• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Squid in der Schule

flo84

Newbie
Hallo Linux-Gemeinde,
es ist eigentlich weniger eine Squid-Frage - nun ja, es hat mit Squid zu tun, will aber eure Idee zu folgendem Szenario wissen: angenommen ich betreue eine Schule. 6 Klassenzimmer sind mit PC's ausgestattet und sollen auch - wenn möglich über einen Server - ins Internet kommen. Für die Anmeldung der Clients an der Domäne ist Samba zuständig. Idealerweiße sorgt Squid u. A. dafür, dass keine Filme, Musik etc. heruntergeladen und auch keine Schmuddel-Seiten besucht werden können. Untereinander sollen die Klasse NICHT kommunizieren können (anderer IP-Adresskreis). Wie löst man soetwas am elegantesten?

Meine idee war bisher folgende: Klasse 1 hat IP-Adressen im Bereich 192.168.1.2-192.168.1.254, Klasse 2 192.168.2.2-192.168.2.254 usw. Damit wäre das Problem "untereinander mit anderen Klassen Daten austauschen" behoben. Am Linux-Rechner will ich aber jetzt keine 6 bzw. 7 Netzwerkkarten einbauen (gibt's [noch] Boards, wo das überhaupt möglich wäre). Ich wäre hergegangen und hätte "virtuelle Netzwerkkarten" eingerichtet:

Code:
ifconfig eth0:1 192.168.1.2 netmask 255.255.255.0
ifconfig eth0:2 192.168.2.2 netmask 255.255.255.0

(spricht man hier von "virtuellen Netzwerkkarten"? So der Freak bin ich noch nicht ;) ). Am Linux-Rechner installiere ich dann Squid und Samba, richte das nach meinen Wünschen ein und konfiguriere den Firefox auf der Client-Seite dann so, dass über den Proxy ins Netz gegangen wird. Was mich ein kleines bischen störrt: ich kann kein DHCP einsetzen, müsste den Client statische IPs zuweisen. Auch weiß ich nicht, ob das so mit Samba funktionieren würde (1 Domäne, mehrere IP-Adresskreise...).
Meine Frage eben: ist das eine "schöne" Lösung bzw. funktioniert die so oder hat hier jemand schon Erfahrung, wie man mein Vorhaben realisieren kann/soll?
Vielen Dank schon mal für eure Antworten!

Flo
 
Hallo Linux-Gemeinde,
es ist eigentlich weniger eine Squid-Frage - nun ja, es hat mit Squid zu tun, will aber eure Idee zu folgendem Szenario wissen: angenommen ich betreue eine Schule. 6 Klassenzimmer sind mit PC's ausgestattet und sollen auch - wenn möglich über einen Server - ins Internet kommen. Für die Anmeldung der Clients an der Domäne ist Samba zuständig. Idealerweiße sorgt Squid u. A. dafür, dass keine Filme, Musik etc. heruntergeladen und auch keine Schmuddel-Seiten besucht werden können. Untereinander sollen die Klasse NICHT kommunizieren können (anderer IP-Adresskreis). Wie löst man soetwas am elegantesten?
Mit einem korrekten Router. Das kann man entweder mit teuren Routerkisten oder einer Linuxbox mit vielen Interfaces realisieren. Aber auch Zwischenlösungen wie VLAN-Switches sind eine Überlegung wert. Entsprechend richtest du dann dein FORWARD-Chain in iptables ein. Bei Squid brauchst du eigentlich nichts tun, da (hoffentlich) nicht anzunehmen ist, dass auf den Windows-Clients auch Webserver laufen.
Meine idee war bisher folgende: Klasse 1 hat IP-Adressen im Bereich 192.168.1.2-192.168.1.254, Klasse 2 192.168.2.2-192.168.2.254 usw. Damit wäre das Problem "untereinander mit anderen Klassen Daten austauschen" behoben.
Wie, behoben?
Am Linux-Rechner will ich aber jetzt keine 6 bzw. 7 Netzwerkkarten einbauen (gibt's [noch] Boards, wo das überhaupt möglich wäre)
Ja, Boards gibts noch... aber Auslaufmodell: frontal top
Sonst musst du zusehen, mit Dualport-Karten und den Onboard-Ports auszukommen (TYAN Mainboards haben bis zu 3 onboard) -- oder du holst dir als Server z.B. SUN T1000/T2000, die haben 4 onboard und man kann auch noch weiter mit Karten nachrüsten.
Ich wäre hergegangen und hätte "virtuelle Netzwerkkarten" eingerichtet:
Code:
ifconfig eth0:1 192.168.1.2 netmask 255.255.255.0
ifconfig eth0:2 192.168.2.2 netmask 255.255.255.0
Da kannst du auch gleich ein Subnetz draus machen...
ich kann kein DHCP einsetzen
Wieso nicht?
oder hat hier jemand schon Erfahrung, wie man mein Vorhaben realisieren kann/soll?
Ein Interface für's interne Netz ist ausreichend (vorausgesetzt es hat genug Power)
 

