обход школьной контент-фильтрации и раздача правильного доступа в инет
 

и снова доброго времени, уважаемые форумчане !

на сей раз нерешаемая проблема состоит в следующем

в двух словах:
от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки
требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать

подробно:
как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова.
нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит.
я думаю, мотивы объяснил, вернусь к делу.
ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы.
настройка отдельно каждого из 200 компьютеров - идея как-то не очень
на сегодняшний день располагаю:
- компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ;
- сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ;
- adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ;

задача:
обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией)

верю, что oszone.net , как обычно, знает решение и ответ на всё
с уважением, я.

http://anonymouse.org/anonwww.html
http://hideme.ru/

Если соединится к модему напрямую, будут ограничения?

Необязательно было писать такую портянку. Не понял только насчет закона. Что мешает гнать траф через vpn на Windows server при этом фильтруя его как вы и хотите?

Им по закону провайдер должен давать только фильтрованный интернет, обычный интернет запрещен

Он и дает. Какие претензии?

ничто не мешает.
только можно поподробнее ?

если Вы имели в виду настройку Windows server в качестве шлюза, то не хотелось бы, он и так файловый сервер для перемещаемых профилей, и платформа для внутреннего портала. хотелось бы настроить это всё на ИКС, там это всё возможно (техподдержка не спасла)
если Вы имеете в виду, что фильтрация трафика происходит на моей территории, то это не так
уточню только - по закону траф фильтрованный для учащихся

конечно будут, ибо как правильно заметил anderson-7,
никаких, всё правильно и как должно быть,
но неудобно, о чем я в первом посте и написал

мои валенки никогда ни за что не поймут - как сёрфить через анонимайзер,
но даже если бы и да - оба указанных Вами сайта заблокированы.

теперь мне понемногу становится ясно, что, похоже, нужны два dns-сервера на своей территории.
один бы работал для учителей, и разрешал бы dns-имена через vpn до анонимайзера, через него же пускал бы и трафик (то есть он же шлюз),
второй бы разрешал имена dns через провайдера, обеспечивая фильтрацию.
теперь только неясно - как это всё сделать

А у этого провайдера при обычном интернете и фильтрованном одни и те же днс сервера?

совершенно верно,
единственное, что зависит от клиента - наличие договора на услуги фильтрации (для школ - по умолчанию),
вся остальная обработка происходит на их территории, их серверами

Вы можете только это решить с самим провайдером. Но вас пошлют, скажут вы школа, вам дают что вам положено.

два своих dns-сервера всё решат - это очевидно
ведь Вы посмотрите -
клиентские машины в этом процессе ну никак не главные, всё решается на уровне разрешения dns-имён,
соответственно, кто разрешает dns-имена, тот и правит балом, обход фильтрации гарантирован.
и
если одни и те же клиентские машины, в зависимости от того какой доменный пользователь на них вошёл (точнее - к какой группе в домене этот пользователь принадлежит), - смогут разрешать dns-имена через разные серверы, то это и будет то что нужно.
заходит на машину пользователь, состоящий в группе "учителя" в домене, и машина обращается к одному dns-серверу в локальной сети,
заходит "ученик" - и к другому.
соответственно, один свой dns-сервер разрешает имена через dns-сервера провайдера, и обеспечивается фильтрация,
другой свой dns-сервер разрешает dns-имена через vpn, то есть через шифрованный gre-туннель, и этим действием обходит перехват трафика по порту 53 на серверах провайдера.

как-то так ..

Если только в сети этого же провайдера поставить сервер и там доступ ко всем сайтам и бросить тунель на него.

зачем ?
vpn с анонимайзерами поднимается - проверено
единственное что - нужно знать ip vpn-сервера сайта-анонимайзера
вполне получилось поднять vpn с первым попавшимся сервером, найденным в поисковике по запросу "vpn"
трафик через такой vpn проходит - тоже проверял

Tor Browser?

хорошее решение, очень понравилось,
однако dns-имена разрешает тоже через провайдера,
как следствие, заблокированные сайты - и здесь заблокированы
возможно, отправляет dns-запросы на свой сервер в инете (этого проверить я не компетентен), однако похоже что тоже по порту 53 - поскольку контент-фильтрация всё равно срабатывает

malysh!, а попробуйте прописать в настройках браузера прокси-сервер Сегодня как раз внезапно обнаружил, что провайдер заблокировал доступ на нужный мне сайт, указанный фикс решил проблему сразу.

