hallo
nachdem ich von meinen vorgesetzten aus dem ZID (zentralen informatikdienst) auf unserer uni mal eine ordentliche rechtsbelehrung bekommen hab und einiges an der ganzen rechtlichen misere nun auf meinen (unseren) rücken ausgetragen wird, brauch ich mal einige tips.
das netzwerk von dem ich rede sind ca 150 leute ein äusserst heterogenes netzwerk von win98 bis xp und einige tuxes und evtl mal ein mac oder zwei. mein problem ich brauch:
a) etwas das mir sauber mitlogged wer wann was macht (welche ip zu welcher zeit welchen scheiss anstellt)
b) kontrolle über bandwidth gschichtln gibt
c) einen wachhund der mir gewisse packete sperrt (so ala layer4-5 entschlüsselung sodass kinderkrankheiten wie peertopeer gleich gefiltert werden)
d) antivirus antispam "antialleswasichnichtwill"
und das eine oder andere was mir mom nicht einfällt
hoffentlich finden sich einige unter euch dir mir mal in ein paar brocken ihrer momentanen rundum glücklich version schildern können. damit man einen anhaltspunkt hat was mit wem gut bis sehr gut kann.
ich sträube mich noch das ganze aus der hand zu geben - da die firmen mit ihren wunderpacketen um anschaffungspreis 4000€ - unendlich€ einfach ein wenig auf die nerven gehn. es muss doch mit zwei vernünftig konfigurierten deb kisten auch gehn.
PS: tut mir leid das ich mit so einer genral question komme aber ich brauch einfach mal ein paar referenzen von packetkombinationen die mir meine probs mal ein wenig leichter machen.
general lan questions
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: general lan questions
Ein paar Anregungen, vorausgesetzt, alle Computer verbinden sich über einen Debian-Router ins Internet:hoerl hat geschrieben: a) etwas das mir sauber mitlogged wer wann was macht (welche ip zu welcher zeit welchen scheiss anstellt)
b) kontrolle über bandwidth gschichtln gibt
c) einen wachhund der mir gewisse packete sperrt (so ala layer4-5 entschlüsselung sodass kinderkrankheiten wie peertopeer gleich gefiltert werden)
d) antivirus antispam "antialleswasichnichtwill"
a) "iptables" ist hier Dein Freund, ein Packetfilter unter Linux. Damit kann man gezielt mitloggen, welche Ports/Dienste von welcher IP in Anspruch genommen werden. "Auswerttools" sollte es wie Sand am Meer geben.
b) Es gibt QoS (Quality of Service) unter Linux, die bekannten sind wohl CBQ und HTB. Damit kann man Pakete von IP-Adressen und/oder Dienste in "Regeln" stecken, die vorher definiert werden. Diese Regeln besagen, welche Bandbreite und Qualität Pakete dieser IP-Adresse und/oder Dienste zur Verfügung gestellt bekommen. Das funktioniert sehr gut, ist aber nicht trivial zu installieren. Howtos gibt es aber auch reichlich im Internet.
c) Wieder "iptables".
d) Ich habe einige Mailserver mit sendmail und spam-assassin in Kombination mit Pyzor, Razor, CDCC und RBL-Checking im Einsatz, die Spam-Erkennungsuote liegt je nach Kunde bei 90 bis 95%. sendmail ist auch nicht trivilal zu installieren, daher nehmen viele Leute mittlerweile exim oder postfix (wobei ich nicht weiss, ob es wirklich einfacher ist, ich habe selber bisher immer nur sendmail eingesetzt).
