Administratorhandbuch:SquidGuard freischalten

Aus Delixs
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Die Ausgangsposition könnte durch die folgende Situation beschrieben werden:

Ein Lehrer möchte für eine Unterrichtsreihe Quellen im Internet untersuchen, deren inhaltliche Aussage als kritisch oder sogar bedenklich einzustufen sind. Kann er damit zufrieden sein, dass SquidGuard diese Quellen in der Schule nicht anzeigt und er seinen Unterricht nicht vorbereiten kann? Wohl kaum ....

Es könnte also der Bedarf in der Schule aufkommen, dass im Lehrerzimmer oder auf dem Computer des Administrators alle verfügbaren Internetinhalte abrufbar sind. Die Filterung von bedenklichen Inhalten ist ein unabdingbarer Auftrag an schulische Lernumgebungen, die Kenntnis der bedenklichen Veröffentlichungen ist dabei allerdings die andere Seite des pädagogischen Auftrags.

Im Auslieferungszustand filtert der Schulserver Arktur mit der Software SquidGuard in sehr vollständiger Weise pornografische und gewaltverherrlichende Inhalte heraus. Im schulischen Netzwerk sind damit diese Inhalte nicht verfügbar. Um sie trotzdem am Lehrerzimmerrechner anzeigen zu können, muss die Einstellungsdatei des Filters geringfügig geändert werden. Zur Bearbeitung wird die Datei /etc/squid/squidGuard.conf geöffnet. Gegenüber dem Auslieferungszustand werden die rot eingefärbten Änderungen notwendig.


Hilfe ... ich kann das nicht vernünftig formatieren

Der folgende Text sollte im Format Courier sein, um deutlich eine Code-Datei darzustellen, aber ich finde die Option nicht.

Ist das jetzt besser?

logdir /var/log/proxy
dbhome /var/lib/squidGuard/db

#
# Source Classes
#

# Dieser Rechner wird nicht durch SquidGuard geblockt
src admin {
       # user root adm
        ip 192.168.0.10
}

# Die "normalen" Rechner der Schule
src schule {
        ip 192.168.0.0/16
        ip 172.16.0.0/12
}



genauso, wie ich es geschrieben hatte, scheint es richtig zu sein.

Wenn ich folgendes Statement eintrage, komme ich mit dem Rechner 192.168.0.10 tatsächlich auf alle vorher gesperrten Seite. Alle anderen Rechner aus dem Netz 192.168.0.x werden weiter für Schmuddel gesperrt. Dies ist also schonmal als Erfolg zu verbuchen.


# Dieser Rechner wird nicht durch SquidGuard geblockt
src admin {
ip 192.168.0.10
}

# Die "normalen" Rechner der Schule
src schule {
ip 192.168.0.0/16
ip 172.16.0.0/12
ip 10.0.0.0/8
}
Mit der 32 in der Eingabe "ip 192.168.0.10/32" ist aber auch alles okay. Es scheint egal zu sein, ob ich "ip 192.168.0.10" oder "ip 192.168.0.10/32" zur Bezeichnung einer Rechner-IP verwende.


Problematisch wird es, wenn ich stattdessen wie von verschiedenen Seiten vorgeschlagen eingebe


src admin {
ip 192.168.0.10/24
}

.... dann sieht es ziemlich anders aus. Der Rechner 192.168.0.10 kommt immer noch auf alle Seiten, die Rechner mit einer anderen IP 192.168.0.x aber auch.

So war das nicht gedacht!! Meine Tests scheinen zu beweisen, dass SquidGuard keinen Schmuddel in einem Netz mit Adressen der Form 192.168.0.x blocken wird, wenn man für "ip 192.168.0.10/24" alles erlaubt.

Ich vermute mal, dass Rechner mit 192.168.1.x oder 192.168.2.x dem Schmuddel nicht sehen können, weil die 24er Maske eben die vorderen 3 Bytes fest hält, also nur alle Rechner mit 192.168.0.x durchlässt.

Mein Server besitzt eine Netzwerkkarte mit der Adresse 192.168.0.1 und eine zweite Netzwerkkarte für DSL. Ich wollte die Adresse der tatsächlich vorhandenen Karte nicht ändern, aber auch keine dritte Karte einbauen. Stattdessen habe ich in meinen Tests zusätzlich die folgenden Admin-Freigaben ausprobiert. Mein Testrechner hat die Adresse 192.168.0.10

ip 192.168.1.10 kein Zugriff auf Schmuddel
ip 192.168.1.10/24 kein Zugriff auf Schmuddel
ip 192.168.1.10/32 kein Zugriff auf Schmuddel
ip 192.168.1.10/16 Achtung: ungehinderter Zugriff auf Schmuddel

Dies scheint meine obige Behauptung zu untermauern, weil mit der 16er Maske nur die ersten zwei Bytes fest sind und die nachfolgenden Werte egal sind.