Administratorhandbuch:SquidGuard freischalten: Unterschied zwischen den Versionen

Aus Delixs
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Zeile 56: Zeile 56:
         <span style="color:#FF0000">physik.intern.xy</span>
         <span style="color:#FF0000">physik.intern.xy</span>
  }
  }


=== Anmerkung ===
=== Anmerkung ===
Mit der 32 in der Eingabe "ip 192.168.0.10/32" ist ebenfalls alles okay. Es
Mit der /32 in der Eingabe "ip 192.168.0.10/32" ist ebenfalls alles okay. Es scheint egal zu sein, ob ich "ip 192.168.0.10" oder "ip 192.168.0.10/32" zur Bezeichnung einer Rechner-IP verwende, wenn ich genau diesen einen Computer meine.
scheint egal zu sein, ob ich "ip 192.168.0.10" oder "ip 192.168.0.10/32" zur
Bezeichnung einer Rechner-IP verwende, wenn ich genau diesen einen Computer meine.


  # Diese IP-Adressen werden nicht durch SquidGuard geblockt
  # Diese IP-Adressen werden nicht durch SquidGuard geblockt
Zeile 69: Zeile 68:


=== Warnung ===
=== Warnung ===
 
Problematisch wird es, wenn man anstatt der oben angegebenen Schreibweise hinter dem Schrägstrich falsche Zahlen einträgt, z.B. /24 wie es mir von verschiedenen Seiten vorgeschlagen wurde ....
Problematisch wird es, wenn ich stattdessen wie von verschiedenen Seiten vorgeschlagen eingebe


  # Diese IP-Adressen werden nicht durch SquidGuard geblockt
  # Diese IP-Adressen werden nicht durch SquidGuard geblockt
Zeile 77: Zeile 75:
  }
  }


.... dann sieht es ziemlich anders aus. Der Rechner 192.168.0.10
.... dann sieht es nämlich ziemlich anders aus. Der Rechner 192.168.0.10 kommt tatsächlich auf alle Seiten, die Rechner mit einer anderen beliebigen IP aus dem gesamten Netzbereich 192.168.0.x aber auch .... und das war sicherlich nicht beabsichtigt!! Meine Tests scheinen zu beweisen, dass SquidGuard keinen Schmuddel in einem Netz mit Adressen der Form 192.168.0.x blocken wird, wenn man für "ip 192.168.0.10/24" alles erlaubt.
kommt weiterhin auf alle Seiten, die Rechner mit einer anderen beliebigen IP
 
192.168.0.x aber auch.
Ich vermute mal, dass Rechner mit 192.168.1.x oder 192.168.2.x dem Schmuddel nicht sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält, also nur alle Rechner mit 192.168.0.x durchlässt.


So war das sicher nicht gedacht!! Meine Tests scheinen zu beweisen, dass SquidGuard
ip 192.168.0.10          Freigabe für nur 192.168.0.10
keinen Schmuddel in einem Netz mit Adressen der Form 192.168.0.x blocken
ip 192.168.0.10/32        Freigabe für nur 192.168.0.10
wird, wenn man für "ip 192.168.0.10/24" alles erlaubt.
ip 192.168.0.10/24        Freigabe für 192.168.0.x mit x=1..254
ip 192.168.0.10/16        Freigabe für 192.168.x.y mit x=0..255 und y=1..254


Ich vermute mal, dass Rechner mit 192.168.1.x oder 192.168.2.x dem Schmuddel
In der hier folgenden Auflistung finden sich weitere Zahlenangaben, mit denen man bei richtigem Einsatz Subnetze freigeben kann. Fängt man dies an, sollte man unbedingt genau wissen, was man tut.
nicht sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält,
also nur alle Rechner mit 192.168.0.x durchlässt.


Mein Server besitzt eine Netzwerkkarte mit der Adresse 192.168.0.1 und eine
ip 192.168.0.0/30        Freigabe für 192.168.0.x mit x=1..2        Subnetzadresse 192.168.0.0      Broadcastadresse 192.168.0.3
zweite Netzwerkkarte für DSL. Ich wollte die Adresse der tatsächlich
ip 192.168.0.4/30        Freigabe für 192.168.0.x mit x=5..6        Subnetzadresse 192.168.0.4      Broadcastadresse 192.168.0.7
vorhandenen Karte nicht ändern, aber auch keine dritte Karte einbauen.
ip 192.168.0.8/30        Freigabe für 192.168.0.x mit x=9..10      Subnetzadresse 192.168.0.8      Broadcastadresse 192.168.0.11
Stattdessen habe ich in meinen Tests zusätzlich die folgenden
ip 192.168.0.12/30        Freigabe für 192.168.0.x mit x=13..14      Subnetzadresse 192.168.0.12      Broadcastadresse 192.168.0.15
Admin-Freigaben ausprobiert. Mein Testrechner hat die Adresse 192.168.0.10
ip 192.168.0.0/29        Freigabe für 192.168.0.x mit x=1..6        Subnetzadresse 192.168.0.0      Broadcastadresse 192.168.0.7
ip 192.168.0.8/29        Freigabe für 192.168.0.x mit x=9..14      Subnetzadresse 192.168.0.8      Broadcastadresse 192.168.0.15
ip 192.168.0.16/29        Freigabe für 192.168.0.x mit x=17..22      Subnetzadresse 192.168.0.16      Broadcastadresse 192.168.0.23
ip 192.168.0.24/29        Freigabe für 192.168.0.x mit x=25..30      Subnetzadresse 192.168.0.24      Broadcastadresse 192.168.0.31


