Administratorhandbuch:SquidGuard freischalten: Unterschied zwischen den Versionen
KKeine Bearbeitungszusammenfassung |
K (Optik) |
||
| Zeile 2: | Zeile 2: | ||
{{fertig}} | {{fertig}} | ||
Ein Lehrer möchte für eine Unterrichtsreihe Quellen im Internet untersuchen, deren inhaltliche Aussage als kritisch oder sogar bedenklich einzustufen sind. Kann er damit zufrieden sein, dass SquidGuard diese Quellen in der Schule nicht anzeigt und er seinen Unterricht nicht vorbereiten kann? Wohl kaum .... | == SquidGuard freischalten == | ||
=== Ausgangssituation === | |||
Ein Lehrer möchte für eine Unterrichtsreihe Quellen im Internet untersuchen, deren inhaltliche Aussage als kritisch oder sogar bedenklich einzustufen sind. Kann er damit zufrieden sein, dass SquidGuard diese Quellen in der Schule nicht anzeigt und er seinen Unterricht nicht vorbereiten kann? Wohl kaum .... | |||
oder ein weiterer Fall .... | oder ein weiterer Fall .... | ||
| Zeile 12: | Zeile 15: | ||
Es könnte also der Bedarf in der Schule aufkommen, dass im Lehrerzimmer oder auf dem Computer des Administrators alle verfügbaren Internetinhalte abrufbar sind. Die Filterung von bedenklichen Inhalten ist ein unabdingbarer Auftrag an schulische Lernumgebungen, die Kenntnis der bedenklichen Veröffentlichungen ist dabei allerdings die andere Seite des pädagogischen Auftrags. | Es könnte also der Bedarf in der Schule aufkommen, dass im Lehrerzimmer oder auf dem Computer des Administrators alle verfügbaren Internetinhalte abrufbar sind. Die Filterung von bedenklichen Inhalten ist ein unabdingbarer Auftrag an schulische Lernumgebungen, die Kenntnis der bedenklichen Veröffentlichungen ist dabei allerdings die andere Seite des pädagogischen Auftrags. | ||
== Veränderungen an SquidGuard == | === Veränderungen an SquidGuard === | ||
Im Auslieferungszustand filtert der Schulserver Arktur mit der Software SquidGuard in sehr vollständiger Weise pornografische und gewaltverherrlichende Inhalte heraus. Im schulischen Netzwerk sind damit diese Inhalte nicht verfügbar. Um sie trotzdem am Lehrerzimmerrechner anzeigen zu können, muss die Einstellungsdatei des Filters geringfügig geändert werden. Zur Bearbeitung wird die Datei /etc/squid/squidGuard.conf geöffnet. Gegenüber dem Auslieferungszustand werden die <span style="color:#FF0000">rot eingefärbten Änderungen</span> notwendig. | Im Auslieferungszustand filtert der Schulserver Arktur mit der Software SquidGuard in sehr vollständiger Weise pornografische und gewaltverherrlichende Inhalte heraus. Im schulischen Netzwerk sind damit diese Inhalte nicht verfügbar. Um sie trotzdem am Lehrerzimmerrechner anzeigen zu können, muss die Einstellungsdatei des Filters geringfügig geändert werden. Zur Bearbeitung wird die Datei /etc/squid/squidGuard.conf geöffnet. Gegenüber dem Auslieferungszustand werden die <span style="color:#FF0000">rot eingefärbten Änderungen</span> notwendig. | ||
==== Freigabe anhand der IP-Adresse ==== | ==== Freigabe anhand der IP-Adresse ==== | ||
Um mit dem Rechner 192.168.0.10 trotzdem auf alle gesperrten Seiten kommen zu können, fügen Sie im Abschnitt src admin die freizugebende IP-Adresse ein. Alle anderen Rechner aus dem Netz 192.168.0.x werden weiter für Schmuddel gesperrt. | |||
<pre> | |||
logdir /var/log/proxy | logdir /var/log/proxy | ||
dbhome /var/lib/squidGuard/db | dbhome /var/lib/squidGuard/db | ||
| Zeile 24: | Zeile 29: | ||
# | # | ||
# Source Classes | # Source Classes | ||
# | # | ||
# Diese IP-Adressen werden nicht durch SquidGuard geblockt | # Diese IP-Adressen werden nicht durch SquidGuard geblockt | ||
| Zeile 38: | Zeile 43: | ||
