обход школьной контент-фильтрации и раздача правильного доступа в инет
и снова доброго времени, уважаемые форумчане !
на сей раз нерешаемая проблема состоит в следующем в двух словах: от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать подробно: как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова. нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит. я думаю, мотивы объяснил, вернусь к делу. ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы. настройка отдельно каждого из 200 компьютеров - идея как-то не очень на сегодняшний день располагаю: - компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ; - сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ; - adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ; задача: обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией) верю, что oszone.net , как обычно, знает решение и ответ на всё с уважением, я. |
|
Если соединится к модему напрямую, будут ограничения?
|
Необязательно было писать такую портянку. Не понял только насчет закона. Что мешает гнать траф через vpn на Windows server при этом фильтруя его как вы и хотите?
|
Цитата:
|
Он и дает. Какие претензии?
|
Цитата:
только можно поподробнее ? если Вы имели в виду настройку Windows server в качестве шлюза, то не хотелось бы, он и так файловый сервер для перемещаемых профилей, и платформа для внутреннего портала. хотелось бы настроить это всё на ИКС, там это всё возможно (техподдержка не спасла) если Вы имеете в виду, что фильтрация трафика происходит на моей территории, то это не так Цитата:
Цитата:
Цитата:
Цитата:
но неудобно, о чем я в первом посте и написал |
Цитата:
но даже если бы и да - оба указанных Вами сайта заблокированы. теперь мне понемногу становится ясно, что, похоже, нужны два dns-сервера на своей территории. один бы работал для учителей, и разрешал бы dns-имена через vpn до анонимайзера, через него же пускал бы и трафик (то есть он же шлюз), второй бы разрешал имена dns через провайдера, обеспечивая фильтрацию. теперь только неясно - как это всё сделать |
Цитата:
|
Цитата:
единственное, что зависит от клиента - наличие договора на услуги фильтрации (для школ - по умолчанию), вся остальная обработка происходит на их территории, их серверами |
Вы можете только это решить с самим провайдером. Но вас пошлют, скажут вы школа, вам дают что вам положено.
|
Цитата:
ведь Вы посмотрите - клиентские машины в этом процессе ну никак не главные, всё решается на уровне разрешения dns-имён, соответственно, кто разрешает dns-имена, тот и правит балом, обход фильтрации гарантирован. и если одни и те же клиентские машины, в зависимости от того какой доменный пользователь на них вошёл (точнее - к какой группе в домене этот пользователь принадлежит), - смогут разрешать dns-имена через разные серверы, то это и будет то что нужно. заходит на машину пользователь, состоящий в группе "учителя" в домене, и машина обращается к одному dns-серверу в локальной сети, заходит "ученик" - и к другому. соответственно, один свой dns-сервер разрешает имена через dns-сервера провайдера, и обеспечивается фильтрация, другой свой dns-сервер разрешает dns-имена через vpn, то есть через шифрованный gre-туннель, и этим действием обходит перехват трафика по порту 53 на серверах провайдера. как-то так .. |
Если только в сети этого же провайдера поставить сервер и там доступ ко всем сайтам и бросить тунель на него.
