-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Wir haben den Frühjahrsputz beendet, Ihr auch? Welches Foto zu dem Thema hat Euch dann am Besten gefallen? Hier geht es lang zur Abstimmung --> Klick
Webseiten sperren
- Ersteller schwoch
- Erstellt am
oooops. da hab ich wohl was verwechselt *lol*
aber chaos gibts an der schule sowieso schon.
ich würde nur gerne einige gelenkte bahnen haben.
früher war das ein wenig anders.
die rechner waren eigentum der schule.....
natürlich war da alles kein problem.
aber jetzt muß ich in 2erlei richtungen "aufpassen".
1.) das sie mir nicht das ganze netzwerk versauen
2.) das ich ihnen nicht alles versaue
aber chaos gibts an der schule sowieso schon.
ich würde nur gerne einige gelenkte bahnen haben.
früher war das ein wenig anders.
die rechner waren eigentum der schule.....
natürlich war da alles kein problem.
aber jetzt muß ich in 2erlei richtungen "aufpassen".
1.) das sie mir nicht das ganze netzwerk versauen
2.) das ich ihnen nicht alles versaue
stk
Grünapfel
- Registriert
- 05.01.04
- Beiträge
- 7.141
hmm, irgendwie riecht das doch stark nach einer Firewall. Wenn Du keine laufenden Kosten haben magst, hätte ich bis Mitte des Jahres noch Astaro gesagt, weil die von dem besch… »ich-kassiere-immer«-Lizenzmodell weg waren. Aber seit Sophos da eingestiegen ist … 
Bleibt höchstens noch eine der freien FW-Distris wie IPCop, pfsense, etc.
Bleibt höchstens noch eine der freien FW-Distris wie IPCop, pfsense, etc.
gbyte
Gelbe Schleswiger Reinette
- Registriert
- 07.04.07
- Beiträge
- 1.752
Eventuell verstehe ich das Anliegen ganz falsch ... deswegen werfe ich mal "vorsichtig" OpenDNS in den Raum. Entweder den Router auf OpenDNS ausrichten, dass alle Suchanfragen über deren DNS gehen, oder alle Rechner per DHCP an den DNS vom Server anbinden und dann diesen auf OpenDNS zeigen lassen. In OpenDNS ein Profil erstellen, wo man dann Filter festlegt, und/oder die Black- und White-Listen füllt.
Also ich hatte diese Konstellation mal in unserem Unternehmen testweise aufgesetzt und es hat das geliefert, was ich glaube verstanden zu haben, das es das ist was Du suchst.
Gruß,
GByte
Also ich hatte diese Konstellation mal in unserem Unternehmen testweise aufgesetzt und es hat das geliefert, was ich glaube verstanden zu haben, das es das ist was Du suchst.
Gruß,
GByte
naja, ich könnte openDNS als foreward in meinem DNS eintragen....
das sollte funktionieren.
aber für die laufenden kosten müßte ich wieder ein antraxformular in 7x ausfertigung mit jeweils 4 unterschriften ausfüllen ;-/
dabei wollte ich nur mehr, das mein proxy mit dem DHCP mitgegeben wird.
schon wäre es ok.
aber vielen dank für´s mitdenken...
hier in der server gruppe fühle ich mich sowieso wohler....
das sollte funktionieren.
aber für die laufenden kosten müßte ich wieder ein antraxformular in 7x ausfertigung mit jeweils 4 unterschriften ausfüllen ;-/
dabei wollte ich nur mehr, das mein proxy mit dem DHCP mitgegeben wird.
schon wäre es ok.
aber vielen dank für´s mitdenken...
hier in der server gruppe fühle ich mich sowieso wohler....
Marcel Bresink
Hadelner Sommerprinz
- Registriert
- 28.05.04
- Beiträge
- 8.574
Ja, das alleine reicht nicht. Man müsste schon verbieten, dass die Leute an den Clients auf andere DNS-Dienste ausweichen, z.B. indem man in der Firewall Port 53 für den Zugriff auf fremde IPs sperrt.