Бесплатные впн/прокси могут смотреть ваш трафик, а это небезопасно. Лучший вариант поставить на стороне например openvpn, подключить сервер, а для своих фильтровать, либо перебрасывать днс запросы на внешний днс, но тогда надо искать с нестандартным портом т.к. стандартный блокируется

отписываюсь по решению
настройки браузеров - заново перепинывать всю сеть, ведь у меня и так уже прокси - вся организация через него ходит, стоит тут недалеко в кабинете.
настраивать везде так, чтобы свой прокси прописывать не надо было, мутить чтобы авторизация на своем прокси происходила каким-то другим методом - это и есть перепинывать всю сеть
звиняйте за мой пафос, но как-то не айс
к тому же у провайдера - тоже не дураки, и ignorelist, и vulticulus заблокированы
можно, конечно, вместо имен писать в адресе ip (95.143.192.252 на момент написания), но не работает (может, неправильно пытался - опять же свой прокси)
опять же минус решения - отслеживать изменение ip анонимайзера
пытался настроить на сервере как вышестоящий прокси - тоже не вышло, думаю что опять же из-за разрешения клиентскими машинами dns-имен через мой прокси (потому что он, в свою очередь, разрешает через провайдера)
а отключать dns-сервер на своем прокси-сервере тоже не идет - отваливается нахождение контроллера домена (клиентские машины не могут после этого найти контроллер домена)
порочный круг получается
опять же минус именно этого решения правильно заметил Lonely_Mouse,
у меня юзеры и так периодически почту теряют по раздолбайству, а тут еще это будет

Lonely_Mouse, что Вы имели в виду под ?
и я, честно говоря, до конца не понял смысл решения :dont-know
можно, пожалуйста, подробнее ?

на данный момент, используя платный vpn, добился того, что
- все компы ходят в инет через комп-шлюз, но фильтр срабатывает
- комп-шлюз способен гарантированно обходить dns-фильтр, если разрешает dns-имена через vpn, но этого позволить я ему не могу - тогда фильтр для всех будет обходится, а это как раз то, чего нужно избежать (вплоть до отказа от самой идеи)
- контроллер домена может служить dns-сервером с фильтрацией - на нем по умолчанию подразумевается dns-сервер, и он на данный момент способен разрешать dns-имена через провайдера

осталось дело за малым :) :
заставить клиентские машины разрешать dns-имена через разные серверы, в зависимости от того, к какой группе в домене принадлежит пользователь, входящий на машину :)

Я и имел ввиду поставить vpn сервер на vds.

я почитал про vds, честно, всё понял, но только ещё больше запутался
этот виртуальный сервер нужно поставить кому, где, как ?
как это поможет найти решение ?

я не тупой, я просто медленный, ©кто-то известный

function FindProxyForURL(url, host) {
var p1 = "abbatia-gw.ignorelist.com:8080";
var p2 = "caelum-gw.chickenkiller.com:8080";

В общем лажа + не секурно.

malysh!, Ваша проблема в том что вы надеетесь что у провайдера админы дураки, многие я смотрю тоже на это надеяться.
На деле Вас просто с легкостью вычислят по логам.
Например если у Вас была нагрузка маленькая а тут появляется соединения на 80 порту и через него резво бежит трафик то админы быстро догадаются откуда трафик и получите Вы по ж...

vds арендуется, по ssh ставятся любые проги. провайдеру по барабану что там и как. сам так делаю, порты pptp l2tp прикрыли, а то что шифрованный трафик идет - мало ли что там идет, это не их проблемы

Lonely_Mouse, Вам просто везет.
Я бы перекрыл бы Вам это удовольствие с легкостью.

Каким образом? Блочить все порты с шифрованным трафиком? А если абонов over 20000? глупость

Rezor666, я не сомневаюсь в Вашей компетентности по перекрытию трафика, не сомневаюсь что админы у прова не дураки,
я сомневаюсь, что меня станут затрагиваемые проблемы никого не волнуют в нашей стране
кроме прокуратуры
они же, увидев наличие фильтрации, утрутся и отстанут - показывает опыт
я понимаю, что Вы за справедливость,
но поймите, что справедливость в том, что контент-фильтрованный интернет в школах для несовершеннолетних, "в целях предотвращения доступа к ресурсам, несовместимым с задачами образования и воспитания подрастающего поколения"
и Lonely_Mouse совершенно прав, утверждая что это действительно не их проблемы, даже по договору - не их

мы, как раз, обсуждаем тут справедливое с точки зрения закона (Вашей точки зрения?) применения нефильтрованного инета - а это у нас в стране не возбраняется
если бы я хотел раздать его всем кому ни попадя - я бы сюда не писал (почитайте предыдущие посты - уже давно есть для этого все средства)
и, поверьте, легко отключив в нужное время настройку - обошел бы даже и проверку прокуратуры без всяких последствий

речь тут у нас совершенно о другом :(

а для чего всё это хозяйство ? (опять не понял, сорри)

Lonely_Mouse, Глупость это ваше сообщения про порты.
Гуглите по Layer7 и Snort

Совместим вполне.
Достаточно правильно настроить фильтрацию.
Или вообще в учебных заведениях разрешить только образовательные сайты - остальное дома.
Это станет их ней и вашей проблемой если мама ребенка напишет заявление что сын у Вас в школе увидел "секс с лошадкой".
Хрень не несите.
Сдампить трафик и посмотреть что у Вас ssh тунель на 80 порту весит очень легко.