|
Цитата:
vpn с анонимайзерами поднимается - проверено единственное что - нужно знать ip vpn-сервера сайта-анонимайзера вполне получилось поднять vpn с первым попавшимся сервером, найденным в поисковике по запросу "vpn" трафик через такой vpn проходит - тоже проверял |
|
Цитата:
однако dns-имена разрешает тоже через провайдера, как следствие, заблокированные сайты - и здесь заблокированы возможно, отправляет dns-запросы на свой сервер в инете (этого проверить я не компетентен), однако похоже что тоже по порту 53 - поскольку контент-фильтрация всё равно срабатывает |
malysh!, а попробуйте прописать в настройках браузера прокси-сервер
Код:
http://vulticulus.ignorelist.com/proxy.pac |
Бесплатные впн/прокси могут смотреть ваш трафик, а это небезопасно. Лучший вариант поставить на стороне например openvpn, подключить сервер, а для своих фильтровать, либо перебрасывать днс запросы на внешний днс, но тогда надо искать с нестандартным портом т.к. стандартный блокируется
|
Цитата:
настройки браузеров - заново перепинывать всю сеть, ведь у меня и так уже прокси - вся организация через него ходит, стоит тут недалеко в кабинете. настраивать везде так, чтобы свой прокси прописывать не надо было, мутить чтобы авторизация на своем прокси происходила каким-то другим методом - это и есть перепинывать всю сеть звиняйте за мой пафос, но как-то не айс к тому же у провайдера - тоже не дураки, и ignorelist, и vulticulus заблокированы можно, конечно, вместо имен писать в адресе ip (95.143.192.252 на момент написания), но не работает (может, неправильно пытался - опять же свой прокси) опять же минус решения - отслеживать изменение ip анонимайзера пытался настроить на сервере как вышестоящий прокси - тоже не вышло, думаю что опять же из-за разрешения клиентскими машинами dns-имен через мой прокси (потому что он, в свою очередь, разрешает через провайдера) а отключать dns-сервер на своем прокси-сервере тоже не идет - отваливается нахождение контроллера домена (клиентские машины не могут после этого найти контроллер домена) порочный круг получается опять же минус именно этого решения правильно заметил Lonely_Mouse, Цитата:
Lonely_Mouse, что Вы имели в виду под Цитата:
и я, честно говоря, до конца не понял смысл решения :dont-know можно, пожалуйста, подробнее ? на данный момент, используя платный vpn, добился того, что - все компы ходят в инет через комп-шлюз, но фильтр срабатывает - комп-шлюз способен гарантированно обходить dns-фильтр, если разрешает dns-имена через vpn, но этого позволить я ему не могу - тогда фильтр для всех будет обходится, а это как раз то, чего нужно избежать (вплоть до отказа от самой идеи) - контроллер домена может служить dns-сервером с фильтрацией - на нем по умолчанию подразумевается dns-сервер, и он на данный момент способен разрешать dns-имена через провайдера осталось дело за малым :) : заставить клиентские машины разрешать dns-имена через разные серверы, в зависимости от того, к какой группе в домене принадлежит пользователь, входящий на машину :) |
Цитата:
|
Я и имел ввиду поставить vpn сервер на vds.
|
Цитата:
этот виртуальный сервер нужно поставить кому, где, как ? как это поможет найти решение ? я не тупой, я просто медленный, ©кто-то известный |
Цитата:
var p1 = "abbatia-gw.ignorelist.com:8080"; var p2 = "caelum-gw.chickenkiller.com:8080"; В общем лажа + не секурно. malysh!, Ваша проблема в том что вы надеетесь что у провайдера админы дураки, многие я смотрю тоже на это надеяться. На деле Вас просто с легкостью вычислят по логам. Например если у Вас была нагрузка маленькая а тут появляется соединения на 80 порту и через него резво бежит трафик то админы быстро догадаются откуда трафик и получите Вы по ж... |
vds арендуется, по ssh ставятся любые проги. провайдеру по барабану что там и как. сам так делаю, порты pptp l2tp прикрыли, а то что шифрованный трафик идет - мало ли что там идет, это не их проблемы
|
Lonely_Mouse, Вам просто везет.
Я бы перекрыл бы Вам это удовольствие с легкостью. |
Каким образом? Блочить все порты с шифрованным трафиком? А если абонов over 20000? глупость
|
Rezor666, я не сомневаюсь в Вашей компетентности по перекрытию трафика, не сомневаюсь что админы у прова не дураки,
я сомневаюсь, что меня станут Цитата:
кроме прокуратуры они же, увидев наличие фильтрации, утрутся и отстанут - показывает опыт я понимаю, что Вы за справедливость, но поймите, что справедливость в том, что контент-фильтрованный интернет в школах для несовершеннолетних, "в целях предотвращения доступа к ресурсам, несовместимым с задачами образования и воспитания подрастающего поколения" и Lonely_Mouse совершенно прав, утверждая что Цитата:
мы, как раз, обсуждаем тут справедливое с точки зрения закона (Вашей точки зрения?) применения нефильтрованного инета - а это у нас в стране не возбраняется если бы я хотел раздать его всем кому ни попадя - я бы сюда не писал (почитайте предыдущие посты - уже давно есть для этого все средства) и, поверьте, легко отключив в нужное время настройку - обошел бы даже и проверку прокуратуры без всяких последствий речь тут у нас совершенно о другом :( Цитата:
|
Lonely_Mouse, Глупость это ваше сообщения про порты.
