15
Umstruckturieren eines Schulungsraums
Habe am 25.11.09 meine Schriftliche Prüfung zum It-Systemelektroniker hinter mich gebracht, jetzt muss ich noch eine Projektarbeit erstellen.
Guten Tag,
mache mein Praktikum an der Fachhochschule Hof, und muss hier jetzt meine Projektarbeit erstellen.
Es liegt folgende Situation vor:
Ein Schulungsraum mit ca 30 Clients, 2 Dozentenrechner und ein Datenserver in den Raum direkt.
Bislang wurde ein Switch ( Netgear Smart switch gs748t ) in das Netzwerk intigriert, um den zugriff im Schulungsraum untereinander zu beschleunigen. Der Switch geht über GF weiter an das Rechenzentrum der FH Hof.
Ich muss nun eine Lösung finden wo der Dozent mit geringen aufwand den Studenten den Zugriff zum Internet blockieren kann. Jedoch müssen die Studenten weiterhin auf den Port XXXX( wie peinlich er ist mir gerade entfallen) zugreifen können um sich an der Domaine anmelden zu können. Jedoch soll der Port 3128 ( proxy fürs Internet ) sperrbar sein.
Varianten:
1.
Ich bin am überlegen legen auf den Server nochmal extra ein Proxy einzurichten den der Dezent einfach verwalten kann mit einen kleinen Script, wo der Port 3128 sperrbar ist. Ist dieses möglich ?
2. der Switch an sich hat noch viele einstellungen, nur beim ausprobieren und durch testen kann nicht das gewünschte Ergebniss raus. Auch wenn es über den Switch zu Managen wäre, ob es für den Dozent schnell und einfach ( vielleicht auch über ein Script ) einzustellen wäre.
Die Studenten hier gehen auch mit Notebooks in das netzwerk rein, So das irgendwelche Mac maßnahmen schonmal wegfallen. Und auch hat die FH-Hof viel mit Medien und It am Hut sodas die Studenten sich von einer leichten Sperre ( wie vielleicht in einer normalen Mittelschule eine Blockade ) nicht gleich geschlagen geben.
Habt ihr für mich vielleicht Tipps und Anregungen wie ich das Problem Lösen kann ?
Ich bin über alle Vorschläge und Tipps Äusserst dankbar!
Mfg Patrick
Edit: Fast vergessen Auf den Clients: Win XP und auf den Server: Win Server 2003
mache mein Praktikum an der Fachhochschule Hof, und muss hier jetzt meine Projektarbeit erstellen.
Es liegt folgende Situation vor:
Ein Schulungsraum mit ca 30 Clients, 2 Dozentenrechner und ein Datenserver in den Raum direkt.
Bislang wurde ein Switch ( Netgear Smart switch gs748t ) in das Netzwerk intigriert, um den zugriff im Schulungsraum untereinander zu beschleunigen. Der Switch geht über GF weiter an das Rechenzentrum der FH Hof.
Ich muss nun eine Lösung finden wo der Dozent mit geringen aufwand den Studenten den Zugriff zum Internet blockieren kann. Jedoch müssen die Studenten weiterhin auf den Port XXXX( wie peinlich er ist mir gerade entfallen) zugreifen können um sich an der Domaine anmelden zu können. Jedoch soll der Port 3128 ( proxy fürs Internet ) sperrbar sein.
Varianten:
1.
Ich bin am überlegen legen auf den Server nochmal extra ein Proxy einzurichten den der Dezent einfach verwalten kann mit einen kleinen Script, wo der Port 3128 sperrbar ist. Ist dieses möglich ?
2. der Switch an sich hat noch viele einstellungen, nur beim ausprobieren und durch testen kann nicht das gewünschte Ergebniss raus. Auch wenn es über den Switch zu Managen wäre, ob es für den Dozent schnell und einfach ( vielleicht auch über ein Script ) einzustellen wäre.