Мне гуглить нечего, я не собираюсь вникать в тонкости построения сетей. Моих знаний достаточно чтобы понять, что блочить могут только по портам, иначе давно бы прикрыли лавочку, уж поверьте, у нас админы далеко не дураки. Если будет жалоба, придут к прову, тот покажет, что у него трафик фильтруется, претензии будут к учебному заведению, тс делает фильтрацию на свой страх и риск. Если хотите поругаться, поспорить - в личку.

Да кому он нужен? Просто так без причины никто смотреть его трафик не будет, если только не сделает петлю.

Доброе утро, страна. Проверка связи, раз, раз, раз, два...... Сигнал есть..
Я уточнил ситуацию.
Вы можете подключить сразу два тарифа, фильтрованный и обычный, а там уже сами раздадите..

anderson-7,
да это все и так понятно,
правда в случае моей деревни, интернета подключить не получится, поскольку провайдер один и новое соединение означает проведение ещё одной телефонной пары до этого провайдера,
этого никто делать не будет, но и не надо
я же говорю, через vpn с платным анонимайзером нефильтрованный трафик вполне идет и раздаётся в сеть, и есть основания полагать, что и будет вполне
вот как раз об этом и речь,
причем раздать на основе принадлежности пользователя к определенной группе в домене

флудить прекращаем. у тс еще вопросы есть?

Не желаете попробовать расширение для Google Chrome friGate - разблокировка сайтов
Описание

PS На пятой картинке флеш анимации tutorial video

yurfed, я поставлю от администратора, поверх "установки Google Chrome для всех пользователей",
соответственно оно будет доступно всем пользователям - а это то, чего не нужно делать
второй минус - в необходимости добавлении каждого нужного сайта на каждой машине, вручную
это - не вариант
можно, конечно, попробовать "хромовые групповые политики" (есть и такие), но не факт, что они работают для расширений хрома

пока же нашел решение в следующем
сисадмины школ ! вот вам откровение.
однако, решение имеет огромный и неизгладимый минус (в разрешении имен внутри домена)

итак, если от провайдера Вам приходит dns-фильтрованный интернет,
если у Вас настроена доменная сеть, с группами пользователей "ученики" и "учителя",
если Вы располагаете компьютером-шлюзом в своей сети, известным коммерческим решением, или ещё какой-нибудь хренью, которая способна поднимать vpn, пускать трафик пользователей по разным маршрутам (через этот vpn, и через штатный доступ в интернет), и при этом определять пользователей и принадлежность их к группам в Вашем домене,
то
прописываем на клиентах dns какого-нибудь гугла (8.8.8.8) или ещё чего такого же (сделать Вы это можете вручную, политиками, dhcp, или ещё какими-либо известными способами)
пускаем трафик группы "ученики" по штатному маршруту,
пускаем трафик группы "учителя" через vpn
всё
смысл конструкции получается в следующем
"ученик"
- входит на клиентскую машину в качестве пользователя домена,
- авторизуется на шлюзе в качестве соответствующего ему пользователя (если шлюз не совмещён с Вашим контроллером домена),
- трафик этого "ученика" идет по штатному каналу,
- соответственно, dns-имена сайтов пытаются разрешиться через dns-сервера гугла (или что Вы выбрали), через штатный канал, а поэтому
- эти dns-запросы перехватываются оборудованием провайдера
- как следствие, запрос к ненужным сайтам переадресовывается на страницу блокировки (dns-запрос разрешился в адрес хоста страницы блокировки)
"учитель", соответственно
- входит на клиентскую машину в качестве пользователя домена,
- авторизуется на шлюзе в качестве соответствующего ему пользователя,
- трафик этого "учителя" идет по шифрованному vpn-каналу, который оборудование провайдера "не в силах" прослушать
- соответственно, dns-имена сайтов пытаются разрешиться через dns-сервера гугла (или что Вы выбрали), по gre-туннелю, а поэтому вполне себе разрешаются
- как следствие, запрос ко всем сайтам вполне себе проходит так же, как если бы у Вас был доступ в интернет как у всех белых людей

но, решение, повторюсь, не очень,
поскольку в настойках сети на клиентах, всё-таки, в качестве предпочитаемого dns-сервера должен стоять контроллер домена,
или Ваш, нормальный, корпоративный dns-сервер (я почему-то себе это именно так представляю)

в Административных шаблонах в GPO нашел "Computer Configuration->Administrative Templates->Network->DNS Client", там есть параметр "DNS Server" - то что нужно!
но есть комментарий : "Supported on Windows XP Professional only"
попытаюсь отработать ещё это решение
однако, пока неясно - как заставить делать тоже самое Windows 7
вот как-то так вот всё

Боже мой, какой ужас.
Столько слов и откровений что я еще больше убеждаюсь что учителя вообще не разбираются в своем предмете.