Гуглите по Layer7 и Snort Цитата:
Достаточно правильно настроить фильтрацию. Или вообще в учебных заведениях разрешить только образовательные сайты - остальное дома. Цитата:
Цитата:
Сдампить трафик и посмотреть что у Вас ssh тунель на 80 порту весит очень легко. |
Мне гуглить нечего, я не собираюсь вникать в тонкости построения сетей. Моих знаний достаточно чтобы понять, что блочить могут только по портам, иначе давно бы прикрыли лавочку, уж поверьте, у нас админы далеко не дураки. Если будет жалоба, придут к прову, тот покажет, что у него трафик фильтруется, претензии будут к учебному заведению, тс делает фильтрацию на свой страх и риск. Если хотите поругаться, поспорить - в личку.
|
Цитата:
|
Доброе утро, страна. Проверка связи, раз, раз, раз, два...... Сигнал есть..
Я уточнил ситуацию. Вы можете подключить сразу два тарифа, фильтрованный и обычный, а там уже сами раздадите.. |
anderson-7,
да это все и так понятно, правда в случае моей деревни, интернета подключить не получится, поскольку провайдер один и новое соединение означает проведение ещё одной телефонной пары до этого провайдера, этого никто делать не будет, но и не надо я же говорю, через vpn с платным анонимайзером нефильтрованный трафик вполне идет и раздаётся в сеть, и есть основания полагать, что и будет вполне вот как раз об этом Цитата:
причем раздать на основе принадлежности пользователя к определенной группе в домене |
флудить прекращаем. у тс еще вопросы есть?
|
Цитата:
Описание PS На пятой картинке флеш анимации tutorial video |
yurfed,
Цитата:
соответственно оно будет доступно всем пользователям - а это то, чего не нужно делать второй минус - в необходимости добавлении каждого нужного сайта на каждой машине, вручную это - не вариант можно, конечно, попробовать "хромовые групповые политики" (есть и такие), но не факт, что они работают для расширений хрома пока же нашел решение в следующем сисадмины школ ! вот вам откровение. однако, решение имеет огромный и неизгладимый минус (в разрешении имен внутри домена) итак, если от провайдера Вам приходит dns-фильтрованный интернет, если у Вас настроена доменная сеть, с группами пользователей "ученики" и "учителя", если Вы располагаете компьютером-шлюзом в своей сети, известным коммерческим решением, или ещё какой-нибудь хренью, которая способна поднимать vpn, пускать трафик пользователей по разным маршрутам (через этот vpn, и через штатный доступ в интернет), и при этом определять пользователей и принадлежность их к группам в Вашем домене, то прописываем на клиентах dns какого-нибудь гугла (8.8.8.8) или ещё чего такого же (сделать Вы это можете вручную, политиками, dhcp, или ещё какими-либо известными способами) пускаем трафик группы "ученики" по штатному маршруту, пускаем трафик группы "учителя" через vpn всё смысл конструкции получается в следующем "ученик" - входит на клиентскую машину в качестве пользователя домена, - авторизуется на шлюзе в качестве соответствующего ему пользователя (если шлюз не совмещён с Вашим контроллером домена), - трафик этого "ученика" идет по штатному каналу, - соответственно, dns-имена сайтов пытаются разрешиться через dns-сервера гугла (или что Вы выбрали), через штатный канал, а поэтому - эти dns-запросы перехватываются оборудованием провайдера - как следствие, запрос к ненужным сайтам переадресовывается на страницу блокировки (dns-запрос разрешился в адрес хоста страницы блокировки) "учитель", соответственно - входит на клиентскую машину в качестве пользователя домена, - авторизуется на шлюзе в качестве соответствующего ему пользователя, - трафик этого "учителя" идет по шифрованному vpn-каналу, который оборудование провайдера "не в силах" прослушать - соответственно, dns-имена сайтов пытаются разрешиться через dns-сервера гугла (или что Вы выбрали), по gre-туннелю, а поэтому вполне себе разрешаются - как следствие, запрос ко всем сайтам вполне себе проходит так же, как если бы у Вас был доступ в интернет как у всех белых людей но, решение, повторюсь, не очень, поскольку в настойках сети на клиентах, всё-таки, в качестве предпочитаемого dns-сервера должен стоять контроллер домена, или Ваш, нормальный, корпоративный dns-сервер (я почему-то себе это именно так представляю) в Административных шаблонах в GPO нашел "Computer Configuration->Administrative Templates->Network->DNS Client", там есть параметр "DNS Server" - то что нужно! но есть комментарий : "Supported on Windows XP Professional only" попытаюсь отработать ещё это решение однако, пока неясно - как заставить делать тоже самое Windows 7 вот как-то так вот всё |
Боже мой, какой ужас.
