Moin!
Beim Aufbau des neuen Schulservers habe folgende Situation:
Schul-Windows-Netz
––--eth0-–––-
Server mit squid und squidGuard
––--eth1-–––-
Internet
In squidGuard habe ich die Gruppen super und lehrer definiert. Die Lehrer werden in der userlist /var/lib/squidguard/db/lehrer aufgelistet. Sie dürfen nach Authentifizierung frei surfen. Die Userverwaltung läuft über /etc/passwd.
Für alle anderen (die Kinder) ist das Surfen verboten, weil sie in Pausen oder bei Freiarbeit freien Zugang zu den Rechnern haben. Nun sollen sie unter Aufsicht durchaus surfen. Dann muss der Internetzugang für die Kinder freigegeben werden.
Dafür habe ich bisher keine saubere Lösung gefunden.
Auf dem alten Server habe ich einfach die Route ins Internet mit route add bzw. route del gesetzt bzw gelöscht. Das hatte aber zur Folge, dass interne Serverdienste wie ntp oder automatische Updates nicht funktionierten.
Man könnte in squidGuard eine Gruppe schueler einführen, die über eine userlist schueler geführt wird. Zunächst ist die Liste leer. Soll nun einem Kind/einer Klasse der durch squidGuard kontrollierte Internetzugang erlaubt werden, wird mit "echo username >> //var/lib/squidguard/db/schueler" das Kind/die Klasse in die Liste aufgenommen. Nach einem "/etc/init.d/squid reload" könnte der Schüler surfen. Zum Abbau der Internetverbindung müsste der entsprechende Username aus der Liste gelöscht werden und die Konfiguration von squid neu eingelesen werden.
An dieser Lösung stört mich der Quasi-Neustart von squid.
Eventuell täte es auch eine Firewallregel, die squid den Zugang zu eth1 verweigert.
Hat jemand andere Ideen?
Vielen Dank
wuesti