[anderson-7]

Если кто то совершил незаконный доступ к охраняемой информации, то он и будет виноват.
Провайдер может быть виноват, если в договоре не предупредил о последствиях взлома сетей.
Подписал договор, что будешь без нарушений использовать интернет?
Чья подпись стоит?

[malysh!]

anderson-7, это Вы опять про старую историю с отловом? и зачем? об этом забыли же уже, так и до закрытия темы за офтоп недалеко. Если Вы имеете в виду мой предыдущий пост, то не поняли - о чем речь. Я рассказал о том, как пров получает незаслуженных люлей в связи с тем, что в фильтрации на исключение в принципе невозможно исключить все вредные сайты (а у них договор на контент-фильтрацию, значит типа обязаны). И никто из следящих за "порядком" в нашей стране этого понять не может. ну или не хочет. ну или как всегда выслужился для повышения (такой один у нас тут тоже есть).
ну и наконец забудьте Вы уже об отловах. об ответственности - это тоже лишнее, это и так понятно.

[malysh!]

вот по этому

Цитата malysh!:

вопрос о корректности настройки адресов dns-серверов в настройках сетевых подключений на клиентах »

я так понял, возможно простое решение - прописать на клиентах сервант с AD в файле hosts
есть другие решения, более правильные? (и вообще, всё-таки, это важно?) (напомню контекст - гарантированная работа доменных служб и перемещаемых профилей пользователей, в свете того что на клиентских машинах в качестве dns-серверов указан google)

[anderson-7]

я не знаю куда модераторы смотрят, переписка идет, а к решению поставленной задачи нисколько не приближается, так будет еще год идти...

[Lonely_Mouse]

Тс просто придумал зачем то костыли с иксом, когда ad настраивается на windows. Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. я уже говорил, что из сабжа сделали портянку. дабы юзать свой икс, вам придется познакомиться с freebsd, подключиться по ssh с серверу с иксом и там уже ставить прокси/впн. Мануалов полно. Как вариант, vpn + прозрачный squid с dnsguarding, либо каскад, либо vpn + dns сервер с фильтром. Фильтров трафика по интерфейсу на фрюхе я не знаю. Тем более, не получится фильтровать как вам надо без внесений изменений. И базу в актуальном состоянии держать надо. Опять же, если работает гугловский днс достаточно найти паблик днс и настроить dnsmasq. Вот и все. Vds это виртуальная машина на сервере в датацентре, вам дают рут доступ, место, озу, цпу время по тарифу. firstvds например. про законы тут не надо, это вам на юр. форум

[anderson-7]

я пять лет назад смотрел программы для фильтрации от вредных сайтов.
очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика.
Достаточно поставить его на шлюзе и все.
Сколько не пытался зайти на какой нибудь вредный сайт, они были заблокированы.
Огромнейший выбор категорий вредности сайтов, придумали даже такое, что в голову не придет.
База фильтра обновляется. Можно вручную редактировать.

[Rezor666]

malysh!, Спасибо за схему, пригодиться.
На будущее советую ее оформить более красиво.

Теперь по существу

Цитата malysh!:

если честно, просто замучился делать из контроллера домена прокси-сервер, то одно не выходит, то другое вылетает (приходит в неработоспособность) »

И правильно сделали что не стали этого делать.

Цитата malysh!:

совершенно верно, на этом даже построена моя мысль в этом посте »

Не совсем понимаю в чем смысл для провайдера блокировать чужие DNS.
Им гораздо проще было бы весь Ваш трафик пустить через прокси.
Ну да ладно.

Цитата malysh!:

однако всё равно не понял - где регаться, кому и за что платить (точнее, в месяц или как), »

Регистрируйтесь там где посчитаете наиболее удобным и приемлемым по цене.
Правда стоит отметить что обычно цены от 300 руб + если нужен Web GUI, а не чистая консоль то это еще 150 руб в месяц.
Хотя на дорогих тарифах она обычно бесплатная.
Главное будьте готовы к работе с ОС Linux/Unix

Цитата malysh!:

всё-таки, хотелось бы как-нибудь не дома, а, например, на стабильно работающем сервисе в тырнете »

Тогда используйте VDS.

[Lonely_Mouse]

anderson-7, прежде чем постить почитайте хотя бы шапку и последние две страницы. У тс шлюз на freebsd

[malysh!]