Столько слов и откровений что я еще больше убеждаюсь что учителя вообще не разбираются в своем предмете. 1- С помощью GPO Вы не сможете управлять Google chrome. 2- Если уж у Вас шило в попе то почему бы просто не сделать каскадную проксю? Это избавит от геморроя с DNS. Если нужно с шифрованием то пустить проксю через ssh туннель с RSA ключом. Все что Вам после этого останется это просто нужной группе через GPO указать прокси сервер или pac файл. Как преимущество Вы сможете кэшировать и фильтровать трафик по желанию. 3- Я не вижу никакой проблемы назначить на шлюзе статический DNS сервер гугла. 4- Используя VPN Вы автоматом даете возможность провайдеру просто перекрыть Вам протокол GRE и все что Вам останется это надеяться что Вы просто получите выговор. |
Цитата:
Один прокси все решит. |
anderson-7, Как решит?
На шлюзе забит днс провайдера. Или Вы предлагаете в открытом виде отсылать адреса запрещенных сайтов провайдеру? (это если сразу указать домашний прокси) По этому гораздо надежнее сделать ssh тунель и соединить прокси сервера. Можно и vpn конечно использовать, но его спалят по GRE трафику или UDP (если L2TP), можно правда еще использовать OpenVPN. В общем любой вариант будет явно лучше чем действующие извращения ТС. |
Цитата:
|
Цитата:
Не думаю что в обязанности учителя входит построения сети и обход блокировок. И как мне кажется учитель это знать обязан, хоть это и не школьный курс. |
Цитата:
Цитата:
Цитата:
|
Rezor666, вы наехали на учителя, а сами что сказки рассказываете?
Во первых провайдер без причины не будет смотреть трафик. Во вторых, какие адреса пересылать провайдеру? Провайдер если посмотрит, будет видеть лишь вашу сессию с прокси сервером и больше ничего. Самое страшное, что грозит, если ученик пожалуется, что вышел на запрещенный сайт, тогда провайдер заблокирует этот адрес прокси сервера. Если вы будете делать прокси каскадом, что это меняет? Также заблокируют первый прокси. Зачем шифровать трафик? Что провайдер будет трафик распаковывать что ли? |
Цитата:
Они и так его не только смотрят но и хранят. Цитата:
Там даже дешифровать нечего. Цитата:
Цитата:
Цитата:
SSH? Вряд ли. А с учетом того что в школах динамические ip то это очень трудоемко. |
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
Я бы так и поступил. Цитата:
И ничего не мешает сделать ловушку для провайдера если он вздумает посмотреть что весит на этом 80 порту. Хотя если отдадут специалистам то все равно увидят ssh. |
Цитата:
Вообще, вам нечего сказать уже и пытаетесь умничать. |
anderson-7, Вы чувствуете разницу между много соединений на 80 порт одного хоста и явный VPN туннель или прокси?
Давайте лучше Вы не станете чушь пороть как например эту: Цитата:
|
Я не понимаю направление ваших мыслей.