1- С помощью GPO Вы не сможете управлять Google chrome.
2- Если уж у Вас шило в попе то почему бы просто не сделать каскадную проксю? Это избавит от геморроя с DNS.
Если нужно с шифрованием то пустить проксю через ssh туннель с RSA ключом.
Все что Вам после этого останется это просто нужной группе через GPO указать прокси сервер или pac файл.
Как преимущество Вы сможете кэшировать и фильтровать трафик по желанию.
3- Я не вижу никакой проблемы назначить на шлюзе статический DNS сервер гугла.
4- Используя VPN Вы автоматом даете возможность провайдеру просто перекрыть Вам протокол GRE и все что Вам останется это надеяться что Вы просто получите выговор.

Идея хорошая. Но почему именно каскадную?
Один прокси все решит.

anderson-7, Как решит?
На шлюзе забит днс провайдера.
Или Вы предлагаете в открытом виде отсылать адреса запрещенных сайтов провайдеру? (это если сразу указать домашний прокси)
По этому гораздо надежнее сделать ssh тунель и соединить прокси сервера.
Можно и vpn конечно использовать, но его спалят по GRE трафику или UDP (если L2TP), можно правда еще использовать OpenVPN.
В общем любой вариант будет явно лучше чем действующие извращения ТС.

Rezor666, вы наехали на учителя, а сами что сказки рассказываете?
Во первых провайдер без причины не будет смотреть трафик. Во вторых, какие адреса пересылать провайдеру?
Провайдер если посмотрит, будет видеть лишь вашу сессию с прокси сервером и больше ничего.
Самое страшное, что грозит, если ученик пожалуется, что вышел на запрещенный сайт, тогда провайдер заблокирует этот адрес прокси сервера. Если вы будете делать прокси каскадом, что это меняет? Также заблокируют первый прокси. Зачем шифровать трафик? Что провайдер будет трафик распаковывать что ли?

Вы за него решили?
Они и так его не только смотрят но и хранят.
Те которые Вы будете посещать с помощью прокси.
Там даже дешифровать нечего.
Почитайте как работает прокси, а лучше возьмите wireshark и посмотрите трафик между клиентом и прокси сервером.
Даст возможность туннелировать трафик.
Заблокируют что?
SSH? Вряд ли.
А с учетом того что в школах динамические ip то это очень трудоемко.

Решил.
Джеймс бонд, вы заболели, все все бросили и побежали дешифровать ваш именно трафик.
То, что хранят, это правда и это единственная небредовая мысль.
Джеймс бонд, болезнь неизлечима.
Какая разница? Хоть обтунеллируйтесь, если надо заблокируют все сомнительные хосты, на которые вы ломитесь со своего адреса.
Легко заблокируют,хоть какой протокол или айпи.

Молодцы, тогда о чем мы спорим?
Почитайте как работает прокси, все таки полезно будет.
Могут, вполне.
Я бы так и поступил.
Если обнаружат тунель то да, но вряд ли кто-то станет смотреть почему много соединений на 80 порт до одного хоста.
И ничего не мешает сделать ловушку для провайдера если он вздумает посмотреть что весит на этом 80 порту.
Хотя если отдадут специалистам то все равно увидят ssh.

Джеймс бонд выздоравливает.
Вообще, вам нечего сказать уже и пытаетесь умничать.

anderson-7, Вы чувствуете разницу между много соединений на 80 порт одного хоста и явный VPN туннель или прокси?
Давайте лучше Вы не станете чушь пороть как например эту:

Я не понимаю направление ваших мыслей.
То мы говорим о тунеле, то о прокси.
Что бы не висело, ну и что?
Хотите найти ответы, почитайте договор с провайдером. Если какой то пункт в договоре вам не понятен, выкладываете сюда.

Моя мысль в том что-бы ТС поднял прокси.
А как он будет это делать меня не волнует вообще.
Но не надо говорить ерунду что это секурно.

Это Вы мне?
У меня таких проблем нету.

Rezor666,
спасибо за Ваш отклик, я смею надеяться, что Вы разовьёте свою мысль, однако
1- достаточно агрессивно, не правда ли? однако форумчане внесли ясность в ряд претензий, за что им спасибо :)
2- давайте уже смиримся - никто меня ловить просто не будет,
господа ! оставьте уже тему про отлов, ну не будет провайдер этого делать, ну не нужен я ему, это Россия, здесь многое по-другому. я нужен только прокуратуре, а она, как я уже говорил, при проверке увидит, что фильтрация осуществляется (ну я-то их как учеников пущу)
3-
Цитата Rezor666:
С помощью GPO Вы не сможете управлять Google chrome. »
некоторыми параметрами (не теми, что нужно) - очень даже смог бы
4- вот это порадовало, но как же быть с работой доменных служб? загрузкой перемещаемых профилей пользователей? не помешает такая настройка?

