---

Jeg har nu søgt mig blå i hovedet uden noget større resultat.
Problemstillingen er noget i denne stil:

NT-domæne (skole) med mange brugere.
Ved eksamener o.lign. skal det ikke være muligt for eksaminander at komme
forbi routeren ud til internettet, men de skal have fuld adgang til alle
interne ressourcer. Dvs. at browser og TCP/IP skal være tilgængelig.
Samtidig skal lærere og elever der ikke er til eksamen kunne benytte
internet som normalt.
- største problem er at budget-kontoen var tom efter første tonerindkøb
medio januar, så jeg formoder jeg er på udkig efter noget Linux-baseret
Freeware der kan køre på en udtjent P133/48MB RAM, 3Com 509B NICs ad
libitum - eller har nogen alternative ideer til hvordan det kan gøres?
Kendskabet til Linux her på stedet er yderst sparsom.
Alle ideer/links modtages med glæde
\\\Anders

---

Den Tue, 12 Jun 2001 16:09:14 +0200 skrev Anders D.:
>Jeg har nu søgt mig blå i hovedet uden noget større resultat.
>Problemstillingen er noget i denne stil:
>
>NT-domæne (skole) med mange brugere.
>Ved eksamener o.lign. skal det ikke være muligt for eksaminander at komme
>forbi routeren ud til internettet, men de skal have fuld adgang til alle
>interne ressourcer. Dvs. at browser og TCP/IP skal være tilgængelig.
>Samtidig skal lærere og elever der ikke er til eksamen kunne benytte
>internet som normalt.
>- største problem er at budget-kontoen var tom efter første tonerindkøb
>medio januar, så jeg formoder jeg er på udkig efter noget Linux-baseret
>Freeware der kan køre på en udtjent P133/48MB RAM, 3Com 509B NICs ad
>libitum - eller har nogen alternative ideer til hvordan det kan gøres?
>Kendskabet til Linux her på stedet er yderst sparsom.
>Alle ideer/links modtages med glæde

Hvis det skal være sikkert, skal selve eksaminationslokalet flyttes
over på et andet subnet, og linux-maskinen skal placeres som firewall
imellem disse to net. Derefter lukker i bare for udgående connections
undtagen dem der er tilladt (de interne servere der skal være adgang
til). Lad være med at åbne indadgående, ellers behøver man blot have
en hjælper udenfor, der starter forbindelsen.

Hvis i har en proxy-server, så lad være med at åbne for den.

I skal være opmærksom på at løsningen med at flytte maskiner over på
et andet subnet _kan_ give problemer med windows-maskiner, da disse
tror at de kan finde alt vha. broadcasts. Dette kan løses fx. ved
at lægge en lmhosts fil på de maskiner der skal ind bag firewall'en.
(Når i ikke har meget kendskab til Linux, vil jeg ikke anbefale en
kombination af firewall/bridge).

Da det er en eksamenssituation, vil jeg nok anbefale at holde jeg til
en 2.2.17-kerne, selvom den er lidt sværere at konfigurere firewall-
mæssigt end de nye 2.4.* - 2.2.17 er nemlig ultra-stabil, og selvom
2.4.5 er rimelig stabil, er det ikke smart hvis der skulle gå kage
i det lige præcis under en vigtig eksamen.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

Kent Friis wrote:

[...]

Enig.

> Da det er en eksamenssituation, vil jeg nok anbefale at holde jeg til
> en 2.2.17-kerne, selvom den er lidt sværere at konfigurere firewall-
> mæssigt end de nye 2.4.* - 2.2.17 er nemlig ultra-stabil, og selvom
> 2.4.5 er rimelig stabil, er det ikke smart hvis der skulle gå kage
> i det lige præcis under en vigtig eksamen.

FreeBSD-4.3 stable med ipfilter - utrolig nem at konfigurere. Er ipchains
(er det ipchains man bruger på 2.2-kernerne) statefull?

--
Ole Michaelsen
Copenhagen, Denmark

---

Den Tue, 12 Jun 2001 16:16:49 GMT skrev Ole Michaelsen:
>Kent Friis wrote:
>
>[...]
>
>Enig.
>
>> Da det er en eksamenssituation, vil jeg nok anbefale at holde jeg til
>> en 2.2.17-kerne, selvom den er lidt sværere at konfigurere firewall-
>> mæssigt end de nye 2.4.* - 2.2.17 er nemlig ultra-stabil, og selvom
>> 2.4.5 er rimelig stabil, er det ikke smart hvis der skulle gå kage
>> i det lige præcis under en vigtig eksamen.
>
>FreeBSD-4.3 stable med ipfilter - utrolig nem at konfigurere. Er ipchains
>(er det ipchains man bruger på 2.2-kernerne) statefull?

ipchains (linux-2.2) er ikke, iptables (2.4) er.

