Neue Rechner im Computerraum kommen ins Internet, obwohl in der Schulkonsole gesperrt

#1

Hallo Leute!

Ich hab mit meiner Computer-AG letzten Freitag (endlich) neue PCs in einem der Computerräume installiert. In der Schulkonsole hab ich dazu die alten MAC-Adressen durch die neuen ersetzt. Seit dem kommen alle PCs ins Internet, obwohl der Raum in der Schulkonsole gesperrt ist.
import-worstation lief ohne Fehler durch, linuxmuster-reset hat auch nix geändert.
Im IPFire ist mir aber aufgefallen, dass unter

Netzwerk -> WebProxy -> Gesperrte MAC-Adressen (eine pro Zeile)

die alten MAC-Adressen der ausgemusterten Computerraum-Rechner stehen (und auch die noch aktuellen MAC-Adressen des anderen Computerraums) nicht aber die neuen.

Liegt es daran und wenn ja, gibt’s da einen Automatismus, wie ich die neuen MAC-Adressen da übernehmen kann?

Vielen Dank schon mal!

Grüßle
Markus

#2

Hallo Markus,

Im IPFire ist mir aber aufgefallen, dass unter

Netzwerk -> WebProxy -> Gesperrte MAC-Adressen (eine pro Zeile)

die alten MAC-Adressen der ausgemusterten Computerraum-Rechner stehen
(und auch die noch aktuellen MAC-Adressen des anderen Computerraums)
nicht aber die neuen.

bitte kontrollier foplgendes:
kommt man vom Server aus per
ssh -p 222 ipfire
auf den ipfire ohne jede Nachfrage?

Dann schau auch mal was in der Datei /etc/linuxmuster/room_defaults
über den genannten Raum steht.

LG

Holger

#3

Hallo Holger!

Danke für die schnelle Antwort.
ssh -p 222 ipfire funktioniert, ebenso ist in /etc/linuxmuster/room_defaults das Internet im Raum geperrt.

Grüßle
Markus

#4

Hallo Markus!

Ich würde alle neuen Rechner einmal in der workstations (aus)kommentieren, dann import_workstation laufen lassen. Dem IPFire etwas zeit können und nachschauen ob die von dir genannten IP verschwunden sind. Dann die Kommentarzeichen aus der workstations wieder raus nehmen und import_workstation wieder laufen lassen.

Beste Grüße

Thorsten

#5

Hallo Thorsten!

Ich hab mal deinen Vorschlag durchgespielt. Leider sind die MAC-Adressen alle noch da. Ob die Computer nun immer noch ins Internet kommen, kann ich im Moment nicht testen, da ich zu Hause sitze.

Aber trotzdem Danke

Grüßle
Markus

#6

Hey!

Überprüfe mal ob da noch ein Unterricht aktiv ist. Melde dich an der SchuKo an und gehe in den Raum.

Grüße Thorsten

#7

Hallo!

Nein, kein Unterricht aktiv. Hab inzwischen auch nochmal linuxmuster.-reset drüberlaufen lassen.
Im IPFire werden die IP-Adressen der PCs aus der allowedhostes-Gruppe genommen, wenn sie nicht ins internet dürfen. Das funktioniert soweit, aber sie kommen trotzdem rein, wobei der URL-Filter funktioniert.
Komisch?!?

Grüßle

#8

Hallo Markus,

lösch mal im IPFire Webfrontend die alten MACs aus “allowed MACs”, dann
speichern und neustart des Proxy.
Danach linuxmuster-reset room
Und dann kontrollieren, ob und was wieder drin steht.

LG

Holger

#9

Hallo Markus,

linuxmuster.-reset drüberlaufen lassen.
Im IPFire werden die IP-Adressen der PCs aus der allowedhostes-Gruppe
genommen, wenn sie nicht ins internet dürfen. Das funktioniert soweit,
aber sie kommen trotzdem rein, wobei der URL-Filter funktioniert.

stehen die MAC Adressen der Rechner den dann in der “Gesperrten MAC
Adressen” lIste im Webproxy?

LG

Holger

#10

Hallo Holger!

Sollte ich den ganzen IPFire neu starten? Ich hab jetzt nur unten in der Proxy-Konfiguration auf “Speichern und Neustart” geklickt, nachdem ich alle verbotenen MACs gelöcht hab.
Nach linuxmuster-reset --all (und neu laden der IPFire-Proxy-Konfigurationsseite) steht keine MAC-Adresse in der Liste der Verbotenen.
Kann es sein, dass ich irgendwie eine Firewallregel vermurkst hab, so dass auch Rechner, die nicht zur Gruppe allowedhosts gehören, Port 800/801 aufrufen können?

Danke
Markus

#11

Hallo Markus,

auf dem IPFIRE liegen unter

/var/ipfire/backup/

Backups des IPFIRE. Du kannst einen älteren Backup zurück spielen, wenn Du meinst Du hättest die Firewallregeln zerschossen.

Achtung: Kein Backup einer älteren IPFIRE-Version in eine neue Version einspielen. Das kann den IPFIRE unbrauchbar machen.

Gruß

Alois

#12

Hallo Markus,

bitte schau mal ob im Webproxy der haken ganz oben bei Aktiv auf grün
und transparent auf grün angehakt ist.

Deine Probleme könnten nun noch durch folgendes verursacht werden:

  1. du rufst eine https Seite auf und hast eine Firewallregel, die https
    (am Proxy vorbei) erlaubt.

  2. Bei dir steht im Webproxy unter “Erlaubte Subnetze” das Subnet
    10.16.0.0/12
    Das muss da raus (und Speichern+neustart).

Siehe hier:

LG

Holger

1 Like
#13

Das war das Problem:

Sieht so aus, als ob jetzt alles geht.

DANKE und viele Grüße
Markus

#14

Hi ihr,

hab das Thema kurz überflogen. Es gibt Probleme bei Laptops, die mit ihrer Kabel-IP und WLAN-IP eingetragen sind. Wird für diese Clients das Internet gesperrt, wird immer nur eine IP-MAC Kombination aus der Hostgruppe „allowed-Hosts“ gelöscht. Und zwar die IP, die die Kleinste ist (beim Sortieren der größe nach).

x.x.y.105 -> wird gesperrt
x.x.y.205 -> bleibt frei

Die andere IP bleibt in der Liste drin und darf theoretisch weitersurfen.
Das Problem ist den Entwicklern bereits gemeldet.