  ip 192.168.1.10          kein Zugriff auf Schmuddel
  ip 192.168.0.0/28        Freigabe für 192.168.0.x mit x=1..14      Subnetzadresse 192.168.0.0      Broadcastadresse 192.168.0.15
  ip 192.168.1.10/24        kein Zugriff auf Schmuddel
  ip 192.168.0.16/28      Freigabe für 192.168.0.x mit x=17..30      Subnetzadresse 192.168.0.16      Broadcastadresse 192.168.0.31
ip 192.168.1.10/32        kein Zugriff auf Schmuddel
   
   
  ip 192.168.1.10/16        Achtung: ungehinderter Zugriff auf Schmuddel
  ip 192.168.0.0/27        Freigabe für 192.168.0.x mit x=1..30      Subnetzadresse 192.168.0.0      Broadcastadresse 192.168.0.31


Dies scheint meine obige Behauptung zu untermauern, weil mit der 16er Maske
Nach dieser Beschreibung rate ich dringend zu der Freigabe ausschließlich über die konkrete Auflistung der freizugebenden Rechner.
nur die ersten zwei Bytes fest sind und die nachfolgenden Werte egal sind.

Version vom 25. Mai 2005, 17:17 Uhr

Ausgangssituation

Ein Lehrer möchte für eine Unterrichtsreihe Quellen im Internet untersuchen, deren inhaltliche Aussage als kritisch oder sogar bedenklich einzustufen sind. Kann er damit zufrieden sein, dass SquidGuard diese Quellen in der Schule nicht anzeigt und er seinen Unterricht nicht vorbereiten kann? Wohl kaum ....

oder ein weiterer Fall ....

Der Administrator des Netzwerkes hat die Logdatei /var/log/proxy/blocked.log angeschaut und möchte nachvollziehen, was da geblockt wurde. Eventuell ist ja mit dem Benutzer ein pädagogisches Gespräch zu führen, aber dafür muss sich eben der Administrator vorher informieren, worüber er das gespräch führen muss.

Es könnte also der Bedarf in der Schule aufkommen, dass im Lehrerzimmer oder auf dem Computer des Administrators alle verfügbaren Internetinhalte abrufbar sind. Die Filterung von bedenklichen Inhalten ist ein unabdingbarer Auftrag an schulische Lernumgebungen, die Kenntnis der bedenklichen Veröffentlichungen ist dabei allerdings die andere Seite des pädagogischen Auftrags.


Veränderungen an SquidGuard

Im Auslieferungszustand filtert der Schulserver Arktur mit der Software SquidGuard in sehr vollständiger Weise pornografische und gewaltverherrlichende Inhalte heraus. Im schulischen Netzwerk sind damit diese Inhalte nicht verfügbar. Um sie trotzdem am Lehrerzimmerrechner anzeigen zu können, muss die Einstellungsdatei des Filters geringfügig geändert werden. Zur Bearbeitung wird die Datei /etc/squid/squidGuard.conf geöffnet. Gegenüber dem Auslieferungszustand werden die rot eingefärbten Änderungen notwendig.

logdir /var/log/proxy
dbhome /var/lib/squidGuard/db

#
# Source Classes
# 

# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
        user root admin
        ip 192.168.0.10
}

# Die ganz "normalen" Rechner der Schule
src schule {
        ip 192.168.0.0/16
        ip 172.16.0.0/12
        ip 10.0.0.0/8
}


Wenn ich obiges Statement eintrage, komme ich mit dem Rechner 192.168.0.10 tatsächlich auf alle vorher gesperrten Seiten. Alle anderen Rechner aus dem Netz 192.168.0.x werden weiter für Schmuddel gesperrt. Dies ist also bereits als Erfolg zu verbuchen.