Die Studenten hier gehen auch mit Notebooks in das netzwerk rein, So das irgendwelche Mac maßnahmen schonmal wegfallen. Und auch hat die FH-Hof viel mit Medien und It am Hut sodas die Studenten sich von einer leichten Sperre ( wie vielleicht in einer normalen Mittelschule eine Blockade ) nicht gleich geschlagen geben.
Habt ihr für mich vielleicht Tipps und Anregungen wie ich das Problem Lösen kann ?
Ich bin über alle Vorschläge und Tipps Äusserst dankbar!
Mfg Patrick
Edit: Fast vergessen Auf den Clients: Win XP und auf den Server: Win Server 2003
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130631
Url: https://administrator.de/contentid/130631
Printed on: April 18, 2024 at 23:04 o'clock
15 Comments
Latest comment
Hi patrick-p,
ich würde das über eine Firewall mit webinterface lösen. Dort kannst du dann für den Dozenten einen Account einrichten mit dem er dann die entsprechenden Regeln ein und ausknipsen kann.
Das istso die Idee die mir jetzt auf die Schnelle in den Kopf kommt.
Gruß FISI2010
ich würde das über eine Firewall mit webinterface lösen. Dort kannst du dann für den Dozenten einen Account einrichten mit dem er dann die entsprechenden Regeln ein und ausknipsen kann.
Das istso die Idee die mir jetzt auf die Schnelle in den Kopf kommt.
Gruß FISI2010
Das ist eine Idee, also eine Software FW auf den Server schmeißen...
Aber wie bringe ich die Clients dazu das sie über die FW gehen ?
Immerhin hängen Clients+ Server am Switch und der Switch ist mit GF an der Stockwerkverteilung angeschlossen...
Mfg Patrick
Aber wie bringe ich die Clients dazu das sie über die FW gehen ?
Immerhin hängen Clients+ Server am Switch und der Switch ist mit GF an der Stockwerkverteilung angeschlossen...
Mfg Patrick
Wenn die Studis ihre privaten Notebooks nutzen fällt sämtliches clientseitige Management schon mal automatisch raus, weil nicht sichergestellt werden kann, dass der User der ein Script ausführt auf der jeweiligen Maschine auch die Rechte dazu hat. Desweiteren sind die Studenten auf ihren eigenen Rechnern in aller Regel auch Admin und somit in der Lage ihre Netzwerkkonfiguration selbst zu ändern.
Daraus folgt, dass dir ein einfacher Proxy den du ihnen im Schulungsraum gibst absolut nichts bringt. Es ist ja keiner daran gehindert im aktuellen Aufbau, dann trotzdem weiterhin über den alten Proxy der nicht gesperrt ist zu surfen.
Folglich sehe ich erstmal nur eine Lösung:
In dem Schulungsraum muss ein eigenes Netz mit eigenem Subnet aufgebaut werden. Das aber am besten nicht ohne vorher mit der RZ-Leitung zu reden. In diesem eigenen Netz installierst du einen Router zum Uni-LAN und darauf hast du dann vollen Zugriff um zeitweise Ports zu sperren oder auch nicht. Aus Kostengründen würde ich da einfach mal die üblichen Verdächtigen wie IPCop, Endian, Smoothwall, Monowall und wie sie alle heißen empfehlen. Bei einigen davon (bspw. IPCop) kannst du mit Modulen verschiedene Funktionalitäten wie etwa den Proxy nachrüsten.
Wenn du willst bist du (wahrscheinlich) auch nicht daran gehindert den 2003er mit einer weiteren Netzwerkkarte auszurüsten und ihn mittel Routing und RAS zum Router zu machen.
Manuel
Daraus folgt, dass dir ein einfacher Proxy den du ihnen im Schulungsraum gibst absolut nichts bringt. Es ist ja keiner daran gehindert im aktuellen Aufbau, dann trotzdem weiterhin über den alten Proxy der nicht gesperrt ist zu surfen.
