Re: Squid-Nutzung erzwingen

[Albrecht Frank <abfrankffm@web.de>]

Maximilian Wilhelm wrote:
> Am Dienstag, den 18. Januar hub Albrecht Frank folgendes in die Tasten:
>
>
> > Ralf Gesel|ensetter wrote:
> >
> > > Am Dienstag, 18. Januar 2005 14:40 schrieb Maximilian Wilhelm:
>
>
> > > > Spar die Arbeit und das Geld und stell Dir einen zentralen Router
> > > > dahin, der Verbindungen nach aussen filtert.
> >
> > Der ist sowieso notwendig.
> > Ansonsten bin ich der Meinung, daß max. 20% des Netzverkehrs in der Klasse
> > über den zentralen Switch gehen sollte. Sobald Wxx-Rechner dabei sind,
> > ist es wesentlich besser, wenn nicht jeder Wxx- jeden anderen Wxx-Rechner
> > in der Schule sieht. So kann man auch Virenbefall in Grenzen halten.
>
>
> D.h., dass Du die Ports 135-139 auf jedem router blocken muesstest
>  => d.h. weiter, dass Du dann auch nicht mehr auf einen samba-server
>     zugreifen koenntest (es sei denn, Du gibts ihn fuer *jedes* subnetz
>     auf *jedem* Router frei.
Sind das nicht großenteils Broadcasts?
Auf dem Router läuft dann eh NAT und Aufbauversuche für Zugriffe von "außen"
ins Subnetz werden per iptables geblockt (SYN).
Dann ist die Klasse gegen Störungen von außen geschützt.

>  Wie ich schonmal sagte:
>   Das ist *viel* *zu* *viel* Administrationsoverhead und eine viel zu grosse
>   Fehlerquelle.
Das muß nicht sein. Gerade Debian hat bei den iptables eine sehr gute
Vorkonfiguration, die man fast unbesehen übernehmen kann.

>   Wenn ich mal Dein Argument der "Normalisierung" der "Neuen Medien"[tm] zum
>   Standardwerkzeug aufgreifen darf, waere dass eine genauso grosse, wenn nicht
>   groessere Gefahrenquelle, die das ganze Netze oder Teile *unbrauchbar* machen
>   kann.
Der Lehrer kann nur _sein_ Subnetz lahmlegen.

>   Mit dem Unterschied, dass man fuer spezielle Router kein Standard-webmin-GUI
>   entwickeln kann und somit auch nicht jeder Lehrer (der das duerfen soll)
>   ein vereinfachtes Interface (Klasse 5a -> offline, jetzt)
Da die Funktion standardisiert werden kann, ist das möglich.

> > > Der Gedanke, den Lehrerrechner als Router zu nehmen, impliziert, dass 
> > > die Schüler erst ins Netz kommen, wenn der Lehrer seine Kiste 
> > > angeworfen hat. Wo die Verkabelung eh handgestrickt und raumweise 
> > > vorliegt, wäre das ggf. eine Möglichkeit - aber auch sehr individuell.
>
>
> > Das ist eine ganz schön harte Unterstellung.
> > Habt Ihr von jedem U-Raum 20-30 Netzwerkkabel zur zentralen Patchbay?
> > Dann ist das m. E. ein Fall für den Rechnungshof. ;-)
> > Die Netzwerkverkabelung ist eh der dickste Brocken der IT-Infrastruktur.
> > Ich weiß ja nicht, wie viel Ahnung Du von Netzwerktechnik hast.
>
>
> Ralf hat so ein Setup laufen.
> Ich fuer meinen Teil bin u.a. Systemadminstrator an der Uni Paderborn und
> moechte mal behaupten, mit den Grundlagen der Netzwerktechnik klar zu kommen.
Sorry Max, Dich habe ich damit nicht gemeint, es war Ralfs Statement, auf das
ich geantwortet habe. Falls das unklar war, bitte ich um Entschuldigung.
Ihr habt garantiert eine hierarchische Topologie über Backbone und nicht
jeden Popelrechner direkt am zentralen Switch (der virtuell ist) angeschlossen.

> Auch wenn Du nur 2-3 Patchdosen pro Raum hast, kannst Du - dank Sterntopologie -
> immernoch einen Switch in den Raum stellen und diesen ggf. per GBic "hoch-
> patchen".
Genau, über einen Router mit NAT, der Zugriffe von "außen" verhindert.