Aber selbst dann würde ich vermuten, dass man diese Art Filter austricksen kann. Manche (nicht alle) Zugriffe auf gesperrte Server wären immer noch möglich, wenn die Nutzer anfangen, rohe IP-Adressen zu verwenden, z.B. http://109.70.217.200/
ist auch wieder wahr.....
hmmm. also werden sich alle eine netzwerkumgebung extra für die schule machen müssen....wegen dem proxy.
mit den ipad´s ist es eben extra blöd. proxy rein/raus.....bäh
hmmm. also werden sich alle eine netzwerkumgebung extra für die schule machen müssen....wegen dem proxy.
mit den ipad´s ist es eben extra blöd. proxy rein/raus.....bäh
Marcel Bresink
Hadelner Sommerprinz
- Registriert
- 28.05.04
- Beiträge
- 8.574
Zu der DHCP-Diskussion:
In jeder Version von Mac OS X oder OS X ist bereits ein DHCP-Server enthalten. Der wird unter anderem für die Funktion "Internet-Sharing" eingesetzt.
In allen neueren Versionen wird auch die automatische Erkennung eines HTTP-Proxy ("Option 252") unterstützt. Dazu muss der DHCP-Server konfiguriert und in der Datei /etc/bootpd.plist ein Eintrag dhcp_proxy_auto_discovery_url eingerichtet werden. Nähere Informationen gibt es in der Man-Page zu bootpd.
In jeder Version von Mac OS X oder OS X ist bereits ein DHCP-Server enthalten. Der wird unter anderem für die Funktion "Internet-Sharing" eingesetzt.
In allen neueren Versionen wird auch die automatische Erkennung eines HTTP-Proxy ("Option 252") unterstützt. Dazu muss der DHCP-Server konfiguriert und in der Datei /etc/bootpd.plist ein Eintrag dhcp_proxy_auto_discovery_url eingerichtet werden. Nähere Informationen gibt es in der Man-Page zu bootpd.
vielen dank marcel.
das hab ich mir schon angesehen....allerdings noch untestet.
hab allerdings auch in vielen foren gelesen, das da apple wohl wieder mal keine standard wege beschreitet.
diese funktion soll bei osx s nicht funktionieren. darum hab ich ja hier mal nachgefragt, ob das schon jemand mal versucht hat.
bin mir aber nicht sicher, ob ich da nicht was altes erwischt habe. wenn du von "neueren" sprichst, wirst du wohl den 10.6.x auch meinen.
und wo ich mir auch nicht ganz sicher bin....ist die option 252 nicht der auto proxy mit der pac datei?
das hab ich mir schon angesehen....allerdings noch untestet.
hab allerdings auch in vielen foren gelesen, das da apple wohl wieder mal keine standard wege beschreitet.
diese funktion soll bei osx s nicht funktionieren. darum hab ich ja hier mal nachgefragt, ob das schon jemand mal versucht hat.
bin mir aber nicht sicher, ob ich da nicht was altes erwischt habe. wenn du von "neueren" sprichst, wirst du wohl den 10.6.x auch meinen.
und wo ich mir auch nicht ganz sicher bin....ist die option 252 nicht der auto proxy mit der pac datei?
Marcel Bresink
Hadelner Sommerprinz
- Registriert
- 28.05.04
- Beiträge
- 8.574
Selber ausprobiert habe ich es ausnahmsweise nicht, aber es gibt glaubhafte Berichte von Leuten, die das einsetzen.
Das wird oft behauptet, aber eigentlich ist es genau umgekehrt: OS X hält sich exakt an die Richtlinien, während Windows-Server fälschlicherweise ein NUL-Zeichen an die per DHCP verschickten Daten anhängen. Wenn ein Betriebssystem das wortwörtlich interpretiert, dann erhält es vom Server eine URL mit einem Syntaxfehler ...
