Inventator 10 Geschrieben 29. März 2006 Melden Teilen Geschrieben 29. März 2006 Hi, ich möchte demnächst einen Proxy-Server aufsetzen auf dem ein Webfilter für ca. 20 Außenstellen läuft. Als Software soll der ProventiaWebfilter dienen. Einige Außenstellen haben einen eigenen 2003 Server wo der Proxy per Policy verteilt werden könne, andere haben diesen nicht. Dort würde ich im Router gerne direkt eine feste Route eintragen, so dass jede http Anfrage auf den Webfilter geht. Welche Router sind dafür geeignet und was kostet so ein Gerät? Mit den einfachen 50€ SMC/Netgear etc. Geräten geht dies leider nicht. Zusätzlich: Es werden dann ca. 800-1000 Clients, Tendenz steigend, über den Server ins Netz gehen, nicht permanent, aber es wäre theoretisch möglich. Welche Hardware benötige ich für sowas? Außer massig RAM ;) Danke :) Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 29. März 2006 Melden Teilen Geschrieben 29. März 2006 Hallo, Einige Außenstellen haben einen eigenen 2003 Server wo der Proxy per Policy verteilt werden könne, andere haben diesen nicht. Dort würde ich im Router gerne direkt eine feste Route eintragen, so dass jede http Anfrage auf den Webfilter geht.Policy Based Routing geht z.B. mit der Zywall-Serie von Zyxel beginnend mit der Zywall 5 ab 400 EUR.Problem dabei: angenommen, Du routest nur den Verkehr auf den Proxy, wo der Ziel-Port gleich 80 oder 443 ist, dann werden Anfragen, wo die Seite nicht auf den Standardports liegt, nicht an den Proxy geroutet. Des Weiteren müsste der Proxy (zumindest auch) als transparenter Proxy laufen. Mit dem ISA ist dies kein Problem. Mit dem Squid (der m.W. von der Standalone-Version des Proventia Webfilters benutzt wird) gehts wohl nur unter Linux. Beachte zudem, dass m.W. keine Benutzerauthentifizierung am transparenten Proxy möglich ist, es sei denn, man setzt den ISA zusammen mit dem Firewallclient ein. Ist es denn wirklich so aufwendig, dass auch an den "Kleinst-Standorten" der Proxyeintrag gesetzt wird (entweder per Skript oder halt vom User selbst)? Zumindest an größere Standorte würde ich zudem einen "lokalen" Proxy stellen, welcher den Webfilter-Proxy als Upstream-Proxy benutzt. Gruß Steffen Zitieren Link zu diesem Kommentar
Inventator 10 Geschrieben 29. März 2006 Autor Melden Teilen Geschrieben 29. März 2006 Bisher ist das alles nur so eine Idee für ein Abschlussprojekt. Bei den Außenstellen handelt es sich um Schulen, die Real, Gesamt & Gymnasien haben einen Server mit 2003 wo man einfach dann halt per Policy das festlegt, aber die kleinen Grundschulen haben keine Server. Den Proxy kann dann jeder 4. Klässler ausschalten, ist nicht Sinn un Zweck. Für 20 Schulen haben wir derzeit Lizenzen, wenn man das auf eine Lizenz nun runterfahren kann mit einem zentralen Server wären die Kosten natürlich schnell wieder drin... Aber Danke schon mal. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 29. März 2006 Melden Teilen Geschrieben 29. März 2006 Sollte es nicht genügen, den Proxy auf den entsprechenden Routern als Default Gateway einzutragen ? Der Proxy müsste dann vermutlich als transparanter Proxy konfiguriert sein. -Zahni Zitieren Link zu diesem Kommentar
