Hallo Jörg, Danke für das Feedback. Das die Verwaltung der Blacklists etwas Merkwürdig ist, ist mir auch schon aufgefallen. Die Firewall scheint auch eine ganze Weile zu brauchen ehe Sie die Blacklists übernimmt, nachdem ich die E-Mail geschrieben habe hat er nämlich alle Domains übernommen AUßER de-de.facebook.com aber das kann ich ignorieren denn wenn man sich anmelden will landet man auf https://www.facebook.com und diese wird geblockt (schade das da nicht die IPFire Blockseite aufgerufen wird sondern nur die Info erscheint das die Seite nicht erreichbar ist aber man kann ja nicht alles haben.).
Insgesamt ist das ganze Paket LML/IPFire & Radius Server ganz schön friemelig. Die Schule möchte das Clients die in allowedmacs stehen von Blau auf Grün zugreifen können aber das will wohl auch nicht so richtig. Das einzige was noch geklappt hat war die Namensauflösung damit die Schüler und Lehrer im Blauen Netz smb://server/userID eingeben können anstatt smb://10.16.1.1/userID denn allein das schien einige zu überfordern. Michael -----Ursprüngliche Nachricht----- Von: linuxmuster-user [mailto:[email protected]] Im Auftrag von Jörg Richter Gesendet: Montag, 10. November 2014 12:56 An: Discussions about using linuxmuster.net Betreff: Re: [lmn] SSL Proxy Hallo Michael, zunächst einmal: wenn hier niemand antwortet, so heißt das natürlich nicht, dass Deine Mails ignoriert werden. Vermutlich weiß nur niemand auf Anhieb, wo das Problem liegt. On 10 Nov 2014 at 10:22, Oeser Michael wrote: > > Hallo Liebe Leute, > > ein wenig Background: > > Ich habe ein funktionierendes WLAN System mit Coova auf die Beine > gestellt. Läuft soweit ganz gut und wurde auch in einer Schule > als Betasystem installiert. So gut wie alle Schulen die ich > betreue will solche Sachen wir Facebook, youtube und co blockieren > und da die über SSL laufen bringt ein transparenter Proxy nichts. > Bevor ich das auf einen festen Proxy umstelle will ich das im > sowieso vorhandenen Beta WLAN ausprobieren aber da gehen dann die > Probleme los. WLAN Netzwerk: 172.16.16.254 (IPFire) > 172.16.16.10 (Coova Server) 192.168.x.x (WLAN Clients) Die > Clients müssen den Proxy 172.16.16.254 mit Port 800 angeben und > kommen dann ins Netz (Ausnahme muss natürlich die 192.168.0.1 > sein für den Coova). In der IPFire sind vorgefertigte Blacklists > die tadellos diverse Pornoseiten blockieren aber wenn ich eigene > Domains hinzufügen wie beispielsweise alle möglichen Facebook > Adressen, ignoriert der Proxy das vollkommen und lässt diese > durch. Die beste Beispieladresse ist https://de-de.facebook.com > Ich habe bereits eine eigene Blacklist im Blacklist-Editor > erstellt, ich habe bestehende Blacklists editiert und ich habe > dieses Extrafeld im der IPFire verwendet in der man einfach die > domain/urls hinzufügen kann aber er blockt einfach kein Facebook. > Weiß zufälligerweise jemand was ich noch machen kann? IPfire > ist auf dem neusten Stand mit Update 85 LML ist die 6.0.46 mit > allen Update Grüße Michael P.S.: Ich würde mich > freuen wenn endlich mal wieder jemand auf meine Anfragen reagiert > und diese nicht andauernd ignoriert werden. Die eigenen Blacklists sind leider recht hakelig. Ich würde sie zunächst einmal aus dem grünen Netz testen und dann auch zunächst ohne https - das Filtern muss auch bei http gehen. Wenn das klappt, dann würde ich das Filtern von https aus dem grünen Netz testen und erst dann dasselbe fürs blaue Netz. Richtig ist schon mal, dass auf den Clients der Proxy manuell eingetragen werden muss. Außerdem sollte natürlich der Port 443 aus dem internen Netz blockiert sein. Um das zu testen, kannst Du vorübergehend den Proxy stoppen - dann sollte man weder per http noch per https surfen können. Bei den benutzerdefinierten Blacklists muss man aufpassen, dass sie auch wirklich aktiviert sind. Wenn tatsächlich alle Häkchen richtig erscheinen, dann würde ich den ganzen IPFire neu starten - es ist nicht immer so, dass das, was das Webinterface einem zeigt, auch gemacht wird. Und schließlich: Ist vielleicht die Ausnahme für 192.168.0.1 das Problem? Letztlich kommen ja alle Anfragen per NAT von dieser Adresse. Zum Testen kannst Du auch die Logfiles hernehmen, hier wird genau protokolliert, welche Seiten von welchem Client aus aufgerufen werden. Viele Grüße Jörg Richter _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user ________________________________ Bitte nutzen Sie die E-Mail-Verbindung mit uns ausschließlich zum Informationsaustausch. Der Inhalt dieser Nachricht ist vertraulich und nur für den angegebenen Empfänger bestimmt. Jede Form der Kenntnisnahme oder Weitergabe durch Dritte ist unzulässig. Sollte diese Nachricht nicht für Sie bestimmt sein, so bitten wir Sie, sich mit uns per E-Mail oder telefonisch in Verbindung zu setzen. Dieser Kommunikationsweg steht ausschließlich für Verwaltungsangelegenheiten zur Verfügung. Es wird darauf hingewiesen, dass mit diesem Kommunikationsmittel Verfahrensanträge nicht wirksam eingereicht werden können. Sollte Ihre Nachricht einen entsprechenden Schriftsatz enthalten, ist eine Wiederholung der Übermittlung mittels Telefax oder auf dem Postweg erforderlich. Durch eine Übermittlung auf diesem Kommunikationsweg können keine Fristen gewahrt werden. _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