Jeg har ikke nok kendskab til FreeBSD til at anbefale det.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

kfr@fleggaard.dk (Kent Friis) wrote:

>Da det er en eksamenssituation, vil jeg nok anbefale at holde jeg til
>en 2.2.17-kerne, selvom den er lidt sværere at konfigurere firewall-
>mæssigt end de nye 2.4.* - 2.2.17 er nemlig ultra-stabil, og selvom
>2.4.5 er rimelig stabil, er det ikke smart hvis der skulle gå kage
>i det lige præcis under en vigtig eksamen.

Du mener vel 2.2.19, som er den seneste 2.2-udgave?

Bortset fra det ville er det mit indtryk at 2.4-kernerne
efterhånden er ganske stabile - og iptables er meget bedre end
ipchains til at lave firewallfunktionalitet med.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Den Tue, 12 Jun 2001 22:55:25 +0200 skrev Jesper Dybdal:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>Da det er en eksamenssituation, vil jeg nok anbefale at holde jeg til
>>en 2.2.17-kerne, selvom den er lidt sværere at konfigurere firewall-
>>mæssigt end de nye 2.4.* - 2.2.17 er nemlig ultra-stabil, og selvom
>>2.4.5 er rimelig stabil, er det ikke smart hvis der skulle gå kage
>>i det lige præcis under en vigtig eksamen.
>
>Du mener vel 2.2.19, som er den seneste 2.2-udgave?

Nope, den er ikke på min liste over "godkendte kerner".

Den indeholder kun 2.2.7, 2.2.13 og 2.2.17

>Bortset fra det ville er det mit indtryk at 2.4-kernerne
>efterhånden er ganske stabile - og iptables er meget bedre end
>ipchains til at lave firewallfunktionalitet med.

Jeg har nogle lidt andre krav til stabilitet end de fleste andre (bemærk
at jeg skrev: "ultra-stabil") - Jeg har endnu ikke haft nogle 2.4
kerner der er crashet, 2.4.5 er i testfasen, men IKKE godkendt (og
bliver det heller ikke - vi får se når 2.4.6 kommer).

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

kfr@fleggaard.dk (Kent Friis) wrote:

>Den Tue, 12 Jun 2001 22:55:25 +0200 skrev Jesper Dybdal:
>>kfr@fleggaard.dk (Kent Friis) wrote:
>>
>>Du mener vel 2.2.19, som er den seneste 2.2-udgave?
>
>Nope, den er ikke på min liste over "godkendte kerner".
>
>Den indeholder kun 2.2.7, 2.2.13 og 2.2.17

Kender du til konkrete problemer med fx 2.2.19? Eller indeholder
den bare ikke rettelser som du finder vigtige?

Jeg skal gerne indrømme at jeg er doven: jeg opgraderer
Linux-kerner temmelig rutinemæssigt et par uger efter at de er
udkommet uden at gide sætte mig ind i hvad ændringerne egentlig
er.

>>Bortset fra det ville er det mit indtryk at 2.4-kernerne
>>efterhånden er ganske stabile - og iptables er meget bedre end
>>ipchains til at lave firewallfunktionalitet med.
>
>Jeg har nogle lidt andre krav til stabilitet end de fleste andre (bemærk
>at jeg skrev: "ultra-stabil") - Jeg har endnu ikke haft nogle 2.4
>kerner der er crashet, 2.4.5 er i testfasen, men IKKE godkendt (og
>bliver det heller ikke - vi får se når 2.4.6 kommer).

Er der noget galt med 2.4.5 (udover måske at den ikke har bevist
sin pålidelighed i en længere periode)?

Ultra-stabilitet af mine Linuxer er ikke vigtig (men der må helst
ikke være sikkerhedsfejl). Jeg har dog aldrig været ude for at
en 2.4.*-kerne gik ned, bortset fra nogle 2.4.0testNN-kerner hvor
paging tilsyneladende slet ikke virkede.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Den Thu, 14 Jun 2001 23:12:59 +0200 skrev Jesper Dybdal:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>Den Tue, 12 Jun 2001 22:55:25 +0200 skrev Jesper Dybdal:
>>>kfr@fleggaard.dk (Kent Friis) wrote:
>>>
>>>Du mener vel 2.2.19, som er den seneste 2.2-udgave?
>>
>>Nope, den er ikke på min liste over "godkendte kerner".
>>
>>Den indeholder kun 2.2.7, 2.2.13 og 2.2.17
>
>Kender du til konkrete problemer med fx 2.2.19? Eller indeholder
>den bare ikke rettelser som du finder vigtige?

