Hallo Helmut, was hat man mehr an Protokolloptionen wenn der Proxy transparent ist?
Ich habe das beim Time for Kids Schulrouter nach Beratung mit deren Support abstellt, damit - eine Authentifizierung (gegen LDAP von linuxmuster) überhaupt möglich ist - man mindestens die Ports 80, 443, 21 ausgehend für die Clients sperren kann, damit eine Umgehung des Proxy mit dem Torbrowser für einen mäßig begabten Achtklässler nicht mehr möglich ist Wenn der Proxy transparent sein könnte und dabei trotzdem einigermaßen schwer umgehbar, wäre ich ein anderes Problem los: Die Smart Notebook Software kann anerkanntermaßen ihre eigene Proxy-Konfiguration nicht auswerten, was nur in Windows den meisten Kunden nicht auffällt, weil es wenigstens die Einstellungen in der Systemsteuerung übernimmt. Umgebungvariablen in Linux sind der Software fremd. Macuser sähen genau so alt aus, müssten sie in einer sicheren Umgebung arbeiten ... Beheben wollen die Kanadier diesen Mangel offenbar nicht ernsthaft - um müssen es Dank CETA wohl auch nicht :-( Vielleicht sollte man in Linux lokal einen simplen transparenten Proxy implementieren der einfach nur ohne wenn und aber an den richtigen mit Filter und Protokoll forwarded. Dann gäbe es tatsächlich nur eine Stelle, wo man den Proxy einstellen müsste - und dies auch zuverlässig könnte! Hierbei hätte man mit Sicherheit nur die IP-Adresse und Uhrzeit und keinen Benutzernamen im Protokoll des richtigen Proxy und MÜSSTE nur im Streitfall (Anordnung der Schulleitung oder richterlicher Beschluss?) Uhrzeit, IP-Adresse und Benutzernamen zusammenbringen, so wie Holger es beschrieben hat. Gefällt mir irgendwie besser als Riesenmengen personenbezogener Protokolle - auch wenn's nur "Security by Oscurity" ist. Gruß Jürgen Am 14.04.2016 um 16:07 schrieb Helmut Hullen: > Hallo, Hans-Dietrich, > > Du meintest am 14.04.16: > >> ich habe keine Linuxmuster.net-Lösung, aber einen anderen >> Schulserver, auf dem LDAP, Squid und Squidguard läuft. Dabei >> Anmeldezwang an Squid, wobei auch bei uns die Anmeldung zum LDAP hin >> erfolgt (man könnte aber die Anmeldung von Squid auch über PAM oder >> zum Samba hin machen - aber LDAP ist das Einfachste). > Und vermutlich ist dort Squid _nicht_ als "transparenter Proxy" > eingestellt. Damit entfallen etliche Protokoll-Möglichkeiten. > > Viele Gruesse! > Helmut > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user > _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