ts-soft

Newbie
Ich weiß nicht, ob die Idee für Dich brauchbar ist, aber ich würde es über VMware Server
(kostenlos), lösen. Setzt voraus das die Schulrechner halbwegs zeitgemäß ausgestattet
sind.
Das Problem mit dem Netzwerk sollte dort Recht einfach zu lösen sein und durch die
Möglichkeit Schnappschüsse der VMs zu erstellen, kann man die Schulrechner auch
jederzeit auf einen bestimmten Punkt zurücksetzen.

Bei mir (openSUSE 10.2 RC1) läuft selbst WinXP als VM sehr flüssig (512 MB RAM, 2,4 GHz Athlon)

Gruß
Thomas
 
Aber wie wir wissen, ist GL in VMware nicht so der Renner. Und leider wird GL ziemlich häufig verwendet, zumindest wenn es zum Thema Visualisierung z.B. in Mathematik geht. 'Wir' (ich bin ja nun schon längst fertig mit Schule ;-) ) verwendeten das Ghost-Kram von Norton, über einen Wechsel zu dd ist noch keiner gekommen.
 
OP
F

flo84

Newbie
Oi, die Antworten kam schnell ;) Danke. Zu jengelh: dann wäre quasi eine Lösung wie auf meiner damaligen Schule ideal. Da stand ein alter Rechner mit SuSE Linux und 2 NICs in jedem Klassenzimmer und die Kisten waren mit einem DSL-Router im Admin-Zimmer verbunden.
Meine einzige Sorge: wie löse ich das mit der Samba-Domänenanmeldung? Jeder Schüler soll sich zunächst ja mal hier anmelden! Gibt's da eine Idee?

Zu Thomas: VMWare is cool, aber ich finde mehr für's Testen von Softwaredingen geeignet. Und ehrlich gesagt: ich weiß nicht genau, was du meinst :D Ist aufm Server VMWare installiert oder auf den Clients - oder auf beiden?

Nachtrag: weil wir ja hier im Squid-Forum sind, hab ich hierzu gleich noch eine Frage zum Thema Ports sperren. Wie das in der squid.conf geht, weiß ich. Ist das aber auch über den squidGuard (squidGuard.conf) möglich?
 

ts-soft

Newbie
flo84 schrieb:
Zu Thomas: VMWare is cool, aber ich finde mehr für's Testen von Softwaredingen geeignet. Und ehrlich gesagt: ich weiß nicht genau, was du meinst :D Ist aufm Server VMWare installiert oder auf den Clients - oder auf beiden?

Wenn auf den Schulrechnern VMware Player läuft, sollte es doch genügen. Lediglich auf
dem Server VMware Server installieren. Die Schulrechner werden beispielsweise
Host-Only konfiguriert und der Server für NAT

Die Schulklasse sieht nur sich, der Server sieht alles und kann auch das Inet zur
Verfügung stellen.

Was da so alles mit VMware möglich ist, weiß ich selbst nicht so genau, mir fehlen die
Schulklassen im Netzwerk :wink:

Gruß
Thomas
 
Oben