ip 10.0.0.0/8 | ip 10.0.0.0/8 | ||
} | } | ||
</pre> | |||
Sollen mehrere Rechner freigegeben werden, so sieht der entsprechende Eintrag folgendermaßen aus | Sollen mehrere Rechner freigegeben werden, so sieht der entsprechende Eintrag folgendermaßen aus | ||
<pre> | |||
# Diese IP-Adressen werden nicht durch SquidGuard geblockt | # Diese IP-Adressen werden nicht durch SquidGuard geblockt | ||
src admin { | src admin { | ||
| Zeile 49: | Zeile 57: | ||
<span style="color:#FF0000">ip 192.168.1.240</span> | <span style="color:#FF0000">ip 192.168.1.240</span> | ||
} | } | ||
</pre> | |||
Folgende Freigaben gehen leider nicht!! Es wäre schön, wenn man zusätzlich zur IP-Adresse auch den Rechnernamen über DHCP vergibt, dann auch die Freigabe über die Rechnernamen zu regeln. Dies ist aber offensichtlich in SquidGuard nicht vorgesehen. | Folgende Freigaben gehen leider nicht!! Es wäre schön, wenn man zusätzlich zur IP-Adresse auch den Rechnernamen über DHCP vergibt, dann auch die Freigabe über die Rechnernamen zu regeln. Dies ist aber offensichtlich in SquidGuard nicht vorgesehen. | ||
<pre> | |||
# Diese IP-Adressen werden nicht durch SquidGuard geblockt | # Diese IP-Adressen werden nicht durch SquidGuard geblockt | ||
src admin { | src admin { | ||
| Zeile 59: | Zeile 69: | ||
<del style="color:#FF0000">physik.intern.xy</del> | <del style="color:#FF0000">physik.intern.xy</del> | ||
} | } | ||
</pre> | |||
==== Freigabe anhand des Benutzernamens ==== | ==== Freigabe anhand des Benutzernamens ==== | ||
Wenn Sie die Authentifizierung [[Administratorhandbuch:Squid-Anmeldung]] eingestellt haben, dann geht auch die Freischaltung von Nutzern, so wie sie in der ursprünglichen Konfiguration bereits angedeutet ist. | Wenn Sie die Authentifizierung [[Administratorhandbuch:Squid-Anmeldung]] eingestellt haben, dann geht auch die Freischaltung von Nutzern, so wie sie in der ursprünglichen Konfiguration bereits angedeutet ist. | ||
<pre> | |||
# Dieser Rechner wird nicht durch SquidGuard geblockt | # Dieser Rechner wird nicht durch SquidGuard geblockt | ||
src admin { | src admin { | ||
user root adm <span style="color:#FF0000">chef direktor</span> | user root adm <span style="color:#FF0000">chef direktor</span> | ||
} | } | ||
</pre> | |||
==== Hinweis ==== | ==== Hinweis ==== | ||
Nach dem Speichern müssen unbedingt alle Änderungen auch in der Datei <code>/etc/squid/squidGuard.conf.in</code> vorgenommen werden, da die Datei <code>/etc/squid/squidGuard.conf</code> nach einem Eintrag in die Schmuddelliste oder in die Whitelist und der abschließenden Aktivierung durch den Inhalt der Datei <code>squidGuard.conf.in</code> ersetzt wird. Würde man den Eintrag in <code>squidGuard.conf.in</code> unterlassen, wären alle Änderungen in <code>squidGuard.conf</code> nach der Aktivierung verschwunden .... und das soll ja nicht sein. | Nach dem Speichern müssen unbedingt alle Änderungen auch in der Datei <code>/etc/squid/squidGuard.conf.in</code> vorgenommen werden, da die Datei <code>/etc/squid/squidGuard.conf</code> nach einem Eintrag in die Schmuddelliste oder in die Whitelist und der abschließenden Aktivierung durch den Inhalt der Datei <code>squidGuard.conf.in</code> ersetzt wird. Würde man den Eintrag in <code>squidGuard.conf.in</code> unterlassen, wären alle Änderungen in <code>squidGuard.conf</code> nach der Aktivierung verschwunden .... und das soll ja nicht sein. | ||
== Warnung == | === Warnung === | ||
