Hallo,
wir spielen mit dem Gedanken von Skolelinux zu linuxmuster zu wechseln. Das geht einher mit größeren Umbaumaßnahmen in unserem Netzwerk. Unser privater Träger (bzw. des IT/Datenschutz-Beauftragte) schreiben ein Lösung für den Internetzugang/Firewall vor, die auch extern gemanaged wird. Die besteht z. Zt. aus einer Endian-Appliance und wird ggf. eine Watchguard Firebox werden (oder Endian bleiben). Ein eigenes aufgesetztes IPFire wird nicht erlaubt sein.
Für die linuxmuster Installation bedeutet das ja, dass die Internetsperren und die Webfilterung nicht möglich sind.
Gibt es die Möglichkeit Endian oder die Watchguard mit der Internetsperre von linuxmuster zusammenarbeiten zu lassen? Stammen glaube ich beide von IPFire bzw. IPcop ab? Wie ich in der helperfunctions.sh sehen kann, werden ja entsprechende Dateien per scp kopiert.
Es gibt ja auch Appliancen mit IPFire (z. B. scope7). Gibt es da eine Empfehlung oder funktionierende Praxisbeispiele.
diese Situation entspricht der in Hamburg, wo wir den Schulrouter von
Time for Kids von der Behörde gestellt bekommen.
Bei uns kam noch “strafverschärfend” hinzu, dass wir 10.0.2.0/23 für
GRUEN verwenden mussten. Hamburg-intern habe ich dokumentiert, welche
Veränderungen an linuxmuster erforderlich sind, damit es - wie du
richtig schreibst - ohne Internetsperre läuft. Bei Bedarf würde ich Dir
meinen Text per PM zusenden.
Die Sachen mit scp sind ziemlich genau zugeschnitten und mit dem
Schulrouter funktionieren weder die für ipcop noch die für ipfire und
Time for Kids würde diesen Zugriff auch nicht dulden.
Inzwischen würde man es wohl dulden, wenn der Schulrouter als
vorgelagerter Proxy vor den (virtualisierten) ipfire geschaltet würde.
Dann arbeitet linuxmuster vollständig so, wie es soll und der
Schulfilter erfüllt trotzdem seine Aufgabe. Einige bei uns machen es so
je nach Netzwerkkenntnissen mehr oder weniger zuverlässig. Der externe
Dienstleister verliert damit natürlich die Möglichkeit, bis zum Client
durchzugreifen - was ich in Sinne des Datenschutzes sogar gut finde.
Würdet Ihr diese Sperrmöglichkeit denn - so Ihr sie jetzt habt - mit
Skolelinux behalten?
Wir sollten diese mit IServ bekommen haben, das klappt bei uns jedoch
bislang nicht!
Danke für die Antwort-
Die Dokumentation zur Subnetzänderung würde mich sehr interessieren.
Bei der jetzigen skolelinux-Lösung haben wir nur squidguard zum Sperren von Internetseiten aktiv. Das ist aber nicht so flexibel wie die linuxmuster-Lösung. Der Endian arbeitet z. Zt. nur als Firewall.
Die Watchguard soll dann noch Virenscan, transparenten Proxy und Firewall machen. Wir haben eine besondere Situation mit 2 Schulen in einem Netz. Deswegen auch noch Bandbreitenbegrenzung.
Ist folgende Konfiguration möglich. Dabei wäre IPFire so “schwach” wie möglich konfiguriert und würde eigentlich nur Internetsperren behandeln.
was vor dem IPFire passiert ist unserem Netz ziemlich wurscht, solange
der IPFire ins Internet kommt …
Man kann, wenn man will, im IPFire auch gerne einen Parent Proxy
(vorgelagerten Proxy) eintragen: so mache ich das seit Jahren mit dem
Proxy von BelWü…
Mit der Version 7, die wahrscheinlich im nächsten Jahr herauskommen wird (so sie dann fertig ist), wird dieses Problematik nicht mehr vorhanden sein. Sämtliche nicht öffentlichen Netze sind dann in linuxmuster.net konfigurierbar.
Desweiteren wird es eine Umstellung auf OPNsense als Firewall geben.
Diese Info damit ihr Planungen in die richtige Richtung gehen.
genau so wie Du es unten geschrieben hast, würde ich es mit linuxmuster
machen, wenn dies bei Euch für den Betreiber der Firewall OK ist. Dann
ist nur erforderlich Eure Firewall als vorgelagerten Proxy einzutragen.
Wie Du ipfire dann konfigurierst, darin bist Du frei. Ich würde die
Absicherung des Netzwerks tatsächlich dem “professionellen” Betreiber
überlassen und den Proxy auf ipfire transparent machen sowie squidguard
ausschalten.
Nur wenn es so nicht OK sein sollte, würde ich es so machen, wie ich es
dokumentiert habe. Das meiste davon ist nur notwendig, wenn Du nicht
10.x.0.0/12 für GRUEN verwenden kannst. Meine Lösung hat jetzt auch noch
den Nachteil, dass der Betreiber BLAU für sein WLAN reklamiert hat und
mir nur übrig blieb, unsere APs in ORANGE zu verlagern. Im folgenden der
für Dich relevante Teil meiner Doku