а никто и не говорит, просто этот вопрос в текущей теме не имеет места, я его не задавал, более того около четырёх постов пытаюсь объяснить, что проблема, обсуждаемая в теме - не об этом
единственное, что сподвигает на описываемую Вами конструкцию каскадирования прокси - это то что vpn'ы какие-то всё платные и медленные.
Ваше решение сделает использование идеи бесплатным (да и это уж ладно), или хотя бы (лучше) быстрым?

и вот это ещё смущает: дело-то в том, что я его как раз и не фильтрую,
фильтрация происходит по базе запретных сайтов, которую поддерживает в актуальности целое сообщество, и даже некая контора ЦАИР, созданная специально по проекту "Образование", для этих целей
так что, база поддерживается как-то сама, в автоматическом режиме
поддерживать же самому черные списки (для фильтрации на исключение) - ну, это просто бред, думаю совершенно очевидно, - что нереально
и уж тем более, белые списки (в случае фильтрации только на разрешение) - это глупо, тырнет детям нужен как ни крути, а дать доступ только на 15 сайтов - ну глупо, и говорить не о чем.
поэтому, я - не "за" использование своего фильтра

и да, по Вашему решению, меня волнует :)
можно подробнее?

Ну извините.
Поживем увидим
Был не прав, признаю.
А при чем тут они?
Где у Вас вообще прописан DNS провайдера?
Ну а так сможете, если захотите + функция кэширования не будет лишней.
Что именно интересует?

Сколько можно мусолить? Решение давно найдено, vpn + фильтр. Если не устраивает скорость - могу дать свой на сутки потестить. Устроит - берите vds.

All, заканчиваем флуд! :butcher: Иначе прикрою тему.

malysh!, у вас ещё остались вопросы?

пока да,
теперь это
- вопрос о корректности настройки адресов dns-серверов в настройках сетевых подключений на клиентах, в свете возникающих решений
- вопрос о перенаправлении трафика через vds или прокси , а не через vpn (вот тут я ничего не понял/не знаю по этой теме), также в свете возникающего решения, не через vpn - поскольку в них есть ряд минусов

а как же разрешение клиентами dns-имени контроллера домена, клиентских машин в домене? я вот в этом не понял/не знаю
сейчас получается не прописан вообще нигде, он как-то сам фантомно работает, клиенты как я и говорил всё пытаются разрешить через google
будет прописан там, где скажете

был бы очень обязан,
но вот в этом нужна помощь,
поскольку мало представляю как "взять vds", и что с ним потом, конкретно, делать
и, если можно - хоть в двух словах, - как потестить то, что Вы предложите (основные шаги)?

ну, хоть в двух словах (по основным шагам) - что мне нужно сделать для каскадирования прокси так, как Вы предлагаете?

Вы же говорили, что пров блочит 53 порт? Каскад делать также с vds. Что то вроде клиент - squid - dansguardian - squid. Vds даже школьники пользуются, зарегаться, заплатить рублей 150 и по ssh уже по манам ставить vpn/proxy. Буду у компа скину клиент с конфигом. Установить и перетащить конфиг в клиент.

malysh!, Нарисуйте схему сети.
А то не понятно что у Вас и как устроенно.
Поэтому дать рекомендацию по DNS затруднительно.
Особенно интересует что является шлюзом сети.

В vds есть ряд недостатков, а именно:
1- Цена
2- Обучения работы с linux (можно и на Windows взять но будет дороже)
И данный вариант почти ничем не отличается от домашнего сервера.

Для того что бы сделать каскадный прокси Вам необходимо запросить у домашнего провайдера статический ip адрес, установить прокси сервер (любой), а на работе поставить прокси сервер который поддерживает каскадные прокси (например UserGate или Squid) а дальше просто привязать Active Directory или по ip адресам.
Единственное я не уверен что Squid под Windows это умеет.

Я один только сейчас заметил, что у тс некий ics на фряхе в качестве шлюза? Ради любопытства, что мешало настроить все на windows server или контроллер домена на икс? И на какой машине vpn ставили? А то что-то не вижу в иксе хоть какого-то vpn клиента

Ага, я его что-то тоже не заметил.
Теперь я вообще не понимаю где находится dns.
Кстати с учетом того что ИКС это web gui для фряхи то VPN клиент у нее обязан быть.
Так же стоит отметить что squid там уже есть и единственное что осталось это настроить прокси дома и на ИКС сделать каскадирование.