Ja, aber andere Zusammenhänge zwischen DHCP und Proxy-Servern gibt es eigentlich nicht. Ohne PAC-Datei wäre das Verfahren auch viel zu unflexibel, denn nur mit einer IP-Adresse und einem Port wüssten die Clients nicht, wie sie mit dem Proxy bei Anfragen im lokalen Netz umgehen sollen. Übliches Problem ist, dass sonst elementare HTTP-Funktionen (wie z.B. eine Abfrage http://localhost:631/ zur Kontaktaufnahme mit dem CUPS-Drucksystem) nicht mehr funktionieren würden, da sie fälschlicherweise beim Proxy landen.
Dieses Verfahren heißt WPAD (Web Proxy Autodiscovery Protocol). In der deutschen Sprachfassung von Mac OS X (in der Tat auch in 10.6.8) heißt es "Automatische Proxy-Entdeckung". Ohne DHCP, nur mit PAC-Datei, heißt es "Automatische Proxy-Konfiguration".
Das wird oft behauptet, aber eigentlich ist es genau umgekehrt: OS X hält sich exakt an die Richtlinien, während Windows-Server fälschlicherweise ein NUL-Zeichen an die per DHCP verschickten Daten anhängen. Wenn ein Betriebssystem das wortwörtlich interpretiert, dann erhält es vom Server eine URL mit einem Syntaxfehler ...
Ja, aber andere Zusammenhänge zwischen DHCP und Proxy-Servern gibt es eigentlich nicht. Ohne PAC-Datei wäre das Verfahren auch viel zu unflexibel, denn nur mit einer IP-Adresse und einem Port wüssten die Clients nicht, wie sie mit dem Proxy bei Anfragen im lokalen Netz umgehen sollen. Übliches Problem ist, dass sonst elementare HTTP-Funktionen (wie z.B. eine Abfrage http://localhost:631/ zur Kontaktaufnahme mit dem CUPS-Drucksystem) nicht mehr funktionieren würden, da sie fälschlicherweise beim Proxy landen.
Dieses Verfahren heißt WPAD (Web Proxy Autodiscovery Protocol). In der deutschen Sprachfassung von Mac OS X (in der Tat auch in 10.6.8) heißt es "Automatische Proxy-Entdeckung". Ohne DHCP, nur mit PAC-Datei, heißt es "Automatische Proxy-Konfiguration".
WPAD habe ich z.z. im einsatz. allerdings über den hauptproxy. der steht nicht bei mir und wird wohl in zukunft nicht mehr verwaltet.
deswegen bastle ich ja selbst
auf jeden fall setze ich z.z. WPAD mit einer PAC datei ein. allerdings ist mir aufgefallen, das z.b. die dropbox da nicht mitspielt.
warum weiß ich noch nicht. ist mir z.z. aber auch ein bissl egal
auf jeden fall....danke für deine tatkräftige unterstützung.
werde mich weiter spielen und hier berichten, wenn mir was gelungen ist
deswegen bastle ich ja selbst
auf jeden fall setze ich z.z. WPAD mit einer PAC datei ein. allerdings ist mir aufgefallen, das z.b. die dropbox da nicht mitspielt.
warum weiß ich noch nicht. ist mir z.z. aber auch ein bissl egal
auf jeden fall....danke für deine tatkräftige unterstützung.
werde mich weiter spielen und hier berichten, wenn mir was gelungen ist
/etc/bootpd.plist bearbeitet...