господа ! при всём уважении, Вы читаете посты через строчку, и не те
вот и получается флуд, а не топик
зачем-то завели разговор за ответственность, что как бы и так понятно,
зачем-то завели обсуждение "мстительного прова", только и жаждущего - что отловить наивного юзера, хотя тема в-общем то была не об этом (но надо отдать должное, это привело к расширению возможных решений),
опять же, зачем-то предлагаете решения по фильтрации трафика, хотя тема не о том что её нет, а как раз о том, что она есть, и как её обойти с условиями (но нужно опять же отдать должное, вспомнили ряд решений, которые можно использовать в дополнение к имеющемуся фильтру, в силу его оказывающейся недостаточности),
при этом, нужные посты с вопросами так и остались без Вашего внимания (например, о разрешении имени контроллера домена, и файле hosts)

а "тс", между тем, если нормально читать его посты, старается описывать вопросы предельно ясно,
взять, к примеру, последнее,

Цитата Lonely_Mouse:

Тс... Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. »

"тс" как раз говорит, что запросы по 53-му порту не блокируются, а перехватываются оборудованием прова, а через google они проходят только в случае прохождения через vpn,
а Вы, извините, просто читали через строчку, или просто не захотели потратить время и понять, зато в чём-то упрекаете
и такого флуда ото всех много, извините за резкость
к примеру, зачем-то обсуждаем этот икс, сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать, в том числе и ssh, но мы тут не будем рекламировать коммерческое решение
опять же, о том что я с его помощью уже сделал - Вы тоже пропустили, зато пишете кошмары

Цитата Rezor666:

Не совсем понимаю в чем смысл для провайдера блокировать чужие DNS. »

да потому что этот netpolice для школ - система dns-контент-фильтрации, поэтому они просто для тех, кому надо, пускают dns-форвардинг со своего оборудования на dns-сервера netpolice (см. картинку),
и вот зачем мы и это тоже тут обсудили?

Цитата Lonely_Mouse:

Тс просто придумал зачем то костыли с иксом »

и получил за это +1 от Rezor666, и это тоже тут обсудим?

в-общем, здесь и ранее я уже и сам нафлудил на две страницы, за что прошу прощения,
извините, уважаемые форумчане и администрация,
и в чём прав anderson-7, - тему пора закрывать, отчасти нерешённой.

и вот тут (после очередного ликбеза) появилась ещё одна (может, безумная) мысль
о каскадном прокси
последний, вполне конкретный, вопрос
есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется).
так ли это?
а мне нужен только http-трафик на клиентах.
соответственно, мысль заключается в следующем,
что, если для группы "учителя", на шлюзе, задать маршрут на каскадный прокси (или задать использование каскадного прокси)? этим вышестоящим прокси будет анонимайзер, платный/"секурный" (и вопрос опять не о том, будет ли работать этот анонимайзер. если не будет - пущу через vpn, заюзаю vds, или ещё как-нибудь, как мы тут уже обсуждали. и даже не о том, будет ли он "секурный")
значит, можно будет использовать в качестве dns-сервера, в настройках подключения на клиентах, адрес всё того же моего шлюза.
а шлюз, в свою очередь, будет просто форвардить dns-запросы группы "ученики" на вышестоящий dns (провайдера) (и не надо обсуждать - как, он и так это делает)(и даже к терминологии не нужно приставать - оно работает),
а при запросе браузера при обращении "учителя", адрес сайта будет резолвиться не клиентом через шлюз, а через последний прокси - т.е. через анонимайзер
зачем мне это надо? на клиентах не придётся прописывать googledns, и адрес моего контроллера домена также будет разрешаться в моей сети через службу dns.
вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать?
в этой теме уже неоднократно вспоминали о прокси, если вердикт на эту мысль уже прозвучал - значит я этого не понял, извините и ткните, пожалуйста, носом
но только, если можно, как-то подробнее/понятнее

[Rezor666]

Цитата malysh!:

сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать »

Извините, но в этом Вы очень сильно заблуждаетесь.
Открою Вам маленький секрет.
ИКС - переделанный клон Pfsense который кстати поддерживается гораздо лучше.
А так как я являюсь одним из любителей этого самого Pfsense то скажу сразу что шаг влево или в право = работа с консолью.
Это Вы поймете при столкновении с проблемами, возможно что как раз когда будите настраивать каскадный прокси т.к самый оптимальный вариант это сделать его на ИКС.

Цитата malysh!:

так ли это? »

Да, последний прокси сервер отвечает за DNS запросы.

Цитата malysh!:

этим вышестоящим прокси будет анонимайзер, платный/"секурный" »

Тут скорее всего у Вас будет потеря в скорости.
Обычно прокси сервера или не быстрые или на них сидит не один человек.
По этому VDS надежнее.

Цитата malysh!:

dns-запросы группы "ученики" на вышестоящий dns (провайдера) »

Все верно.

Цитата malysh!:

вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать? »

Должна