Folglich sehe ich erstmal nur eine Lösung:
In dem Schulungsraum muss ein eigenes Netz mit eigenem Subnet aufgebaut werden. Das aber am besten nicht ohne vorher mit der RZ-Leitung zu reden. In diesem eigenen Netz installierst du einen Router zum Uni-LAN und darauf hast du dann vollen Zugriff um zeitweise Ports zu sperren oder auch nicht. Aus Kostengründen würde ich da einfach mal die üblichen Verdächtigen wie IPCop, Endian, Smoothwall, Monowall und wie sie alle heißen empfehlen. Bei einigen davon (bspw. IPCop) kannst du mit Modulen verschiedene Funktionalitäten wie etwa den Proxy nachrüsten.
Wenn du willst bist du (wahrscheinlich) auch nicht daran gehindert den 2003er mit einer weiteren Netzwerkkarte auszurüsten und ihn mittel Routing und RAS zum Router zu machen.
Manuel
Naja ich hatte da eigentlich eher an eine Hardwarefirewall gedacht wie bsp. PFSense die läuft eigentlich auf jeder Krücke.
Das hieße du hast 2 Netze, eines ist dein WAN also alles was vor der Firewall kommt und dann das Netz für den Schulungsraum selbst.
Dort könntest du halt deine netzangaben wie IP/DNS &consorten per DHCP verteilen und die FW als Gateway setzen.
Dann richtest du einen User für das Webinterface ein der Regel ein- und ausschalten darf. Inwiefern das bei der PFsense geht weiss ich nicht soweit hab ich das noch selber nicht getestet aber da wird es mit Sicherheit möglichkeiten geben.
Wie gesagt das wäre meine auf die schnelle ins Hirn geschossen ist.
Gruß FISI2010
Das hieße du hast 2 Netze, eines ist dein WAN also alles was vor der Firewall kommt und dann das Netz für den Schulungsraum selbst.
Dort könntest du halt deine netzangaben wie IP/DNS &consorten per DHCP verteilen und die FW als Gateway setzen.
Dann richtest du einen User für das Webinterface ein der Regel ein- und ausschalten darf. Inwiefern das bei der PFsense geht weiss ich nicht soweit hab ich das noch selber nicht getestet aber da wird es mit Sicherheit möglichkeiten geben.
Wie gesagt das wäre meine auf die schnelle ins Hirn geschossen ist.
Gruß FISI2010
Also es wird wie Folgt gemacht jetzt...
Der Server Bekommt eine Feste ip vom dhcp und die clients(schüler) werden über den rechnername bei Rechenzentrum im Proxy gesperrt. so das sie ins Intranet kommen aber nicht weiter.
Der Server bekommt ein Proxy-server und wird ein bzw. ausgeschaltet für Internet an/aus...
Jetzt ist nur noch die Frage ob der Proxy lieber auf ein Linux oder ein WIndows system laufen sollte ...
Sollte es linux sein würde ich ein VM machine aufsetzen die dann vom Dozenten nur hochgefahren oder Heruntergefahren wird, am ende auf seinne Dozenten Pc damit er nicht zwische Pc und Server switchen muss.
Was ist eure Meinung zu der Sache ?
mfg patrick
Der Server Bekommt eine Feste ip vom dhcp und die clients(schüler) werden über den rechnername bei Rechenzentrum im Proxy gesperrt. so das sie ins Intranet kommen aber nicht weiter.
Der Server bekommt ein Proxy-server und wird ein bzw. ausgeschaltet für Internet an/aus...
Jetzt ist nur noch die Frage ob der Proxy lieber auf ein Linux oder ein WIndows system laufen sollte ...
Sollte es linux sein würde ich ein VM machine aufsetzen die dann vom Dozenten nur hochgefahren oder Heruntergefahren wird, am ende auf seinne Dozenten Pc damit er nicht zwische Pc und Server switchen muss.
Was ist eure Meinung zu der Sache ?
mfg patrick
die clients(schüler) werden über den rechnername bei Rechenzentrum im Proxy gesperrt
Soll das dann eine Blacklist sein mit Hostnamen, die nicht ins INternet dürfen? Was passiert, wenn ich meinen Rechner umbenenne?