Mit der folgenden Beschreibung rate ich dringend zur ausschließlichen Freigabe über die konkrete Auflistung der jeweils freizugebenden Rechner. | Mit der folgenden Beschreibung rate ich dringend zur ausschließlichen Freigabe über die konkrete Auflistung der jeweils freizugebenden Rechner. | ||
Problematisch wird es nämlich, wenn man anstatt der oben angegebenen Schreibweise hinter dem Schrägstrich falsche Zahlen einträgt, z.B. /24 wie es mir von verschiedenen Seiten vorgeschlagen wurde .... | Problematisch wird es nämlich, wenn man anstatt der oben angegebenen Schreibweise hinter dem Schrägstrich falsche Zahlen einträgt, z.B. /24 wie es mir von verschiedenen Seiten vorgeschlagen wurde .... | ||
<pre> | |||
# Diese IP-Adressen werden nicht durch SquidGuard geblockt | # Diese IP-Adressen werden nicht durch SquidGuard geblockt | ||
src admin { | src admin { | ||
ip 192.168.0.10/24 | ip 192.168.0.10/24 | ||
} | } | ||
</pre> | |||
.... dann sieht es nämlich ziemlich anders aus als das, was man eigentlich wollte. Der Rechner 192.168.0.10 kommt tatsächlich auf alle Seiten, die Rechner mit einer anderen beliebigen IP aus dem gesamten Netzbereich 192.168.0.x aber auch .... und das war sicherlich nicht beabsichtigt!! Meine Tests scheinen zu beweisen, dass SquidGuard keinen Schmuddel für die Adressen der Form 192.168.0.x mit x=1..254 blocken wird, wenn man für "ip 192.168.0.10/24" alles erlaubt. Damit hat unter Umständen das gesamte Schulnetzwerk auf alle Schmuddelseiten!!! Ich glaube, dass es keine Beruhigung ist, dass wenigstens keiner der Rechner mit 192.168.1.x oder 192.168.2.x den Schmuddel sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält, also nur alle Rechner mit 192.168.0.x durchlässt. | .... dann sieht es nämlich ziemlich anders aus als das, was man eigentlich wollte. Der Rechner 192.168.0.10 kommt tatsächlich auf alle Seiten, die Rechner mit einer anderen beliebigen IP aus dem gesamten Netzbereich 192.168.0.x aber auch .... und das war sicherlich nicht beabsichtigt!! Meine Tests scheinen zu beweisen, dass SquidGuard keinen Schmuddel für die Adressen der Form 192.168.0.x mit x=1..254 blocken wird, wenn man für "ip 192.168.0.10/24" alles erlaubt. Damit hat unter Umständen das gesamte Schulnetzwerk auf alle Schmuddelseiten!!! Ich glaube, dass es keine Beruhigung ist, dass wenigstens keiner der Rechner mit 192.168.1.x oder 192.168.2.x den Schmuddel sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält, also nur alle Rechner mit 192.168.0.x durchlässt. | ||
<pre> | |||
ip 192.168.0.10 Freigabe für nur 192.168.0.10 | ip 192.168.0.10 Freigabe für nur 192.168.0.10 | ||
ip 192.168.0.10/32 Freigabe für nur 192.168.0.10 | ip 192.168.0.10/32 Freigabe für nur 192.168.0.10 | ||
ip 192.168.0.10/24 Freigabe für 192.168.0.x mit x=1..254 | ip 192.168.0.10/24 Freigabe für 192.168.0.x mit x=1..254 | ||
ip 192.168.0.10/16 Freigabe für 192.168.x.y mit x=0..255 und y=1..254 | ip 192.168.0.10/16 Freigabe für 192.168.x.y mit x=0..255 und y=1..254 | ||
</pre> | |||
== Bereiche freigeben == | === Bereiche freigeben === | ||
In der hier folgenden Auflistung finden sich weitere Zahlenangaben, mit denen man bei richtigem Einsatz freigegebene Subnetze definieren kann. Fängt man dies an, sollte man aber unbedingt wissen, was man tut, und niemals den Überblick verlieren. Ich hoffe, ich habe mich nicht verrechnet .... ausprobiert habe ich das hier nämlich nicht mehr. | In der hier folgenden Auflistung finden sich weitere Zahlenangaben, mit denen man bei richtigem Einsatz freigegebene Subnetze definieren kann. Fängt man dies an, sollte man aber unbedingt wissen, was man tut, und niemals den Überblick verlieren. Ich hoffe, ich habe mich nicht verrechnet .... ausprobiert habe ich das hier nämlich nicht mehr. | ||