> > > Anbieten würde sich, den LTSP als Lehrerrechner zu verwenden - aber: Ein 
> > > Server gehört m.E. in sichere Verwahrung.
> >
> > cf. oben.
>
>
> > Auch bei einem Schulneubau bekommt Ihr nicht mehr als 4-6 Netzwerkkabel
> > in jedes Klassenzimmer oder Gruppenraum.
>
>
> Nein.
> Ich kenne zufaellig eine vor ~2-3a neu gebaute Schule:
>  Der Computerraum dort hat genug Patchdosen, die auf einem zentralen Verteiler
>  landen.
Mit Betonung auf _der_ und nicht in _jedem_ Klassenzimmer/Gruppenraum.

Ich weiß von zwei Grundschulen, die Rechner (ein - vier je Klasse) als normales
Arbeitsmittel für unterschiedliche Fächer im Unterricht einsetzen.

> > Ein LTSP ist in dem Sinne _kein_ Server, da er seine Programme und Daten
> > vom Server holt und die Programme ausführt.
>
>
> Er ist ein Server, da er Dienste anbietet.
> Frueher haette so etwas dann Host gehiessen.
Er hat nur die Funktion von auf eine Kiste zusammengeschrumpften Workstations.
Und damit ist er gut beschäftigt. Deshalb braucht er m. E. nicht unbedingt im
Serverraum stehen.

> > Er gehört (netz-)topologisch möglichst nahe an die Terminals heran;
>
>
> Das macht Sinn.
> Daher kann man ihn ggf. als Lehrerrechner einsetzen.
> Hier spielen aber auch noch einige Sicherheitsueberlegungen einen Rolle,
> die ich hier mal aussen vor lassen moechte.
Genau deswegen habe ich die Maschinen bei manchen Funktionen gerne
getrennt. Und zwar _physisch_.

> > ein
> > Router ist er normalerweise nicht, da er ja als Computing Server
> > agiert und die X-Terminals nur mit ihm kommunizieren. Und selbständige
> > Clients haben im LTSP-Subnetz _absolut_nichts_ verloren.
>
>
> Wenn es netztechnisch nicht anders geht, kann man sie dort auch unterbringen;
> es ist nicht wirklich schoen, aber technisch kein Problem.
Auch wenn es technisch kein Problem ist, genau so etwas macht dann die
Sache unübersichtlich und damit potentiell instabil.

> > > Dirk G. arbeitet gerade an einem Webmin-Interface für Squidguard - 
> > > vielleicht kann man hier ein Raumkonzept integrieren. Eine 
> > > entsprechende Debatte läuft gerade auf debian-edu.
>
>
> > Kann ich nichts dazu sagen, nur daß ich von einem zentralisierten Konzept
> > bei Schulnetzwerken nicht viel halte. In der Schule hat doch jeder
> > Klassenraum auch _eine_ Tür, die während des Unterrichts normalerweise
> > geschlossen ist. Daß es auch direkt miteinander verbundene Räume gibt,
> > liegt im Konzept der Gruppenräume und bestätigt die Regel.
>
>
> Du musst aber trotzdem durch die Haupttuer in die Schule (und auch wieder
> raus), ergo hast Du auch einen zentralen Router.
Das war mein erster Satz. cf. oben.

> > Und ein Lehrer, der den Zugriff für seine Klasse auf das Internet am
> > zentralen Proxy oder gar am zentralen Router steuert, gehört mit dem nassen
> > Handtuch erschlagen, da sie/er viel zu leicht anderen Klassen den für
> > den Unterricht ggf. lebensnotwendigen Internetzugang abdrehen kann.
> > (z. B. in prüfungsähnlichen Situationen)
>
>
> Dass das nicht passiert ist Aufgabe des Admin-GUIs, dass optimalerweise
> solche "Tasks" vereinfach darstellt, damit sie jeder Lehrer (ich unterstelle
> hier mal, dass nicht jeder Lehrer weiss, was ACLs, IPs, Proxies oder Router 
> sind) moeglichst einfach und sicher bedienen kann.
Ein GUI kann das nie schaffen, es ist die Organisation, die das leisten muß.
Und genau deshalb hat "jeder Lehrer" an _zentralen_ Diensten nichts zu schaffen.

> Wer soll Deiner Meinung nach, die Router Administrieren?
Schon mal was von cfengine gehört? Speziell bei den *x'en gibt es sehr
leistungsfähige Werkzeuge zur Systemwartung. Diese Werkzeuge sind durch
ihre Leistungsfähigkeit natürlich sehr "scharf" und damit gefährlich.
Aber gerade die Router benötigen relativ wenig Wartung.

> Der Otto-Normal-Informatiklehrer wird das sicher nicht immer schaffen.
> (Ich weiss, dass es Lehrer gibt, die sehr tief in der Materie stecken,
>  nichts fuer Ungut!)
Die Administration eines Netzes mit mehr als zwei Rechnern bedarf eines
gewissen Skills, auch wenn das manche Schulamtsdirektoren, Landräte,
Regierungs- und Ministerpräsidenten nicht wahrhaben wollen.
Auch und gerade für Netze mit Wxx-Rechnern.