То мы говорим о тунеле, то о прокси. Что бы не висело, ну и что? Хотите найти ответы, почитайте договор с провайдером. Если какой то пункт в договоре вам не понятен, выкладываете сюда. |
Цитата:
А как он будет это делать меня не волнует вообще. Но не надо говорить ерунду что это секурно. Цитата:
У меня таких проблем нету. |
Rezor666,
спасибо за Ваш отклик, я смею надеяться, что Вы разовьёте свою мысль, однако 1- достаточно агрессивно, не правда ли? однако форумчане внесли ясность в ряд претензий, за что им спасибо :) 2- давайте уже смиримся - никто меня ловить просто не будет, господа ! оставьте уже тему про отлов, ну не будет провайдер этого делать, ну не нужен я ему, это Россия, здесь многое по-другому. я нужен только прокуратуре, а она, как я уже говорил, при проверке увидит, что фильтрация осуществляется (ну я-то их как учеников пущу) 3- Цитата Rezor666: С помощью GPO Вы не сможете управлять Google chrome. » некоторыми параметрами (не теми, что нужно) - очень даже смог бы 4- вот это Цитата:
Цитата:
единственное, что сподвигает на описываемую Вами конструкцию каскадирования прокси - это то что vpn'ы какие-то всё платные и медленные. Ваше решение сделает использование идеи бесплатным (да и это уж ладно), или хотя бы (лучше) быстрым? и вот это ещё смущает: Цитата:
фильтрация происходит по базе запретных сайтов, которую поддерживает в актуальности целое сообщество, и даже некая контора ЦАИР, созданная специально по проекту "Образование", для этих целей так что, база поддерживается как-то сама, в автоматическом режиме поддерживать же самому черные списки (для фильтрации на исключение) - ну, это просто бред, думаю совершенно очевидно, - что нереально и уж тем более, белые списки (в случае фильтрации только на разрешение) - это глупо, тырнет детям нужен как ни крути, а дать доступ только на 15 сайтов - ну глупо, и говорить не о чем. поэтому, я - не "за" использование своего фильтра и да, по Вашему решению, Цитата:
можно подробнее? |
Цитата:
Цитата:
Цитата:
Цитата:
Где у Вас вообще прописан DNS провайдера? Цитата:
Цитата:
|
Сколько можно мусолить? Решение давно найдено, vpn + фильтр. Если не устраивает скорость - могу дать свой на сутки потестить. Устроит - берите vds.
|
Цитата:
|
All, заканчиваем флуд! :butcher: Иначе прикрою тему.
malysh!, у вас ещё остались вопросы? |
Цитата:
теперь это - вопрос о корректности настройки адресов dns-серверов в настройках сетевых подключений на клиентах, в свете возникающих решений - вопрос о перенаправлении трафика через vds или прокси , а не через vpn (вот тут я ничего не понял/не знаю по этой теме), также в свете возникающего решения, не через vpn - поскольку в них есть ряд минусов Цитата:
Цитата:
будет прописан там, где скажете Цитата:
но вот в этом Цитата:
поскольку мало представляю как "взять vds", и что с ним потом, конкретно, делать и, если можно - хоть в двух словах, - как потестить то, что Вы предложите (основные шаги)? Цитата:
|
Вы же говорили, что пров блочит 53 порт? Каскад делать также с vds. Что то вроде клиент - squid - dansguardian - squid. Vds даже школьники пользуются, зарегаться, заплатить рублей 150 и по ssh уже по манам ставить vpn/proxy. Буду у компа скину клиент с конфигом. Установить и перетащить конфиг в клиент.
|
malysh!, Нарисуйте схему сети.
А то не понятно что у Вас и как устроенно. Поэтому дать рекомендацию по DNS затруднительно. Особенно интересует что является шлюзом сети. В vds есть ряд недостатков, а именно: 1- Цена 2- Обучения работы с linux (можно и на Windows взять но будет дороже) И данный вариант почти ничем не отличается от домашнего сервера. Для того что бы сделать каскадный прокси Вам необходимо запросить у домашнего провайдера статический ip адрес, установить прокси сервер (любой), а на работе поставить прокси сервер который поддерживает каскадные прокси (например UserGate или Squid) а дальше просто привязать Active Directory или по ip адресам. Единственное я не уверен что Squid под Windows это умеет. |
Я один только сейчас заметил, что у тс некий ics на фряхе в качестве шлюза? Ради любопытства, что мешало настроить все на windows server или контроллер домена на икс? И на какой машине vpn ставили? А то что-то не вижу в иксе хоть какого-то vpn клиента
|
Ага, я его что-то тоже не заметил.