Der har været nævnt noget om et problem med NFS, men jeg ved ikke
hvor alvorligt det er.

>Jeg skal gerne indrømme at jeg er doven: jeg opgraderer
>Linux-kerner temmelig rutinemæssigt et par uger efter at de er
>udkommet uden at gide sætte mig ind i hvad ændringerne egentlig
>er.
>
>>>Bortset fra det ville er det mit indtryk at 2.4-kernerne
>>>efterhånden er ganske stabile - og iptables er meget bedre end
>>>ipchains til at lave firewallfunktionalitet med.
>>
>>Jeg har nogle lidt andre krav til stabilitet end de fleste andre (bemærk
>>at jeg skrev: "ultra-stabil") - Jeg har endnu ikke haft nogle 2.4
>>kerner der er crashet, 2.4.5 er i testfasen, men IKKE godkendt (og
>>bliver det heller ikke - vi får se når 2.4.6 kommer).
>
>Er der noget galt med 2.4.5 (udover måske at den ikke har bevist
>sin pålidelighed i en længere periode)?

Der snakkes stadig om problemer med at der ikke bliver ryddet op i
swappen, og det er forsøgt rettet i 2.4.6-pre*

>Ultra-stabilitet af mine Linuxer er ikke vigtig (men der må helst
>ikke være sikkerhedsfejl). Jeg har dog aldrig været ude for at
>en 2.4.*-kerne gik ned, bortset fra nogle 2.4.0testNN-kerner hvor
>paging tilsyneladende slet ikke virkede.

Det har jeg heller ikke. Men der har været et par stykker jeg har
været nervøs for at køre (file-system eating bug)...

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

Hvad med bare et separat net, hvor i hiver stikket ud
til det andet net når der skal eksamineres?

=P hehehe dumt men bare en tanke =)

Ellers to net og en lille firewall =) To net er ikke engang
nødvendigt, det kan være samme net - men en firewall
regel der forbyder outgoing for en bestemt IP range...

=)

--
-
Lars
Husk: Hvis du vil maile mig, er der ingen virkelighed i min mail!
http://coder.dk/sohofaq.php - Uofficiel WOL SOHO 77 FAQ

---

> Hvad med bare et separat net, hvor i hiver stikket ud
> til det andet net når der skal eksamineres?
>
> =P hehehe dumt men bare en tanke =)

Nu vil vi helst undgå at trække alt for mange kabler over det hele... Og
alle skal stadig have adgang til alle lokale ressourcer - printere,
ordbøger, you name it... Hov, en detalje mere - eksaminander skal ikke have
nogen mulighed for at dele filer, men det er arrangeret på domænet.

> Ellers to net og en lille firewall =) To net er ikke engang
> nødvendigt, det kan være samme net - men en firewall
> regel der forbyder outgoing for en bestemt IP range...

Så ville al den energi jeg lige har brugt på at gå fra statisk adressering
til DHCP være en dél spildt


\\\Anders

---

"Anders" <mysecretpostbox@yahoo.com> writes:

> ordbøger, you name it... Hov, en detalje mere - eksaminander skal ikke have
> nogen mulighed for at dele filer, men det er arrangeret på domænet.

Hvordan? Det lyder da interessant?

- Jacob

---

"Jacob Atzen" <jacob_a@NOSPAMos.dk> skrev i en meddelelse >
> Hvordan? Det lyder da interessant?
>
> - Jacob

med alm NT permissions... Så jeg havde håbet på at nogen kunne pege mig i
retning af et-eller-andet der kan hente en brugerliste fra domænet, hvor man
så når eksamen starter fjerner fluebenet under "ud af huset-forbindelse" for
eksaminand-brugeren.... hmmmm... det lyder for godt til at være muligt

---

"Anders" <mysecretpostbox@yahoo.com> wrote
>
> med alm NT permissions... Så jeg havde håbet på at nogen kunne pege mig i
> retning af et-eller-andet der kan hente en brugerliste fra domænet, hvor man
> så når eksamen starter fjerner fluebenet under "ud af huset-forbindelse" for

Det nærmeste man kommer det du ønsker er
så vidt jeg kan se en MS Proxy server mellem
brugerne og snetrouteren.