дорогие мои господа,
нарисовал схему своей сети Файл 107195 ,
там же указал

Цитата:

Цитата Rezor666 где находится dns »

да, Вы совершенно правы, vpn поднимается на икс-е, он же определяет принадлежность к группам, и пускает трафик по назначению

Lonely_Mouse, о Ради любопытства,

Цитата:

Цитата Lonely_Mouse что мешало настроить все на windows server »

если честно, просто замучился делать из контроллера домена прокси-сервер, то одно не выходит, то другое вылетает (приходит в неработоспособность)
потом, в добавок, поверил статьям, что это "не секурно"

Цитата:

Цитата Lonely_Mouse или контроллер домена на икс »

групповые политики, и (главное) перемещаемые профили пользователей в домене windows

совершенно верно, на этом даже построена моя мысль в этом посте

стыд мне, я уже понял,
однако всё равно не понял - где регаться, кому и за что платить (точнее, в месяц или как),
похоже, буду обязан за пояснения для тупых, или за пару грамотных статей

Вы, наверное, правы, это было бы как минимум дешевле всего,
однако, приводит к ряду неудобств 1)постоянно включенный дома комп, 2)зависимость рабочего тырнета от состояния домашнего (как-то ненадежно звучит, к примеру даже перепады/отключение света), 3)проброс портов и сопутствующий гемор
всё-таки, хотелось бы как-нибудь не дома, а, например, на стабильно работающем сервисе в тырнете

Цитата:

Цитата Lonely_Mouse dansguardian »

вот это, кстати, вообще нужная наводка, об этом не знал
несмотря на наличие такого фильтра (имеющегося), с прокуратурой всё равно есть проблемы,
по последним сведениям, дошло до тупизма, как и многое в нашей стране, теперь прокуратура наехала на прова (РосТелеком) - по вопросу того, кто же должен фильтровать всё равно просачивающийся вредоносный трафик (это после их недавних проверок началось).
интересно, наши великие умы в правительствах допетрят когда-нибудь, что корень проблемы не в фильтрации, а в публикациях

Если кто то совершил незаконный доступ к охраняемой информации, то он и будет виноват.
Провайдер может быть виноват, если в договоре не предупредил о последствиях взлома сетей.
Подписал договор, что будешь без нарушений использовать интернет?
Чья подпись стоит?

вот по этому я так понял, возможно простое решение - прописать на клиентах сервант с AD в файле hosts
есть другие решения, более правильные? (и вообще, всё-таки, это важно?) (напомню контекст - гарантированная работа доменных служб и перемещаемых профилей пользователей, в свете того что на клиентских машинах в качестве dns-серверов указан google)

я не знаю куда модераторы смотрят, переписка идет, а к решению поставленной задачи нисколько не приближается, так будет еще год идти...

Тс просто придумал зачем то костыли с иксом, когда ad настраивается на windows. Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. я уже говорил, что из сабжа сделали портянку. дабы юзать свой икс, вам придется познакомиться с freebsd, подключиться по ssh с серверу с иксом и там уже ставить прокси/впн. Мануалов полно. Как вариант, vpn + прозрачный squid с dnsguarding, либо каскад, либо vpn + dns сервер с фильтром. Фильтров трафика по интерфейсу на фрюхе я не знаю. Тем более, не получится фильтровать как вам надо без внесений изменений. И базу в актуальном состоянии держать надо. Опять же, если работает гугловский днс достаточно найти паблик днс и настроить dnsmasq. Вот и все. Vds это виртуальная машина на сервере в датацентре, вам дают рут доступ, место, озу, цпу время по тарифу. firstvds например. про законы тут не надо, это вам на юр. форум

я пять лет назад смотрел программы для фильтрации от вредных сайтов.
очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика.
Достаточно поставить его на шлюзе и все.
Сколько не пытался зайти на какой нибудь вредный сайт, они были заблокированы.
Огромнейший выбор категорий вредности сайтов, придумали даже такое, что в голову не придет.
База фильтра обновляется. Можно вручную редактировать.

malysh!, Спасибо за схему, пригодиться.
На будущее советую ее оформить более красиво.

Теперь по существу
И правильно сделали что не стали этого делать.

Не совсем понимаю в чем смысл для провайдера блокировать чужие DNS.
Им гораздо проще было бы весь Ваш трафик пустить через прокси.
Ну да ладно.

Регистрируйтесь там где посчитаете наиболее удобным и приемлемым по цене.
Правда стоит отметить что обычно цены от 300 руб + если нужен Web GUI, а не чистая консоль то это еще 150 руб в месяц.
Хотя на дорогих тарифах она обычно бесплатная.
Главное будьте готовы к работе с ОС Linux/Unix

Тогда используйте VDS.

anderson-7, прежде чем постить почитайте хотя бы шапку и последние две страницы. У тс шлюз на freebsd

господа ! при всём уважении, Вы читаете посты через строчку, и не те
вот и получается флуд, а не топик
зачем-то завели разговор за ответственность, что как бы и так понятно,
зачем-то завели обсуждение "мстительного прова", только и жаждущего - что отловить наивного юзера, хотя тема в-общем то была не об этом (но надо отдать должное, это привело к расширению возможных решений),
опять же, зачем-то предлагаете решения по фильтрации трафика, хотя тема не о том что её нет, а как раз о том, что она есть, и как её обойти с условиями (но нужно опять же отдать должное, вспомнили ряд решений, которые можно использовать в дополнение к имеющемуся фильтру, в силу его оказывающейся недостаточности),
при этом, нужные посты с вопросами так и остались без Вашего внимания (например, о разрешении имени контроллера домена, и файле hosts)