Теперь я вообще не понимаю где находится dns. Кстати с учетом того что ИКС это web gui для фряхи то VPN клиент у нее обязан быть. Так же стоит отметить что squid там уже есть и единственное что осталось это настроить прокси дома и на ИКС сделать каскадирование. |
Вложений: 1
дорогие мои господа,
нарисовал схему своей сети Файл 107195 , там же указал Цитата:
да, Вы совершенно правы, vpn поднимается на икс-е, он же определяет принадлежность к группам, и пускает трафик по назначению Lonely_Mouse, о Ради любопытства, Цитата:
потом, в добавок, поверил статьям, что это "не секурно" Цитата:
Цитата:
Цитата:
однако всё равно не понял - где регаться, кому и за что платить (точнее, в месяц или как), похоже, буду обязан за пояснения для тупых, или за пару грамотных статей Цитата:
однако, приводит к ряду неудобств 1)постоянно включенный дома комп, 2)зависимость рабочего тырнета от состояния домашнего (как-то ненадежно звучит, к примеру даже перепады/отключение света), 3)проброс портов и сопутствующий гемор всё-таки, хотелось бы как-нибудь не дома, а, например, на стабильно работающем сервисе в тырнете Цитата:
несмотря на наличие такого фильтра (имеющегося), с прокуратурой всё равно есть проблемы, по последним сведениям, дошло до тупизма, как и многое в нашей стране, теперь прокуратура наехала на прова (РосТелеком) - по вопросу того, кто же должен фильтровать всё равно просачивающийся вредоносный трафик (это после их недавних проверок началось). интересно, наши великие умы в правительствах допетрят когда-нибудь, что корень проблемы не в фильтрации, а в публикациях |
Если кто то совершил незаконный доступ к охраняемой информации, то он и будет виноват.
Провайдер может быть виноват, если в договоре не предупредил о последствиях взлома сетей. Подписал договор, что будешь без нарушений использовать интернет? Чья подпись стоит? |
anderson-7, это Вы опять про старую историю с отловом? и зачем? об этом забыли же уже, так и до закрытия темы за офтоп недалеко. Если Вы имеете в виду мой предыдущий пост, то не поняли - о чем речь. Я рассказал о том, как пров получает незаслуженных люлей в связи с тем, что в фильтрации на исключение в принципе невозможно исключить все вредные сайты (а у них договор на контент-фильтрацию, значит типа обязаны). И никто из следящих за "порядком" в нашей стране этого понять не может. ну или не хочет. ну или как всегда выслужился для повышения (такой один у нас тут тоже есть).
ну и наконец забудьте Вы уже об отловах. об ответственности - это тоже лишнее, это и так понятно. |
вот по этому
Цитата:
есть другие решения, более правильные? (и вообще, всё-таки, это важно?) (напомню контекст - гарантированная работа доменных служб и перемещаемых профилей пользователей, в свете того что на клиентских машинах в качестве dns-серверов указан google) |
я не знаю куда модераторы смотрят, переписка идет, а к решению поставленной задачи нисколько не приближается, так будет еще год идти...
|
Тс просто придумал зачем то костыли с иксом, когда ad настраивается на windows. Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. я уже говорил, что из сабжа сделали портянку. дабы юзать свой икс, вам придется познакомиться с freebsd, подключиться по ssh с серверу с иксом и там уже ставить прокси/впн. Мануалов полно. Как вариант, vpn + прозрачный squid с dnsguarding, либо каскад, либо vpn + dns сервер с фильтром. Фильтров трафика по интерфейсу на фрюхе я не знаю. Тем более, не получится фильтровать как вам надо без внесений изменений. И базу в актуальном состоянии держать надо. Опять же, если работает гугловский днс достаточно найти паблик днс и настроить dnsmasq. Вот и все. Vds это виртуальная машина на сервере в датацентре, вам дают рут доступ, место, озу, цпу время по тарифу. firstvds например. про законы тут не надо, это вам на юр. форум
|
я пять лет назад смотрел программы для фильтрации от вредных сайтов.
очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика. Достаточно поставить его на шлюзе и все. Сколько не пытался зайти на какой нибудь вредный сайт, они были заблокированы. Огромнейший выбор категорий вредности сайтов, придумали даже такое, что в голову не придет. База фильтра обновляется. Можно вручную редактировать. |
malysh!, Спасибо за схему, пригодиться.