<pre> | |||
ip 192.168.0.0/30 Freigabe für 192.168.0.x mit x=0..3 | ip 192.168.0.0/30 Freigabe für 192.168.0.x mit x=0..3 | ||
ip 192.168.0.4/30 Freigabe für 192.168.0.x mit x=4..7 | ip 192.168.0.4/30 Freigabe für 192.168.0.x mit x=4..7 | ||
| Zeile 106: | Zeile 130: | ||
ip 192.168.0.0/27 Freigabe für 192.168.0.x mit x=0..31 | ip 192.168.0.0/27 Freigabe für 192.168.0.x mit x=0..31 | ||
</pre> | |||
---- | ---- | ||
<div align="right">[[Administratorhandbuch|zurück]] | [[Hauptseite]]</div> | <div align="right">[[Administratorhandbuch|zurück]] | [[Hauptseite]]</div> | ||
Version vom 6. Januar 2006, 19:51 Uhr
|
Seite fertig: Sollten Sie Änderungsvorschläge oder Ergänzungen zu diesem Punkt haben, dann nutzen Sie bitte den Punkt Diskussion (oben). |
SquidGuard freischalten
Ausgangssituation
Ein Lehrer möchte für eine Unterrichtsreihe Quellen im Internet untersuchen, deren inhaltliche Aussage als kritisch oder sogar bedenklich einzustufen sind. Kann er damit zufrieden sein, dass SquidGuard diese Quellen in der Schule nicht anzeigt und er seinen Unterricht nicht vorbereiten kann? Wohl kaum ....
oder ein weiterer Fall ....
Der Administrator des Netzwerkes hat die Logdatei /var/log/proxy/blocked.log angeschaut und möchte nachvollziehen, was da geblockt wurde. Eventuell ist ja mit dem Benutzer ein pädagogisches Gespräch zu führen, aber dafür muss sich eben der Administrator vorher informieren, worüber er das Gespräch führen muss.
Es könnte also der Bedarf in der Schule aufkommen, dass im Lehrerzimmer oder auf dem Computer des Administrators alle verfügbaren Internetinhalte abrufbar sind. Die Filterung von bedenklichen Inhalten ist ein unabdingbarer Auftrag an schulische Lernumgebungen, die Kenntnis der bedenklichen Veröffentlichungen ist dabei allerdings die andere Seite des pädagogischen Auftrags.
Veränderungen an SquidGuard
Im Auslieferungszustand filtert der Schulserver Arktur mit der Software SquidGuard in sehr vollständiger Weise pornografische und gewaltverherrlichende Inhalte heraus. Im schulischen Netzwerk sind damit diese Inhalte nicht verfügbar. Um sie trotzdem am Lehrerzimmerrechner anzeigen zu können, muss die Einstellungsdatei des Filters geringfügig geändert werden. Zur Bearbeitung wird die Datei /etc/squid/squidGuard.conf geöffnet. Gegenüber dem Auslieferungszustand werden die rot eingefärbten Änderungen notwendig.
Freigabe anhand der IP-Adresse
Um mit dem Rechner 192.168.0.10 trotzdem auf alle gesperrten Seiten kommen zu können, fügen Sie im Abschnitt src admin die freizugebende IP-Adresse ein. Alle anderen Rechner aus dem Netz 192.168.0.x werden weiter für Schmuddel gesperrt.
logdir /var/log/proxy
dbhome /var/lib/squidGuard/db
#
# Source Classes
#
# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
<del>user root admin</del>
<span style="color:#FF0000">ip 192.168.0.10</span>
}
# Die ganz "normalen" Rechner der Schule
src schule {
ip 192.168.0.0/16
ip 172.16.0.0/12
ip 10.0.0.0/8
}
Sollen mehrere Rechner freigegeben werden, so sieht der entsprechende Eintrag folgendermaßen aus
# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
<del>user root admin</del>
<span style="color:#FF0000">ip 192.168.0.10</span>
<span style="color:#FF0000">ip 192.168.0.11</span>
<span style="color:#FF0000">ip 192.168.0.12</span>
<span style="color:#FF0000">ip 192.168.1.240</span>
}
Folgende Freigaben gehen leider nicht!! Es wäre schön, wenn man zusätzlich zur IP-Adresse auch den Rechnernamen über DHCP vergibt, dann auch die Freigabe über die Rechnernamen zu regeln. Dies ist aber offensichtlich in SquidGuard nicht vorgesehen.
# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
<del>user root admin</del>
<del style="color:#FF0000">lehrerzimmer.intern.xy</del>
<del style="color:#FF0000">schulleiter.intern.xy</del>
<del style="color:#FF0000">physik.intern.xy</del>
}
Freigabe anhand des Benutzernamens
Wenn Sie die Authentifizierung Administratorhandbuch:Squid-Anmeldung eingestellt haben, dann geht auch die Freischaltung von Nutzern, so wie sie in der ursprünglichen Konfiguration bereits angedeutet ist.
# Dieser Rechner wird nicht durch SquidGuard geblockt
src admin {
user root adm <span style="color:#FF0000">chef direktor</span>
}
Hinweis
Nach dem Speichern müssen unbedingt alle Änderungen auch in der Datei /etc/squid/squidGuard.conf.in vorgenommen werden, da die Datei /etc/squid/squidGuard.conf nach einem Eintrag in die Schmuddelliste oder in die Whitelist und der abschließenden Aktivierung durch den Inhalt der Datei squidGuard.conf.in ersetzt wird. Würde man den Eintrag in squidGuard.conf.in unterlassen, wären alle Änderungen in squidGuard.conf nach der Aktivierung verschwunden .... und das soll ja nicht sein.
Warnung
Mit der folgenden Beschreibung rate ich dringend zur ausschließlichen Freigabe über die konkrete Auflistung der jeweils freizugebenden Rechner. Problematisch wird es nämlich, wenn man anstatt der oben angegebenen Schreibweise hinter dem Schrägstrich falsche Zahlen einträgt, z.B. /24 wie es mir von verschiedenen Seiten vorgeschlagen wurde ....
# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
ip 192.168.0.10/24
}
.... dann sieht es nämlich ziemlich anders aus als das, was man eigentlich wollte. Der Rechner 192.168.0.10 kommt tatsächlich auf alle Seiten, die Rechner mit einer anderen beliebigen IP aus dem gesamten Netzbereich 192.168.0.x aber auch .... und das war sicherlich nicht beabsichtigt!! Meine Tests scheinen zu beweisen, dass SquidGuard keinen Schmuddel für die Adressen der Form 192.168.0.x mit x=1..254 blocken wird, wenn man für "ip 192.168.0.10/24" alles erlaubt. Damit hat unter Umständen das gesamte Schulnetzwerk auf alle Schmuddelseiten!!! Ich glaube, dass es keine Beruhigung ist, dass wenigstens keiner der Rechner mit 192.168.1.x oder 192.168.2.x den Schmuddel sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält, also nur alle Rechner mit 192.168.0.x durchlässt.
ip 192.168.0.10 Freigabe für nur 192.168.0.10 ip 192.168.0.10/32 Freigabe für nur 192.168.0.10 ip 192.168.0.10/24 Freigabe für 192.168.0.x mit x=1..254 ip 192.168.0.10/16 Freigabe für 192.168.x.y mit x=0..255 und y=1..254
Bereiche freigeben
In der hier folgenden Auflistung finden sich weitere Zahlenangaben, mit denen man bei richtigem Einsatz freigegebene Subnetze definieren kann. Fängt man dies an, sollte man aber unbedingt wissen, was man tut, und niemals den Überblick verlieren. Ich hoffe, ich habe mich nicht verrechnet .... ausprobiert habe ich das hier nämlich nicht mehr.
ip 192.168.0.0/30 Freigabe für 192.168.0.x mit x=0..3 ip 192.168.0.4/30 Freigabe für 192.168.0.x mit x=4..7 ip 192.168.0.8/30 Freigabe für 192.168.0.x mit x=8..11 ip 192.168.0.12/30 Freigabe für 192.168.0.x mit x=12..15 ip 192.168.0.0/29 Freigabe für 192.168.0.x mit x=0..8 ip 192.168.0.8/29 Freigabe für 192.168.0.x mit x=8..15 ip 192.168.0.16/29 Freigabe für 192.168.0.x mit x=16..23 ip 192.168.0.24/29 Freigabe für 192.168.0.x mit x=24..31 ip 192.168.0.0/28 Freigabe für 192.168.0.x mit x=0..15 ip 192.168.0.16/28 Freigabe für 192.168.0.x mit x=16..31 ip 192.168.0.0/27 Freigabe für 192.168.0.x mit x=0..31