Sollen mehrere Rechner freigegeben werden, so sieht der entsprechende Eintrag folgendermaßen aus

# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
        user root admin
        ip 192.168.0.10
        ip 192.168.0.11
        ip 192.168.0.11
        ip 192.168.1.240
}

Erhalten die Computer über DHCP zusätzlich zur IP-Adresse auch einen Rechnernamen zugewiesen, dann kann man sogar die Freigaben in folgender Weise formulieren. Anhand der Rechnernamen kann man die Freigaben besser zuordnen als über die IP-Adresse.

# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
        user root admin
        lehrerzimmer.intern.xy
        schulleiter.intern.xy
        physik.intern.xy
}


Anmerkung

Mit der /32 in der Eingabe "ip 192.168.0.10/32" ist ebenfalls alles okay. Es scheint egal zu sein, ob ich "ip 192.168.0.10" oder "ip 192.168.0.10/32" zur Bezeichnung einer Rechner-IP verwende, wenn ich genau diesen einen Computer meine.

# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
        ip 192.168.0.10/32
}


Warnung

Problematisch wird es, wenn man anstatt der oben angegebenen Schreibweise hinter dem Schrägstrich falsche Zahlen einträgt, z.B. /24 wie es mir von verschiedenen Seiten vorgeschlagen wurde ....

# Diese IP-Adressen werden nicht durch SquidGuard geblockt
src admin {
        ip 192.168.0.10/24
}

.... dann sieht es nämlich ziemlich anders aus. Der Rechner 192.168.0.10 kommt tatsächlich auf alle Seiten, die Rechner mit einer anderen beliebigen IP aus dem gesamten Netzbereich 192.168.0.x aber auch .... und das war sicherlich nicht beabsichtigt!! Meine Tests scheinen zu beweisen, dass SquidGuard keinen Schmuddel in einem Netz mit Adressen der Form 192.168.0.x blocken wird, wenn man für "ip 192.168.0.10/24" alles erlaubt.

Ich vermute mal, dass Rechner mit 192.168.1.x oder 192.168.2.x dem Schmuddel nicht sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält, also nur alle Rechner mit 192.168.0.x durchlässt.

ip 192.168.0.10           Freigabe für nur 192.168.0.10
ip 192.168.0.10/32        Freigabe für nur 192.168.0.10
ip 192.168.0.10/24        Freigabe für 192.168.0.x mit x=1..254
ip 192.168.0.10/16        Freigabe für 192.168.x.y mit x=0..255 und y=1..254

In der hier folgenden Auflistung finden sich weitere Zahlenangaben, mit denen man bei richtigem Einsatz Subnetze freigeben kann. Fängt man dies an, sollte man unbedingt genau wissen, was man tut.

ip 192.168.0.0/30         Freigabe für 192.168.0.x mit x=1..2        Subnetzadresse 192.168.0.0       Broadcastadresse 192.168.0.3
ip 192.168.0.4/30         Freigabe für 192.168.0.x mit x=5..6        Subnetzadresse 192.168.0.4       Broadcastadresse 192.168.0.7
ip 192.168.0.8/30         Freigabe für 192.168.0.x mit x=9..10       Subnetzadresse 192.168.0.8       Broadcastadresse 192.168.0.11
ip 192.168.0.12/30        Freigabe für 192.168.0.x mit x=13..14      Subnetzadresse 192.168.0.12      Broadcastadresse 192.168.0.15

ip 192.168.0.0/29         Freigabe für 192.168.0.x mit x=1..6        Subnetzadresse 192.168.0.0       Broadcastadresse 192.168.0.7
ip 192.168.0.8/29         Freigabe für 192.168.0.x mit x=9..14       Subnetzadresse 192.168.0.8       Broadcastadresse 192.168.0.15
ip 192.168.0.16/29        Freigabe für 192.168.0.x mit x=17..22       Subnetzadresse 192.168.0.16      Broadcastadresse 192.168.0.23
ip 192.168.0.24/29        Freigabe für 192.168.0.x mit x=25..30      Subnetzadresse 192.168.0.24      Broadcastadresse 192.168.0.31
ip 192.168.0.0/28         Freigabe für 192.168.0.x mit x=1..14       Subnetzadresse 192.168.0.0       Broadcastadresse 192.168.0.15
ip 192.168.0.16/28       Freigabe für 192.168.0.x mit x=17..30       Subnetzadresse 192.168.0.16       Broadcastadresse 192.168.0.31

ip 192.168.0.0/27         Freigabe für 192.168.0.x mit x=1..30       Subnetzadresse 192.168.0.0       Broadcastadresse 192.168.0.31

Nach dieser Beschreibung rate ich dringend zu der Freigabe ausschließlich über die konkrete Auflistung der freizugebenden Rechner.