> Und wenn da ein Fehler passiert, steht auch alles und es kann auch nicht
> so einfach revidiert werden.
>
>  => Fussschuss!
ACK

Wenn sie/er ihre/seine Klasse "abschießt" blamiert sie/er nur sich selbst. ;-)

> > Leute, denkt doch einmal ein bißchen in die Zukunft. Wenn der Rechner für
> > die Schüler zum normalen Werkzeug wie Bleistift, Papier und Lineal wird,
> > kracht das System nach Eurem Konzept mit vollem Karacho gegen die Wand.
>
>
> Wo denn?
> Mit ein paar *kleinen* Abwandlungen koennte man Debian-edu auch bei uns
> in der Universitaet einsetzen.
Die aber dann _etwas_ in Arbeit ausarten ;-)

> Wir haben hier ~150 - 200 Kisten in mehreren Etagen/Bueros stehen; moechtest
> Du fuer jedes Buero oder fuer jede Etage einen Router anschaffen?
Für funktionale Trennung auf jeden Fall, manchmal genügt auch ein Switch
der VLAN kann. Es kommt auf die Erfordernisse der Organisation an.

> > Und die Netzwerkplanung einer Schule macht man nicht nur für die nächsten
> > zwei, drei Jahre, sondern eher drei bis fünf Jahrzehnte.
>
>
>
>
> > Da kommt man m. E. an einem hierarchischen Konzept nicht vorbei.
>
>
> Klar kommt man.
> Was an einer Uni funktioniert, wird auch an eine Schule installieren.
> Ich wage mal zu behaupten, dass die 3-4 Rechner (von mir aus auch 30-40)
> die ueblicherweise in einer Schule stehen keine kuenstlich "normalisierte"
> Netzwerkstruktur rechtfertigen.
Die jetzige Situation ist mir durchaus bekannt. Aber wenn man etwas
entwickelt, sollte man da nicht auch etwas in die Zukunft planen?
Ich rede von Schulen mit bis zu 1000 und mehr Schülern und von der Projektion
auf eine Zeit, die die Netzwerkstruktur aushalten _muß_.

> > Wenn jeder Furz über den zentralen Switch geht, reicht bei den Schulgrößen
> > im Ballungsraum auch 10-Gigabit-Ethernet nicht mehr aus.
>
>
> -----schnipp-----
>
> > Ich weiß ja nicht, wie viel Ahnung Du von Netzwerktechnik hast.
>
> -----schnapp-----
>
> Wie schaut das bei Dir aus?
> Reden wir ueber moegliche Verbindungsgeschwindigkeiten oder ueber die Backplane
> der Switche?
>
> Bei uns reichen 48 * 100Mbit mit 1 * 1GBic uplink zu naechst hoeren
> Switch dicke.
Auch wenn (selbstgemachte) Video- und Tonaufnahmen bearbeitet sowie
Bildbearbeitung gemacht werden? Und das in mehreren Klassen gleichzeitig?
In der Grundschule fängt es schon an... ;-)

> Fuer den normalen PC wuerde ein 10MBit Netzwerkkarte dicke reichen und
> fluessig zu Arbeiten (Office, Web, Mail...).
Bei *x vielleicht ;-), sobald Wxx im Spiel ist, belegt das schon alleine
ca 30-40% der Netzwerkkapazität (bei 10 Mbit/s).

> Der Flaschenhals ist eher Dein Fileserver, da hier die geballte Ladung
> an Anfragen auflaeuft; das wuerdest Du aber auch nicht mit Routern verhindern.
Das ist mir bekannt; deshalb: aufteilen.

> Dinge wie Windosen, die das Netz mit Broadcast begluecken kann und sollte
> man mit WINS-Servern (Samba macht das bei uns) unterbinden.
ACK
Ganz den Rand halten tun sie dann leider doch nicht...

> > Ich will hier nicht streiten oder gar einen Flamewar lostreten, deshalb
> > klinke ich mich aus der Debatte aus.
>
>
> So einfach kannst Du es dir nicht machen...

Skolelinux ist für kleine Organisationen sehr gut bis ideal wenn man das Konzept
übernehmen will und kann.

Aber das hindert mich nicht daran, etwas über den Tellerrand zu schauen
und ein wenig in die Zukunft zu projizieren, was notwendig oder auch nur
wünschenswert werden könnte. Kann man nicht jetzt schon darauf hinarbeiten?

So und jetzt schlägt mein letzter Satz der vorhergehe4nden Mail zu.

Gruß
Albrecht

PS: So weit sind wir gar nicht entfernt.