На будущее советую ее оформить более красиво. Теперь по существу Цитата:
Цитата:
Им гораздо проще было бы весь Ваш трафик пустить через прокси. Ну да ладно. Цитата:
Правда стоит отметить что обычно цены от 300 руб + если нужен Web GUI, а не чистая консоль то это еще 150 руб в месяц. Хотя на дорогих тарифах она обычно бесплатная. Главное будьте готовы к работе с ОС Linux/Unix Цитата:
|
anderson-7, прежде чем постить почитайте хотя бы шапку и последние две страницы. У тс шлюз на freebsd
|
господа ! при всём уважении, Вы читаете посты через строчку, и не те
вот и получается флуд, а не топик зачем-то завели разговор за ответственность, что как бы и так понятно, зачем-то завели обсуждение "мстительного прова", только и жаждущего - что отловить наивного юзера, хотя тема в-общем то была не об этом (но надо отдать должное, это привело к расширению возможных решений), опять же, зачем-то предлагаете решения по фильтрации трафика, хотя тема не о том что её нет, а как раз о том, что она есть, и как её обойти с условиями (но нужно опять же отдать должное, вспомнили ряд решений, которые можно использовать в дополнение к имеющемуся фильтру, в силу его оказывающейся недостаточности), при этом, нужные посты с вопросами так и остались без Вашего внимания (например, о разрешении имени контроллера домена, и файле hosts) а "тс", между тем, если нормально читать его посты, старается описывать вопросы предельно ясно, взять, к примеру, последнее, Цитата:
а Вы, извините, просто читали через строчку, или просто не захотели потратить время и понять, зато в чём-то упрекаете и такого флуда ото всех много, извините за резкость к примеру, зачем-то обсуждаем этот икс, сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать, в том числе и ssh, но мы тут не будем рекламировать коммерческое решение опять же, о том что я с его помощью уже сделал - Вы тоже пропустили, зато пишете кошмары Цитата:
и вот зачем мы и это тоже тут обсудили? Цитата:
в-общем, здесь и ранее я уже и сам нафлудил на две страницы, за что прошу прощения, извините, уважаемые форумчане и администрация, и в чём прав anderson-7, - тему пора закрывать, отчасти нерешённой. и вот тут (после очередного ликбеза) появилась ещё одна (может, безумная) мысль о каскадном прокси последний, вполне конкретный, вопрос есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется). так ли это? а мне нужен только http-трафик на клиентах. соответственно, мысль заключается в следующем, что, если для группы "учителя", на шлюзе, задать маршрут на каскадный прокси (или задать использование каскадного прокси)? этим вышестоящим прокси будет анонимайзер, платный/"секурный" (и вопрос опять не о том, будет ли работать этот анонимайзер. если не будет - пущу через vpn, заюзаю vds, или ещё как-нибудь, как мы тут уже обсуждали. и даже не о том, будет ли он "секурный") значит, можно будет использовать в качестве dns-сервера, в настройках подключения на клиентах, адрес всё того же моего шлюза. а шлюз, в свою очередь, будет просто форвардить dns-запросы группы "ученики" на вышестоящий dns (провайдера) (и не надо обсуждать - как, он и так это делает)(и даже к терминологии не нужно приставать - оно работает), а при запросе браузера при обращении "учителя", адрес сайта будет резолвиться не клиентом через шлюз, а через последний прокси - т.е. через анонимайзер зачем мне это надо? на клиентах не придётся прописывать googledns, и адрес моего контроллера домена также будет разрешаться в моей сети через службу dns. вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать? в этой теме уже неоднократно вспоминали о прокси, если вердикт на эту мысль уже прозвучал - значит я этого не понял, извините и ткните, пожалуйста, носом но только, если можно, как-то подробнее/понятнее |
Цитата:
Открою Вам маленький секрет. ИКС - переделанный клон Pfsense который кстати поддерживается гораздо лучше. А так как я являюсь одним из любителей этого самого Pfsense то скажу сразу что шаг влево или в право = работа с консолью. Это Вы поймете при столкновении с проблемами, возможно что как раз когда будите настраивать каскадный прокси т.к самый оптимальный вариант это сделать его на ИКС. Цитата:
Цитата:
Обычно прокси сервера или не быстрые или на них сидит не один человек. По этому VDS надежнее. Цитата:
Цитата:
|
То вы хотите сами фильтровать трафик для учеников, то уже пускать их через днс провайдера... Ставьте на компы учителей Tor. Иначе в любом случае придется работать с консолью.
|
Lonely_Mouse,
Rezor666, для того, чтобы для учителей работал такой резольвинг, который мы обсудили, обязательно необходимо, чтобы в строке "Прокси-сервер:" в браузере был прописан прокси (или адрес файла автонастройки) ? просто сейчас всё работает просто при запуске утилиты, которая от шлюза (в комплекте) |
Цитата:
Если бы все получали интернет от прокси тогда можно было бы использовать прозрачный прокси, а так надо указывать через GPO. Хотя можно извратиться и в squid указать клиентов которые будут идти в обход каскадной прокси. |
1)
Цитата:
2) Всем живущим в 20м веке, утверждающим, что: - "определить можно только по протоколу и порту ..."; - "Анонимайзеры не просматриваемы .."; - "SSL - не позволяет идентифицировать зашифрованное приложение" читайте про Next Generation Firewall (NGFW). http://blog.trinitygroup.ru/2013/10/...wall-next.html CheckPoint, Fortinet, Palo Alto Networks, Stonesoft - все эти девайсы, на раз: "наковыряют" полную информацию о ваших приложениях и покажут все соединения с анонимайзерами. Вот например дашборд Palo Alto http://img-fotki.yandex.ru/get/9309/..._cf28cad3_orig |
Уважаемый kim-aa.
