Hallo Listenmitglieder,
seit unserer Umstellung auf Subnetting dieses Jahr funktioniert die
Internetsperre nicht mehr richtig. Ich konnte dies nun auch
diagnostizieren und weiss, woran es liegt. Nun brauche ich eure Hilfe,
ob wir das Subnetting falsch umgesetzt haben!?
Vorab ein paar Informationen zu unserem Netz:
Durch Vorabideen haben wir unser Netz in sieben Segmente aufgeteilt:
/etc/linuxmuster/subnets
# Subnet Hauptgebäude LAN
10.17.0.0/16;10.17.255.254;10.17.0.1;10.17.6.255;1;1
# Subnet Nebengebäude LAN
10.18.0.0/16;10.18.255.254;10.18.0.1;10.18.6.255;1;1
# Subnet Lehrer LAN
10.19.0.0/16;10.19.255.254;10.19.0.1;10.19.6.255;1;1
# Subnet OpenDevices LAN
10.20.0.0/16;10.20.255.254;10.20.0.1;10.20.6.255;1;1
# Subnet Lehrer WLAN
10.27.0.0/21;10.27.7.254;10.27.0.1;10.27.6.255;1;1
# Subnet Schüler WLAN
10.28.0.0/21;10.28.7.254;10.28.0.1;10.28.6.255;1;1
# Subnet Gäste WLAN
10.29.0.0/21;10.29.7.254;10.29.0.1;10.29.6.255;0;1
in /etc/linuxmuster/workstations sind ca. 550 Einträge drin (Drucker,
LAN-IFs der Computer, LAN-IFs der Laptops, ein paar Server). Die IPs der
Geräte sind nach folgendem Schema aufgebaut:
10.[Gebäude].[Raumnummer].[Client-Drucker-Whatever_mit_RJ45] - also
konkret für Raum 110 im Hauptgebäude wäre das 10.17.110.XXX.
Die WLAN-Bereiche sind komplett autark und sollen Zugriff erhalten auf
das Netz. Sie werden auch durch VLANs getrennt. Unser Core-Switch hat
jeweils die aufgeführte Gateway-IP und es funktioniert hervorragend! Nur
eben die Internetsperre nicht...
Die Subnetzdefinierung in /etc/linuxmuster/subnets bricht uns offenbar
das Genick, denn all diese Netze sind prinzipiell allowednetworks auf
dem IPFire und somit werden die hosts nicht in allowedhosts übernommen
(und somit auch nicht gesperrt!).
Definiere ich nicht die Subnetze, so geht das import_workstations-Skript
einfach davon aus, dass jeder Raum ein eigenes /24 ist! Da müsste ich
aber gefühlte 40-45 Räume, VLANs und Gateway-IP-Adressen auf dem
Coreswitch definieren und zusätzlich wirklich jede Dose in ein eigenes,
raumgezogenes VLAN packen.
Oder schlagt ihr mir jetzt vor, mein IP-Adressierungskonzept über den
Haufen zu werfen und es pro Gebäude flach zu halten, also alle Clients
in ein /24 zu packen (geht technisch, aber das IP-Schema ist hilfreich
beim suchen von Fehlern!).
Oder noch viel besser: einer von euch hat dasselbe Problem und ein
Workaround ;-)...
Ein Workaround den ich mir vorstellen kann: Die Datei
/var/ipfire/proxy/advanced/acls/src_banned_ip.acl wird mit den IPs
gefüllt, die keinen Zugriff mehr zum Internet haben sollen und es gibt
eine weitere IP-Liste auf dem IPFire mit deniedhosts, in der dann die
IP-Adressen aufgeführt werden, die gesperrt sind. Diese Regel sollte
dann schlussendlich vor den erlaubten Hosts kommen ;-)... Am Ende greift
ja sowieso die denyall-Regel.
Viele Grüße
Hendrik Hagenow
--
Hendrik Hagenow
zweiteSchule gemeinnützige GmbH
Weinbergstraße 5
D-77933 Lahr
Mobil: +49 (0) 176 810 151 91
Mail: [email protected]
Web: http://www.2schule.de
Ust-ID: DE 273417204
Registergericht: Amtsgericht Freiburg, Registernummer: HRB 705635,
Geschäftsführer: Stefan Grözinger
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