Ja blacklist, und die Studenten haben keine Admin rechte auf den Rechnern. Von daher Sollte das nicht vorkommen.
Sollten sie ihn dennoch ändern, kann er sich nicht mehr an der Domain anmelden und sie können mit den Pc garnichts mehr machen, weil der Lokal zugriff nur den Admins vorbehalten ist.
Sollten sie ihn dennoch ändern, kann er sich nicht mehr an der Domain anmelden und sie können mit den Pc garnichts mehr machen, weil der Lokal zugriff nur den Admins vorbehalten ist.
Wenn ich also mein privates Notebook anstelle des Uni-Notebooks anstöpsele komme ich ins Internet. Ist das so gewollt?
Ist auch nicht zu verhinden, im Gesamten Haus ist Wlan auf das die Studenten zugreifen können und ins Internet kommen.
Damit wird der ursprüngliche Ansatz für
Lösung finden wo der Dozent mit geringen aufwand den Studenten den Zugriff zum Internet blockieren kann
aber stark untergraben. Aber wenn der Prof damit zufrieden ist soll es mir egal sein. Ich wäre es nicht...
Ja das hatte ich anfangs vergessen zu erwähnen 
es geht ja auch nur darum das mehr Ruhe reinkommt. Das nie 100% aufmerksamkeit beim Dozenten ist, das sollte klar sein und ist auch nicht machbar...
Was für eine Plattform würdest du für den Proxy nun nutzen ? win 2003 server oder linux ?
Danke aber erstmal für deine Hilfe bis hier her!
es geht ja auch nur darum das mehr Ruhe reinkommt. Das nie 100% aufmerksamkeit beim Dozenten ist, das sollte klar sein und ist auch nicht machbar...
Was für eine Plattform würdest du für den Proxy nun nutzen ? win 2003 server oder linux ?
Danke aber erstmal für deine Hilfe bis hier her!
Angesichts der Tatsache, dass da eh schon ein WIndows-Server rumsteht (und wahrscheinlich längst nicht ausgelastet ist) würde ich den Proxy unter Windows aufsetzen. Jana wäre da vielleicht was. Der liese sich dann auch schön vom Rechner des Profs fernbedienen. Insgesamt bin ich von dem Konzept, erst recht weil es ja wohl eine Projektarbeit sein soll, nicht so ganz überzeugt.
Warum bist du davon nicht ganz überzeugt ?
Also dazu kommen dann noch aufgaben wie den Server aufzusetzen, switch ins netzwerk klemmen .. dort dann noch fix 3 neue Lüfter mit Lüfter steuerung reingelötet weil er zu laut war...
also bei mir haben andere in der Ausbildung wesentlich weniger ...
Also dazu kommen dann noch aufgaben wie den Server aufzusetzen, switch ins netzwerk klemmen .. dort dann noch fix 3 neue Lüfter mit Lüfter steuerung reingelötet weil er zu laut war...
also bei mir haben andere in der Ausbildung wesentlich weniger ...
Weil es einfach zu einfach ist die Sicherheitsmaßnahmen zu umgehen.
Das W-lan ist nunmal an der ganzen Fachhochschule. Es spielt auch keine Rolle ob die Studenten mit Laptop oder nicht kommen. Denn die mehrheit der Studenten nutzen die Pcs in den Raum, und auf die kommt es an.
Selbst wenn hier kein W-lan wäre besteht immer noch die Möglichkeit über Umts ins Internet zu gehen. Und das kann man weder verhindern , noch könnte man es steuern.
Aber in meiner Projektarbeit geht es nunmal nur um den Raum und die fest Installieren Rechner.
Man könnte ein Laptop Verbot bringen, nur an der Uni ???
Selbst wenn hier kein W-lan wäre besteht immer noch die Möglichkeit über Umts ins Internet zu gehen. Und das kann man weder verhindern , noch könnte man es steuern.
Aber in meiner Projektarbeit geht es nunmal nur um den Raum und die fest Installieren Rechner.
Man könnte ein Laptop Verbot bringen, nur an der Uni ???