Какое отношение Ваше сообщение имеет к посту ТС? |
Цитата:
Он тогда не не имел всех прибамбасов, тем более в бесплатной версии. А обновления для баз фильтра тогда скачивал точно так же, как антивирусные базы. Мне тогда только грозило, если например компания накроется, то мой фильтр продолжал бы работать но уже без обновления баз вредоносных сайтов.. |
Цитата:
Сообщение больше адресовалось к активным участникам флуда, т.к. ИМХО, если флудишь, то хотя бы технически грамотно ("Пусть не в рифму, за-то про войну!"). Так же, следует обратить внимание, что фильтрация подменой DNS - это по бедности провайдера. В настоящий момент существует куча технических решений осуществляющих тематическую URL-фильтрацию. ----------------------- anderson-7, ОК Нужно было более подробно упомянуть условия использования. Из контекста ответа это было не понятно. С бесплатной версией дела не имел, за сим, - комментировать не могу. ----------------------- Цитата:
Исключения, конечно возможны, т. к. никто не запрещает при реализации прокси пробовать осуществить URL-фильтрацию ПЕРЕД передачей запроса вышестоящему прокси. Но это больше к реализации механизма правил фильтрации относится. Честно говоря, на вашем бы месте я бы реализовал свой кеширующий DNS - сервер по защищенному каналу ползающий на родительский DNS за границу. Тогда шифрованного трафика будет самый мизер. А "нужным" людям достаточно прописать правильный DNS :) Да, забыл, однако. DNSCurv или DNSCrypt попробуйте http://www.dnscurve.org/ http://www.opendns.com/technology/dnscrypt/ |
опять я, и сразу по существу, господа
ищу спеца, который бы : - нанял дешевый vds (и указал бы реквизиты для его последующей оплаты), со статическим "белым" ip, и скоростью сетевого подключения не менее 10 Mбит/сек - на vds поставил бы прокси, с авторизацией по одному-единственному аккаунту (для исключения доступа сторонних лиц) (и сообщил бы этот аккаунт) - задал бы этому vds резолвить свои dns-запросы через gooooooooogle все предложения - в PM [off] модеры и админы forum.oszone.net загонят меня в навечный бан, но мне реально нужно то, о чем я прошу так что - уж извините мысль проста - я буду использовать его как вышестоящий прокси для группы "учителя" весь остальной контекст - см. выше |
господа !
последний, таки надеюсь, вопрос по существу вопрос избит, и много раз обсужден но все же, может кто-то подскажет что-то конкретное, и по существу нужен прокси под WinSrv 2008R2 который бы - был бесплатный или стоил немного - наименьшим образом интегрировался в систему, от него требуется только обработка http-трафика (web-сёрфинг) - мог бы авторизовать (для самого себя) пользователей на основе сведений из AD - мог бы сотрудничать с AD - пропускать или не пропускать через себя трафик, в зависимости от принадлежности пользователя к определенной группе в AD - мог бы использовать вышестоящий прокси, и направлять http-запросы пользователей на него механизм использования прост: в локальной сети будет два прокси, один из них - для "учителей", он будет перенаправлять их http-запросы на вышестоящий прокси (анонимайзер) определять принадлежность пользователя к группе "учителя" он будет через AD трафик всех пользователей, не принадлежащих группе "учителя", должен игнорироваться заранее спасибо за понимание, и терпимость к задаванию избитых вопросов, с уважением, я |
malysh!, Попробуйте squid
|
Господа, доброго времени!
Снова ищу спеца, который бы настроил персональную проксю в аргентине (гватемале? опять в мюнхене?) Все то же самое, Цитата:
Цитата:
Цитата:
|
Время: 13:21. |
Время: 13:21.
© OSzone.net 2001-