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
a) cbq und htb liest sich gut -- ein problem das ich dabei noch ein wenig habe -- es steht ein proxy auf der uni und nachdem der über eine grössere power verfügt als ich es zur verfügung stellen kann. wie ich das aber verstanden hab hängen cbq und htb irgendwie an einem proxy (ala squid) drann oder nicht ?
b) als email server verwend ich derzeit bereits postfix -- werd mir aber die alternative sendmail mal genauer unter die lupe nehmen. -- thx für die nette packetauswahl die du angegeben hast.
c)
#) kiste uno nach glasfaser rein - iptables und bandwithmanagement
#) kiste duo - nach uno - gesamten dienste angefangen von web - bis email - bis ftp - bis samba -blablabla
die frage is nur welche rechenleistung veranschlagt man für zwei solche kisten ?
der momentane 2ghz pent mit 512mb ram wird hoffentlich für die firewall reichen oder sollten da mehr rams rein ? kann da mal einer so eine auge mal pi angabe machen ?
d) eine sache die ich vergessen hab - als backupsystem was kann man da kostengünstigst verwenden? redundanter aufbau fällt leider aus da der brötchengeber jetzt schon mit den augen rollt - dann sollen die jungs mal ohne netz leben bis die ersatzteile gekauft sind. wie sicher ich jedoch zumindest meine letzten settings - mails und websites soweit, dass ich sie auf eine jungfräuliche debkiste wieder hinbring. (also die sache wär für die firma ein horror aber mir solls egal sein wenn das eine oder andere mail flöten geht - soll das notwendige geld lockermachen dann klapps auch mit magnetband)
hoffentlich hat mein gesülze irgendwer verstanden und bedanke mich im voraus für die weiteren hilfestellungen
b) als email server verwend ich derzeit bereits postfix -- werd mir aber die alternative sendmail mal genauer unter die lupe nehmen. -- thx für die nette packetauswahl die du angegeben hast.
c)
#) kiste uno nach glasfaser rein - iptables und bandwithmanagement
#) kiste duo - nach uno - gesamten dienste angefangen von web - bis email - bis ftp - bis samba -blablabla
die frage is nur welche rechenleistung veranschlagt man für zwei solche kisten ?
der momentane 2ghz pent mit 512mb ram wird hoffentlich für die firewall reichen oder sollten da mehr rams rein ? kann da mal einer so eine auge mal pi angabe machen ?
d) eine sache die ich vergessen hab - als backupsystem was kann man da kostengünstigst verwenden? redundanter aufbau fällt leider aus da der brötchengeber jetzt schon mit den augen rollt - dann sollen die jungs mal ohne netz leben bis die ersatzteile gekauft sind. wie sicher ich jedoch zumindest meine letzten settings - mails und websites soweit, dass ich sie auf eine jungfräuliche debkiste wieder hinbring. (also die sache wär für die firma ein horror aber mir solls egal sein wenn das eine oder andere mail flöten geht - soll das notwendige geld lockermachen dann klapps auch mit magnetband)
hoffentlich hat mein gesülze irgendwer verstanden und bedanke mich im voraus für die weiteren hilfestellungen
also ich würde nen dicken server nehmen vorallem viel ram
iptables rauf erstmal alles sperren...
dann squid rauf..... alle ftp http https anfragen auf den proxy redirecten... dann geht schonmal surfen...... dann noch nen mail server dahinter und nur dieser darf mails abholen....und an die user weiter reichen......
mit squidguard kann man recht leicht regeln für squid erstellen so das seiten herraus gefiltert werden.... und auch nur anzeichen von p2p im kein zu ersticken
einfach alle bekannten seiten sperren wo man zum beispiel an torrent files ran kommt... einzig kazaa könnte sorgen bereiten ich weiß leider nicht wie squid auf die daten reagiert....
an sich noch nen rechtlicher typ.... da du mit dem schritt in die privatsphäre des users eingreifts mach dich schlau was in den arbeitsverträgen von wegen privater internet nutzung steht... sie sollte ausdrücklich verboten sein... ansonsten wird das recht schwierig.... wenn du in ner uni arbeitest dann quatsch dich mit dem datenschutzbeauftragten und eventl mit dem betriebsrat.... es währe nett wenn du mir die ergebnisse mal zu kommen lässt eventl muss ich bei so einer aktion auch mit machen und das auch an er uni nur damit ich shcon mal weiß was geht und was nicht....
iptables rauf erstmal alles sperren...
dann squid rauf..... alle ftp http https anfragen auf den proxy redirecten... dann geht schonmal surfen...... dann noch nen mail server dahinter und nur dieser darf mails abholen....und an die user weiter reichen......