<key>dhcp_option_252</key>
<array>
<string>http://172.22.60.10/pac/proxy.pac</string>
</array>
funktioniert die automatische proxy zuweisung.
allerdings ist das ganze nur bedingt zu brauchen....leider.
der proxy wird nur zugewiesen, wenn man in den TCP/IP einstellungen
"automatische proxy-entdeckung" angeklickt hat.
das ist natürlich ein nettes feature. aber leider ganz ohne eingriff in dieses prefpane funktioniert es nicht
ist dieses aktiviert, kann man auch in einem netz ohne proxy problemlos arbeiten.
gibts keinen, wird keiner zugewiesen und die verbindung wird direkt aufgebaut.
gibts einen....bekommt er die .pac datei zugewiesen.
aber leider ist diese option nicht standardmäßig angeklickt. dann bräuchte ich niemandem was erklären.
werde diese option aber trotzdem nutzen, weil es einfacher zu erklären ist.
vielen dank für eure tatkräftige unterstützung.
hier hab ich noch im apple support forum einen thread dazu gefunden
man muß allerdings dazu sagen, das die geschichte wie dort beschrieben nicht funktioniert
sondern so, wie ich es oben reingeschrieben habe. zumindest beim 10.6.8 server
ganz am ende kommt aber imzeek2u zur gleichen zusammenfassung wie ich.
also mit squidman (leider war bei mir der kompilierte squid laggy)
dazu einstellungen für den netzwerkbereich und http_access deny inkl. einer url liste, wo man nicht hin darf.
ich bin nicht paranoid, doch wenigstens die konox.to geschichten will ich blocken können.
die lösungen mit externen blacklists ist mir dann doch zu aufwendig gewesen.
viele funktionieren unter os x überhaupt nicht und die danguardian geschichte, die von marcel hier angesprochen wurde,
ist mir schlichtweg zu aufwendig beim kompilieren. der braucht eine (freie) oracle datenbank.
will man diese kompilieren, braucht die noch 17 andere dinge. das war mir dann zuviel
da hab ich damit augegeben.
vielleicht hilft diese thread ja auch anderen weiter, die vor dem selben problem stehen.
guten morgen
mike
<key>dhcp_option_252</key>
<array>
<string>http://172.22.60.10/pac/proxy.pac</string>
</array>
funktioniert die automatische proxy zuweisung.
allerdings ist das ganze nur bedingt zu brauchen....leider.
der proxy wird nur zugewiesen, wenn man in den TCP/IP einstellungen
"automatische proxy-entdeckung" angeklickt hat.
das ist natürlich ein nettes feature. aber leider ganz ohne eingriff in dieses prefpane funktioniert es nicht
ist dieses aktiviert, kann man auch in einem netz ohne proxy problemlos arbeiten.
gibts keinen, wird keiner zugewiesen und die verbindung wird direkt aufgebaut.
gibts einen....bekommt er die .pac datei zugewiesen.
aber leider ist diese option nicht standardmäßig angeklickt. dann bräuchte ich niemandem was erklären.
werde diese option aber trotzdem nutzen, weil es einfacher zu erklären ist.
vielen dank für eure tatkräftige unterstützung.
hier hab ich noch im apple support forum einen thread dazu gefunden
man muß allerdings dazu sagen, das die geschichte wie dort beschrieben nicht funktioniert
sondern so, wie ich es oben reingeschrieben habe. zumindest beim 10.6.8 server
ganz am ende kommt aber imzeek2u zur gleichen zusammenfassung wie ich.
also mit squidman (leider war bei mir der kompilierte squid laggy)
dazu einstellungen für den netzwerkbereich und http_access deny inkl. einer url liste, wo man nicht hin darf.
ich bin nicht paranoid, doch wenigstens die konox.to geschichten will ich blocken können.
die lösungen mit externen blacklists ist mir dann doch zu aufwendig gewesen.
viele funktionieren unter os x überhaupt nicht und die danguardian geschichte, die von marcel hier angesprochen wurde,
ist mir schlichtweg zu aufwendig beim kompilieren. der braucht eine (freie) oracle datenbank.
will man diese kompilieren, braucht die noch 17 andere dinge. das war mir dann zuviel
da hab ich damit augegeben.
vielleicht hilft diese thread ja auch anderen weiter, die vor dem selben problem stehen.
guten morgen
mike
2003-2024 Apfeltalk | Made on a Mac