а "тс", между тем, если нормально читать его посты, старается описывать вопросы предельно ясно,
взять, к примеру, последнее, "тс" как раз говорит, что запросы по 53-му порту не блокируются, а перехватываются оборудованием прова, а через google они проходят только в случае прохождения через vpn,
а Вы, извините, просто читали через строчку, или просто не захотели потратить время и понять, зато в чём-то упрекаете
и такого флуда ото всех много, извините за резкость
к примеру, зачем-то обсуждаем этот икс, сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать, в том числе и ssh, но мы тут не будем рекламировать коммерческое решение
опять же, о том что я с его помощью уже сделал - Вы тоже пропустили, зато пишете кошмары
да потому что этот netpolice для школ - система dns-контент-фильтрации, поэтому они просто для тех, кому надо, пускают dns-форвардинг со своего оборудования на dns-сервера netpolice (см. картинку),
и вот зачем мы и это тоже тут обсудили?
и получил за это +1 от Rezor666, и это тоже тут обсудим?

в-общем, здесь и ранее я уже и сам нафлудил на две страницы, за что прошу прощения,
извините, уважаемые форумчане и администрация,
и в чём прав anderson-7, - тему пора закрывать, отчасти нерешённой.

и вот тут (после очередного ликбеза) появилась ещё одна (может, безумная) мысль
о каскадном прокси
последний, вполне конкретный, вопрос
есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется).
так ли это?
а мне нужен только http-трафик на клиентах.
соответственно, мысль заключается в следующем,
что, если для группы "учителя", на шлюзе, задать маршрут на каскадный прокси (или задать использование каскадного прокси)? этим вышестоящим прокси будет анонимайзер, платный/"секурный" (и вопрос опять не о том, будет ли работать этот анонимайзер. если не будет - пущу через vpn, заюзаю vds, или ещё как-нибудь, как мы тут уже обсуждали. и даже не о том, будет ли он "секурный")
значит, можно будет использовать в качестве dns-сервера, в настройках подключения на клиентах, адрес всё того же моего шлюза.
а шлюз, в свою очередь, будет просто форвардить dns-запросы группы "ученики" на вышестоящий dns (провайдера) (и не надо обсуждать - как, он и так это делает)(и даже к терминологии не нужно приставать - оно работает),
а при запросе браузера при обращении "учителя", адрес сайта будет резолвиться не клиентом через шлюз, а через последний прокси - т.е. через анонимайзер
зачем мне это надо? на клиентах не придётся прописывать googledns, и адрес моего контроллера домена также будет разрешаться в моей сети через службу dns.
вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать?
в этой теме уже неоднократно вспоминали о прокси, если вердикт на эту мысль уже прозвучал - значит я этого не понял, извините и ткните, пожалуйста, носом
но только, если можно, как-то подробнее/понятнее

Извините, но в этом Вы очень сильно заблуждаетесь.
Открою Вам маленький секрет.
ИКС - переделанный клон Pfsense который кстати поддерживается гораздо лучше.
А так как я являюсь одним из любителей этого самого Pfsense то скажу сразу что шаг влево или в право = работа с консолью.
Это Вы поймете при столкновении с проблемами, возможно что как раз когда будите настраивать каскадный прокси т.к самый оптимальный вариант это сделать его на ИКС.

Да, последний прокси сервер отвечает за DNS запросы.

Тут скорее всего у Вас будет потеря в скорости.
Обычно прокси сервера или не быстрые или на них сидит не один человек.
По этому VDS надежнее.

Все верно.

Должна :)

То вы хотите сами фильтровать трафик для учеников, то уже пускать их через днс провайдера... Ставьте на компы учителей Tor. Иначе в любом случае придется работать с консолью.

Lonely_Mouse,

читать дальше »

ну может, хватит?
я никогда и не хотел его сам фильтровать, и даже объяснял - почему, как Вы не поймёте, ну он сам фильтруется, почитайте уже шапку. ну поймите, это dns-фильтрация, она сама работает, достаточно просто настроить обычное подключение к Интернету через ADSL-роутер. "компов учителей" у меня нет, и они не нужны - вход, определение прав доступа происходит по политикам, и Тор - не работает, ну почитайте уже тему

Rezor666, для того, чтобы для учителей работал такой резольвинг, который мы обсудили, обязательно необходимо, чтобы в строке "Прокси-сервер:" в браузере был прописан прокси (или адрес файла автонастройки) ?
просто сейчас всё работает просто при запуске утилиты, которая от шлюза (в комплекте)

В вашем случае - да.
Если бы все получали интернет от прокси тогда можно было бы использовать прозрачный прокси, а так надо указывать через GPO.
Хотя можно извратиться и в squid указать клиентов которые будут идти в обход каскадной прокси.