mit squidguard kann man recht leicht regeln für squid erstellen so das seiten herraus gefiltert werden.... und auch nur anzeichen von p2p im kein zu ersticken
einfach alle bekannten seiten sperren wo man zum beispiel an torrent files ran kommt... einzig kazaa könnte sorgen bereiten ich weiß leider nicht wie squid auf die daten reagiert....
an sich noch nen rechtlicher typ.... da du mit dem schritt in die privatsphäre des users eingreifts mach dich schlau was in den arbeitsverträgen von wegen privater internet nutzung steht... sie sollte ausdrücklich verboten sein... ansonsten wird das recht schwierig.... wenn du in ner uni arbeitest dann quatsch dich mit dem datenschutzbeauftragten und eventl mit dem betriebsrat.... es währe nett wenn du mir die ergebnisse mal zu kommen lässt eventl muss ich bei so einer aktion auch mit machen und das auch an er uni nur damit ich shcon mal weiß was geht und was nicht....
tjo also alles auf nen einzig fetten server würdest du machen - mal gucken
da muss ich mich mal mit den anderen zusammenreden - aber mir persönlich scheint es sympathischer wenn diese kiste mit iptables und trafficshaping physisch getrennt vor mir steht (rein psycologischer trick - du bist mein kleiner lebensretter *gg)
werd mich am 11 okt mal mit den adminkollegen zusammenhocken zuzüglich dem rechtsbeistand des vertrauns - hoffentlich kommt da etwas heraus.
soweit ich mom informiert bin ist es in österreich erlaubt diverse doch beträchtliche loggings zu machen solange diese automatisiert erfolgen. einsicht darf dort seitens dritter nur mit richterlichen beschluss gemacht werden. wenn sie dich erwischen das du zb deine angebetete oder unfreund überwachst dann schauts sowieso sehr bitter für dich aus. aber mehr in einem neuen topic "rechtsbelehrung" oder so ähnlich zu einem späteren zeitpunkt.
strafgesetzbuch
datenschutzgesetz - urherberrechte
einige freunde der nächsten zukunft -- ps also wenn ich etwas auf der welt ungeschehen machen könnte dann wär das der berufstand der rechtsanwaltschaft -- 10 gebote reichen doch (und diese mit kolt und säbel durchgesetzt) ....
da muss ich mich mal mit den anderen zusammenreden - aber mir persönlich scheint es sympathischer wenn diese kiste mit iptables und trafficshaping physisch getrennt vor mir steht (rein psycologischer trick - du bist mein kleiner lebensretter *gg)
werd mich am 11 okt mal mit den adminkollegen zusammenhocken zuzüglich dem rechtsbeistand des vertrauns - hoffentlich kommt da etwas heraus.
soweit ich mom informiert bin ist es in österreich erlaubt diverse doch beträchtliche loggings zu machen solange diese automatisiert erfolgen. einsicht darf dort seitens dritter nur mit richterlichen beschluss gemacht werden. wenn sie dich erwischen das du zb deine angebetete oder unfreund überwachst dann schauts sowieso sehr bitter für dich aus. aber mehr in einem neuen topic "rechtsbelehrung" oder so ähnlich zu einem späteren zeitpunkt.
strafgesetzbuch
datenschutzgesetz - urherberrechte
einige freunde der nächsten zukunft -- ps also wenn ich etwas auf der welt ungeschehen machen könnte dann wär das der berufstand der rechtsanwaltschaft -- 10 gebote reichen doch (und diese mit kolt und säbel durchgesetzt) ....
Hi!
Bye
g-henna
PS. Tut mir leid, sag mir Bescheid, falls mein Ironiedetektor kaputt ist... *grin*
Genau. "Du sollst nicht Ehebrechen." Gibt Länder, die wollen das wirklich... und das ist *nicht* lustig...hoerl hat geschrieben:ps also wenn ich etwas auf der welt ungeschehen machen könnte dann wär das der berufstand der rechtsanwaltschaft -- 10 gebote reichen doch (und diese mit kolt und säbel durchgesetzt) ....
Bye
g-henna
PS. Tut mir leid, sag mir Bescheid, falls mein Ironiedetektor kaputt ist... *grin*
follow the penguin...