Ole Thomsen

---

"Ole Thomsen" <ot@networks.dk> wrote
>
> Det nærmeste man kommer det du ønsker er
> så vidt jeg kan se en MS Proxy server mellem
> brugerne og snetrouteren.

I relation til det hardwaresetup du nævnte,
P133/48MB, kan jeg fortælle at vi indtil for
ganske nyligt kørte MS Proxy for små 1000
brugere på en 90MHz Pentium kasse.
Festen sluttede da vi installerede en Trend
Micro filterfætter, nu bruger vi en 800MHz
maskine på at opnå stort set samme performance.

Ole Thomsen

---

"Ole Thomsen" <ot@networks.dk> skrev i en meddelelse
news:3b2673ea@news.ehs.dk...
> "Ole Thomsen" <ot@networks.dk> wrote
> >
> > Det nærmeste man kommer det du ønsker er
> > så vidt jeg kan se en MS Proxy server mellem
> > brugerne og snetrouteren.
>
> I relation til det hardwaresetup du nævnte,
> P133/48MB, kan jeg fortælle at vi indtil for
> ganske nyligt kørte MS Proxy for små 1000
> brugere på en 90MHz Pentium kasse.
> Festen sluttede da vi installerede en Trend
> Micro filterfætter, nu bruger vi en 800MHz
> maskine på at opnå stort set samme performance.
>
> Ole Thomsen
>

Ja, hvis pengene var til det stod her nok en ISA server snart - men
budgettet holder ikke helt til den slags anskaffelser, selv EDU Proxy Server
2.0 er dyr

\\\Anders

---

On Tue, 12 Jun 2001 22:44:20 +0200, "Anders"
<mysecretpostbox@yahoo.com> wrote:

>Ja, hvis pengene var til det stod her nok en ISA server snart - men
>budgettet holder ikke helt til den slags anskaffelser, selv EDU Proxy Server
>2.0 er dyr


Retail på en ISAServer er 15k så i får den vel for en 1/3.

Så vidt jeg forstår MS licens regler [1] kan du bestille et trial kit
som du kan benyte til alle formål i 90 dage, så er den eksamen ting
vel overstået

Du skal ikke regne med at få ISA til at trille på den box du nævnte.

[1] Da ingen kan forstå dem bør du nok dobbelkontrollere det.

---

"Anders" <mysecretpostbox@yahoo.com> wrote
>
> budgettet holder ikke helt til den slags anskaffelser, selv EDU Proxy Server
> 2.0 er dyr

Under 1000kr på Select, SVJH.

Ole Thomsen

---

Hej "Ole Thomsen" <ot@networks.dk>

>I relation til det hardwaresetup du nævnte,
>P133/48MB, kan jeg fortælle at vi indtil for
>ganske nyligt kørte MS Proxy for små 1000
>brugere på en 90MHz Pentium kasse.

Ja, det er ikke så voldsomt krævende. Men for ringe disk i/o
kombineret med en for aggressiv caching-politik kan gøre ondt.

Taler vi 1000 mulige eller samtidige? Hvis jeg kigger på vores stats,
så ligger vi på ~ 1/10 ratio, men det afhænger i stor grad af hvilken
type brugere man har.

Vi kørte det i lang tid på en 200MHz fidus med 128MB RAM, det
fungerede næsten acceptabelt, selv med noget McAfee filtersjov
installeret.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <larskim@mail.com> wrote
>
> Taler vi 1000 mulige eller samtidige? Hvis jeg kigger på vores stats,
> så ligger vi på ~ 1/10 ratio, men det afhænger i stor grad af hvilken
> type brugere man har.

1000 mulige, som hos dig 10% samtidige i snit.
Dog en del flere i middagspauser o.l.

Ole Thomsen

---

Hej "Anders" <mysecretpostbox@yahoo.com>

[ingen fildeling]
>> Hvordan? Det lyder da interessant?
>med alm NT permissions...

På filserveren? Jovist, men det forhindrer dem jo ikke i at dele filer
i peer-to-peer netværk.

