Dokumentation
Mithelfen
Netzwerksetupprint

Im Folgenden wird besprochen wie der Openschoolproxy in ein Netzwerk integriert werden kann. Dies ist nur eine von mehrern Möglichkeiten, die sich aufgrund bisheriger Erfahrungen als besonders Vorteilhaft erwiessen hat.

Netzwerkstruktur

Die Anforderungen an die Netzinfrastruktur sind gering. Zum Betrieb des Proxys wird ein alter Rechner (siehe Hardwareanforderungen in den Features), sowie ein Router mit Firewall-Funktion benötigt. Die Netzwerkstruktur ist in folgendem Bild dargestellt:

netzwerkstruktur

In diesem Netzwerk verteilen sich die Rollen auf Router und Proxy wie folgt:
- Proxy: Fileterung von Internetinhalten
- Proxy: Verwaltung von Zugriffsrechten verschiedener
              Nutzergruppen auf das Internet
- Router: DNS Auflösung für das Netzwerk
- Router: Ggf. Portweiterleitung für VPN, etc...

Wie verhindert man dass Nutzer direkt über den Router ins Internet gelangen?

Im Gegemsatz zu vielen kommerziel erhältlichen System ist der Openschoolproxy kein zwei Netzwerkkartensystem. Dahinter steckt die Philosophie lieber einzelne Systeme für die jeweiligen Aufgaben zu verwenden, als ein grosses System, dass alles zu vereinen versucht. Dadurch kombiniert man in diesem Falle die jahrelange Erfahrung der Routerhersteller in Sachen Portweiterleitung, VPN, DNS und anderen Features mit den Vorteilen eines speziell auf Schulen zugeschnitten Proxysystems.

Ein direkter Zugang zum Internet über den Router kann dabei von jedem Router verhindert werden, der eine Interne Firewall besitzt. Im Folgenden werden die dazu nötigen Einstellungen anhand eines D-Link Dir-300 Routers illustriert, der auf amazon zwischen 20 und 30 Euro zu haben ist. Das Prinzip ist aber für alle Router gleich.

Zwei Firewall Regeln sind ausreichend um die Nutzer zur Benutzung des Proxys zu zwingen. Die erste Regel erlaubt dem Proxyserver den Zugriff auf das Internet. Die dazugehörigen Einstellungen lauten:
Interface: LAN
Source-IP-Adress: xxx.xxx.xxx.xxx
Protocol: ALL
Action: ALLOW
Destination-Interface: WAN
Destination-IP-Adress: 1.1.1.1-223.255.255.255
wobei xxx.xxx.xxx.xxx, die IP-Adresse des Proxys bezeichnet.

Die zweite Regel verbietet allen anderen Rechnern im Netzwerk den direkten Zugriff auf das Internet:
Interface: LAN
Source-IP-Adress: 172.16.0.1-172.16.255.255
Protocol: All
Action: Deny
Destination-Interface: WAN
Destination-IP-Adress: 1.1.1.1-223.255.255.255
In dieser Regeln muss das 172.16. Netzwerk mit dem bei ihnen vorkommendem Netzwerk ersetzt werden.

Wenn noch Fragen offen sind, werden ihnen diese gerne im Forum beantwortet.
dlink dir 300
dlink dir 300