Inventator 10 Geschrieben 30. März 2006 Autor Melden Teilen Geschrieben 30. März 2006 Sollte es nicht genügen, den Proxy auf den entsprechenden Routern als Default Gateway einzutragen ? Der Proxy müsste dann vermutlich als transparanter Proxy konfiguriert sein. -Zahni Default Gateway =! ProxyServer... Hab schon mal versucht einen Proxy per DHCP bzw. als Standard-Gateway zu verteilen, geht nicht. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 Guten Morgen, Default Gateway =! ProxyServer... Hab schon mal versucht einen Proxy per DHCP bzw. als Standard-Gateway zu verteilen, geht nicht. Deshalb: Der Proxy müsste ... als transparanter Proxy konfiguriert sein. Des Weiteren müsste der Proxy (zumindest auch) als transparenter Proxy laufen. ;) Bei den Außenstellen handelt es sich um Schulen, die Real, Gesamt & Gymnasien haben einen Server mit 2003 wo man einfach dann halt per Policy das festlegt, aber die kleinen Grundschulen haben keine Server. Den Proxy kann dann jeder 4. Klässler ausschalten, ist nicht Sinn un Zweck.Bei einem Viertklässler sehe ich die Gefahr als nicht allzu groß. Da halte ich es schon für wahrscheinlicher, dass z.B. ein Gymnasiast versucht, mit einem alternativen Browser unter Umgehung des Contentfilter-Proxys zu surfen. Letztlich musst Du also ohnhin per Firewallregelwerk dafür sorgen, dass von Clients aus nicht direkt ins Internet zugegriffen werden darf. Wenn Du das sichergestellt hast, ist es doch egal, ob ein Schüler den Proxyeintrag entfernt - es nützt ihm nichts. Für 20 Schulen haben wir derzeit Lizenzen, wenn man das auf eine Lizenz nun runterfahren kann mit einem zentralen Server wären die Kosten natürlich schnell wieder drin...Ich schätze mal, es handelt sich um das Produkt von Time for Kids, oder? Deren Lizenzmodell sieht eigentlich eine schulweise Lizensierung vor. Es wäre also nicht legal, nur eine unlimitierte Schulversion zu kaufen und darüber alle Schulen zu schützen. :suspect: Bestimmt gibt es auf Nachfrage aber auch eine Schulträger-Version. Ob die dann allerdings wesentlich preisgünstiger ist, als die Abnahme mehrerer Schullizenzen, wage ich zu bezweifeln. Trotzdem wäre ein zentraler Ansatz wünschenswert, weil damit der Administrationsaufwand deutlich sinkt. Ich sage das aus eigener leidvoller Erfahrung, da ich (u.a.) ebenfalls knapp 20 Schulen betreue. Leider ist es mir dort aus verschiedene Gründen nicht möglich, einen zentralen Ansatz zu fahren. Ein Grund ist, dass die Anbindung an die Zentrale (über Site-to-Site-VPN) zu schmalbandig ist (insbesondere die Internetanbindung unserer "Zentrale" ist dafür zu unterdimensioniert). Bandbreite und Zuverlässigkeit der Anbindung an die Zentrale sind in meinen Augen ein wichtiges Kriterium für dieses Vorhaben. Die ausreichende Dimensionierung des zentralen Servers dürfte weniger ein Problem sein. Wie sind denn die Schulen an die Zentrale angebunden? Gemietete Festverbindungen, eigene Leitungen, RAS, VPN? Wie sind die Bandbreiten? Gruß Steffen Zitieren Link zu diesem Kommentar
Inventator 10 Geschrieben 30. März 2006 Autor Melden Teilen Geschrieben 30. März 2006 1Mbit DSL sind die Anschlüsse in den Schulen. Software ist die Proventia Webfilter, ehermals OrangeBox. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 30. März 2006 Melden Teilen Geschrieben 30. März 2006 1Mbit DSL sind die Anschlüsse in den Schulen.Und wo soll der zentrale Proxy-Server stehen und wie ist dieser ans Internet und an die Schulen angebunden?Die Internetanbindung des zentralen Proxys müsste bei Deiner prognostizierten Userzahl schon "etwas dicker" sein. Des Weiteren müssten die Schulen auf diesen Server gesichert zugreifen können (z.B. per VPN). Auf keinen Fall sollte man einen Proxy (unauthentifiziert) über das Internet verfügbar machen. Das lädt zum Mißbrauch geradezu ein. Über einen HTTPS-Proxy kann man - wenn er dafür anfällig ist - sogar Mails versenden! Gruß Steffen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.