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse
news:u41dit8nnc5b9912tt1gjcd6gnsppug4dq@news.tele.dk...
> Hej "Anders" <mysecretpostbox@yahoo.com>
>
> [ingen fildeling]
> >> Hvordan? Det lyder da interessant?
> >med alm NT permissions...
>
> På filserveren? Jovist, men det forhindrer dem jo ikke i at dele filer
> i peer-to-peer netværk.
>
> --
> Lars Kim Lund
> http://www.net-faq.dk/

Nu er vi da vidst på vej til system.MS-etellerandet. Men alle klienter har
fildeling installeret og henter adgangsliste fra serveren, og ændringer i
Fil- og Udskriftsdeling er disabled vha. poledit for alle brugere... Næppe
skudsikkert, men forhåbentligt nok til at alle vil vide at de er på vej til
tugthuset hvis de prøver at dele filer.

Anders

---

Hej "Anders" <mysecretpostbox@yahoo.com>

>Nu er vi da vidst på vej til system.MS-etellerandet. Men alle klienter har
>fildeling installeret og henter adgangsliste fra serveren, og ændringer i
>Fil- og Udskriftsdeling er disabled vha. poledit for alle brugere... Næppe
>skudsikkert, men forhåbentligt nok til at alle vil vide at de er på vej til
>tugthuset hvis de prøver at dele filer.

Ah, jeg troede det var tilladt at have sin egen computer med. Det er
det på nogle skoler (har jeg hørt).

--
Lars Kim Lund
http://www.net-faq.dk/

---

"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse >
> Ah, jeg troede det var tilladt at have sin egen computer med. Det er
> det på nogle skoler (har jeg hørt).
>
Jo, det er rigtigt nok, men de skal så selv medbringe hvad de ønsker af
elektroniske ordbøger o.lign., smat deres egen printer - det ville dog være
et helvede at skulle have dem på nettet...

Anders

---

Hej "Anders" <mysecretpostbox@yahoo.com>

>Jo, det er rigtigt nok, men de skal så selv medbringe hvad de ønsker af
>elektroniske ordbøger o.lign., smat deres egen printer - det ville dog være
>et helvede at skulle have dem på nettet...

Det er jo min pointe. Hvis folk har deres egne maskiner med, og I
tillader dem at komme på (Inter)nettet så er per-port filtrering, det
eneste der kan forhindre dem i at dele filer med hinanden.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Tue, 12 Jun 2001 23:32:16 +0200 skrev Anders:
>
>"Lars Kim Lund" <larskim@mail.com> skrev i en meddelelse
>news:u41dit8nnc5b9912tt1gjcd6gnsppug4dq@news.tele.dk...
>> Hej "Anders" <mysecretpostbox@yahoo.com>
>>
>> [ingen fildeling]
>> >> Hvordan? Det lyder da interessant?
>> >med alm NT permissions...
>>
>> På filserveren? Jovist, men det forhindrer dem jo ikke i at dele filer
>> i peer-to-peer netværk.
>>
>> --
>> Lars Kim Lund
>> http://www.net-faq.dk/
>
>Nu er vi da vidst på vej til system.MS-etellerandet. Men alle klienter har
>fildeling installeret og henter adgangsliste fra serveren, og ændringer i
>Fil- og Udskriftsdeling er disabled vha. poledit for alle brugere... Næppe
>skudsikkert, men forhåbentligt nok til at alle vil vide at de er på vej til
>tugthuset hvis de prøver at dele filer.

Da jeg gik i skole, forsøgte de at disable visse ting med poledit - det
holdt præcis indtil en eller anden fandt ud af at man bare kunne gå
ind i poledit og rette det tilbage igen...

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/

---

Hej kfr@fleggaard.dk (Kent Friis)

>Da jeg gik i skole, forsøgte de at disable visse ting med poledit - det
>holdt præcis indtil en eller anden fandt ud af at man bare kunne gå
>ind i poledit og rette det tilbage igen...

Det er svært at sikre et system der som udgangspunkt ikke er designet
til at håndtere sikkerhed.

Man kan nå et stykke, men man er nødt til at være meget fascistisk og
formentlig gøre brug af diverse 3. parts værktøjer, hvis maskinen skal
modstå intelligente angreb.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Tue, 12 Jun 2001 19:28:21 +0200 skrev Lars Petersen:
>Hvad med bare et separat net, hvor i hiver stikket ud
>til det andet net når der skal eksamineres?
>
>=P hehehe dumt men bare en tanke =)
>
>Ellers to net og en lille firewall =) To net er ikke engang
>nødvendigt, det kan være samme net - men en firewall
>regel der forbyder outgoing for en bestemt IP range...

Lige indtil en eller anden skifter IP-nummer...

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/