1) Это не так. FortiClient тягает базы и настройки с родительского фаервола Fortinet. FortiClient это средство NAC: усиление контроля состояния клиента + идентификация пользователя + антивредонос

2) Всем живущим в 20м веке, утверждающим, что:
- "определить можно только по протоколу и порту ...";
- "Анонимайзеры не просматриваемы ..";
- "SSL - не позволяет идентифицировать зашифрованное приложение"

читайте про Next Generation Firewall (NGFW).
http://blog.trinitygroup.ru/2013/10/...wall-next.html

CheckPoint, Fortinet, Palo Alto Networks, Stonesoft - все эти девайсы, на раз: "наковыряют" полную информацию о ваших приложениях и покажут все соединения с анонимайзерами.

Вот например дашборд Palo Alto

http://img-fotki.yandex.ru/get/9309/..._cf28cad3_orig

Уважаемый kim-aa.
Какое отношение Ваше сообщение имеет к посту ТС?

Что не так? Я говорил об антивирусе 5-летней давности бесплатной версии.
Он тогда не не имел всех прибамбасов, тем более в бесплатной версии. А обновления для баз фильтра тогда скачивал точно так же, как антивирусные базы.
Мне тогда только грозило, если например компания накроется, то мой фильтр продолжал бы работать но уже без обновления баз вредоносных сайтов..

К самому посту - никакого. Собственно, автор поста, и так более или менее все описал. В том числе и одно из решений.
Сообщение больше адресовалось к активным участникам флуда, т.к. ИМХО, если флудишь, то хотя бы технически грамотно ("Пусть не в рифму, за-то про войну!").
Так же, следует обратить внимание, что фильтрация подменой DNS - это по бедности провайдера.
В настоящий момент существует куча технических решений осуществляющих тематическую URL-фильтрацию.
-----------------------

anderson-7, ОК
Нужно было более подробно упомянуть условия использования. Из контекста ответа это было не понятно.
С бесплатной версией дела не имел, за сим, - комментировать не могу.
-----------------------

Да, это так. Единственное, вся адресация к промежуточным прокси должна быть по IP.
Исключения, конечно возможны, т. к. никто не запрещает при реализации прокси пробовать осуществить URL-фильтрацию ПЕРЕД передачей запроса вышестоящему прокси. Но это больше к реализации механизма правил фильтрации относится.


Честно говоря, на вашем бы месте я бы реализовал свой кеширующий DNS - сервер по защищенному каналу ползающий на родительский DNS за границу. Тогда шифрованного трафика будет самый мизер. А "нужным" людям достаточно прописать правильный DNS :)

Да, забыл, однако.

DNSCurv или DNSCrypt попробуйте

http://www.dnscurve.org/
http://www.opendns.com/technology/dnscrypt/

опять я, и сразу по существу, господа
ищу спеца,
который бы :
- нанял дешевый vds (и указал бы реквизиты для его последующей оплаты), со статическим "белым" ip, и скоростью сетевого подключения не менее 10 Mбит/сек
- на vds поставил бы прокси, с авторизацией по одному-единственному аккаунту (для исключения доступа сторонних лиц) (и сообщил бы этот аккаунт)
- задал бы этому vds резолвить свои dns-запросы через gooooooooogle

все предложения - в PM [off]

модеры и админы forum.oszone.net загонят меня в навечный бан, но мне реально нужно то, о чем я прошу
так что - уж извините

мысль проста - я буду использовать его как вышестоящий прокси для группы "учителя"
весь остальной контекст - см. выше

господа !
последний, таки надеюсь, вопрос
по существу
вопрос избит, и много раз обсужден
но все же, может кто-то подскажет что-то конкретное, и по существу

нужен прокси под WinSrv 2008R2
который бы
- был бесплатный или стоил немного
- наименьшим образом интегрировался в систему, от него требуется только обработка http-трафика (web-сёрфинг)
- мог бы авторизовать (для самого себя) пользователей на основе сведений из AD
- мог бы сотрудничать с AD - пропускать или не пропускать через себя трафик, в зависимости от принадлежности пользователя к определенной группе в AD
- мог бы использовать вышестоящий прокси, и направлять http-запросы пользователей на него

механизм использования прост:
в локальной сети будет два прокси, один из них - для "учителей", он будет перенаправлять их http-запросы на вышестоящий прокси (анонимайзер)
определять принадлежность пользователя к группе "учителя" он будет через AD
трафик всех пользователей, не принадлежащих группе "учителя", должен игнорироваться

заранее спасибо за понимание, и терпимость к задаванию избитых вопросов,
с уважением, я

malysh!, Попробуйте squid

Господа, доброго времени!
Снова ищу спеца, который бы настроил персональную проксю в аргентине (гватемале? опять в мюнхене?)
Все то же самое, И да, И да,
простите, пожалуйста.