schmuddelseiten.
Ich habe keine Ausnahmen hinterlegt und die korrekten Kategorien sind eigentlich auch ausgewählt.
Hat jemand eine Idee was das Problem sein könnte?
Ich bin inzwischen etwas ratlos.
Gruß
Michael
ipfire shalla list funktioniert nur für http-Seiten, nicht für https.
HAst du das bedacht?
VG, Tobias
wenn man den Proxy fest einträgt funktioniert der tadellos auch für https seiten.
Hab ich bisher in vielen schulen so laufen gehabt aber in der scheint irgendeine config nicht zu passen
gruß
Michael
Hallo Michael,
brauche euch mal fürs Brainstorming.
Ich habe in einer Schule Die Shalla Blackliste geladen und aktiviert und
dort unter anderem auch porn und co aktiviert. Am Client hab ich unter
firefox den Proxy hinterlegt, es kommen aber trotzdem alle Clients
problemlos auf diverse /Schmuddelseiten/.
Ich habe keine Ausnahmen hinterlegt und die korrekten Kategorien sind
eigentlich auch ausgewählt.
Hat jemand eine Idee was das Problem sein könnte?
Ich bin inzwischen etwas ratlos.
https Seiten werden nicht durch den URL Filter gefiltert.
Das wird des Rätsels Lösung sein.
Das kannst du auch ohne weiteres nicht anders machen.
Willst du https Seiten filten, so mußt du dich in die https Verbindung
als MAn in the Middle einhäcken (meiner Meinung nach ist das verboten),
oder du setzt am DNS an und filterst die DNS Anfragen.
Das geht am einfachsten, wenn du den filternden DNS von BelWü benutzt.
Der ist aber für dich nicht ohne weiteres konfigurierbar.
Alternative wäre openDNS.
Such mal in Biscourse nach DNS und BelWü
In einem Artikel vor ein paar Monaten hab ich beschrieben, wei man den
DNS von BelWü einbindet.
LG
Holger
Hab ich irgendwas verpasst?
Bisher habe ich immer den festen Proxy eingetragen und dann hat er zwar nicht mehr die ipfire seite angezeigt aber er hat wenigstens angezeigt das die seite nicht geöffnet werden kann…ich bin verwirrt
Hab das auch grade mal in einer anderen schule getestet, funktioniert einwandfrei
Hallo,
Du hast zunächst ganz recht:
Der transparente Proxy kann - darf - keinen https-Verkehr filtern. Er müsste dazu den ssl-Verkehr entschlüsseln, dann wieder verschlüsseln (zum Client-Computer hin) und dieses Vorgehen (weitgehend) verbergen. Das ist zwar möglich („squid-in-the-middle“ = „man-in-the-middle“), ist aber rechtlich bedenklich, obwohl das manchmal Kommunen machen, wenn sie ihren Institutionen einen Proxy anbieten / vorschreiben bzw. die Filterfunktion mancher Virenscanner darstellt, die doch tatsächlich (grummel !) den https-Verkehr entschlüsseln, um die Pakete auf Schädlinge besser untersuchen zu können. Alles SEHR fragwürdig und GEFÄHRLICH !
Daher: Lieber einen nicht transparenten Proxy benutzen, wie Du es machst. Der kann deswegen https filtern, weil er gegenüber den Servern nicht so tut, als sei er gar nicht da, sondern, als sei er ein „Benutzer“, ein https-Browser als „Endgerät“. Dann aber verschlüsselt er wieder und schickt die Seiten an den Client. Das tut er eben nicht „transparent“, sondern macht sich als „proxy-in-the-middle“ deutlich sichtbar, schließlich muss man seinen Port bei der Browserkonfiguration eintragen, der Browser und damit der Internetbenutzer weiß also, was Sache ist.
Und hier die Frage: Kann man die Proxy-Konfiguration umgehen ? Schau doch mal in die Konfiguration Deiner Clients, die haben da evtl. eingetragen, dass unter Umständen der Proxy nicht gebraucht wird.
L.G.
Christoph Gü
Hi Christoph,
habe alles nochmal geprüft. in den letzten 3 Schulen die ich ausgerollt habe funktioniert der Proxy nicht, in allen anderen Schulen läuft dieser tadellos. Habe im Firefox nachgeschaut aber außer das ich halt dort den proxy angegeben habe, habe ich nichts weiter eingestellt.
Gruß
Michael
Hi,
ich bin gott sei dank nicht verrückt geworden und habe den Fehler gefunden.
Ich habe unter ROT einen festen DNS Server eingegeben und zwar 1.1.1.1
das hat dafür gesorgt, dass der Proxy nicht mehr funktionierte.
Nachdem ich das wieder auf automatisch gestellt hatte, hat auch alles wieder funktioniert.
Und jetzt nochmal kurz als info: https kann über den Proxy gefiltert werden solange dieser im Browser (in unserem Fall Firefox) hinterlegt ist. Der einzige Nachteil ist, das von der IPFire nicht mehr die Sperrseite angezeigt wird, sondern nur die Meldung erscheint “Fehler: Verbindung fehlgeschlagen”.
Grüße
Michael
Also bei mir funktioniert der IPFire URL-Filter auch für HTTPS. Man muss halt im Client den Proxy für HTTPS eintragen (und den HTTPS Port per Firewall-Regel blocken, damit die Schüler im Browser nicht einfach auf „kein Proxy“ schalten, um den Filter zu umgehen).
Shallalist scheint mir aber tot zu sein; d.h. wird seit langem nicht mehr aktualisiert.
Die Université Toulouse Blacklist scheint mir dagegen besser zu sein.