Martin Doerr schrieb: > Hallo Zusammen, > > ich habe hier mal wieder ein Verständnisproblem auf Layer 3 zu dem ich > euren Rat brauche. > Zur Regelung von Webseitenbesuchen bei Schülerrecherchen (ich sag nur > ebay & co) möchte ich im Klassenzimmer einen kleinen Proxy aufsetzen und > ihn vor das eigentliche Schulnetz als Filter hängen. > > Dieser hat zwei Netzwerkkarten, wobei die eine in das Schulnetz (eth1 > mit 172.16.30.0/24), und die andere in das kleine Raumnetz (eth0 mit > 192.168.1.0/24 und max. 10 Schülerrechnern) zeigt. > > Im Raumnetz wird via eth0 (also auf der gleichen Maschine) überdies noch > ein DHCP-Server betrieben, welcher die 10 Adressen (192.168.1.10 - > 192.168.1.20) verteilt. > > Da ich keinen Proxy-Eintrag auf den Schülerrechnern vornehmen will, > muss ich den Proxy-Server (mit Squid realisiert) transparent betreiben. > Somit muss es ja eine iptables-Regel geben, welche jegliche HTTP-Anfrage > (also Port 80) über den Proxy leitet. > Was mir aber nicht ganz klar ist, ist die Frage ob ich nun noch Routing > zwischen den beiden Netzen brauche oder nicht? > > Was wäre der default-Gateway Eintrag auf den Schülerrechnern? > Dies müsste doch eigentlich das Gateway des Schulnetzes (172.16.30.254) > sein oder? > > Sorry für die Anfängerfrage...aber ich habe noch nichts mit iptables > bzw. squid gemacht. > > Gruß Martin > -- > ---------------------------------------------------------------------------- > PUG - Penguin User Group Wiesbaden - http://www.pug.org
Hi Martin! Beide von die genannten Bereiche sind private Adressbereiche, sowohl 172.16.0.0/12 (früher auch Class B Netz genannt) als auch das Netz im Klassenzimmer (aus dem Bereich 192.168.0.0/16, früher Class C). Du kannst daher entweder mit der Squid maschine zwischen diesen beiden bereichen klassisch Routen - oder aber du machst NAT Routing. Da die Schüler PCs sowieso alle per Squid transparent ins Netz kommen sollen, wäre ich hier für NAT. Lass Http und Https und DNS mittels IP Tables durch, den Rest sperrst du ins Klassenzimmer ein. ;) So und so: egal, ob du jetzt NAT Routing machst oder klassisches Routing - dein Squid Rechner ist so und so der erste Hop / Router zwischen deinem Klassenzimmer und allen weiteren Netzbereichen, daher MÜSSEN deine Rechner im Klassenzimmer deine Squid Maschine als Router (Windows nennt das Gateway) benutzen, das geht nicht anders. An deiner Stelle würde ich auf dieser Maschine noch nen ordentlichen DNS Proxy aufsetzen, sodass deine Clients diese Maschine auch als DNS Server benutzen können. Grüße, Matze -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
