|
Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет |
|
Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет
|
Пользователь Сообщения: 105 |
Профиль | Отправить PM | Цитировать и снова доброго времени, уважаемые форумчане !
на сей раз нерешаемая проблема состоит в следующем в двух словах: от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать подробно: как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова. нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит. я думаю, мотивы объяснил, вернусь к делу. ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы. настройка отдельно каждого из 200 компьютеров - идея как-то не очень на сегодняшний день располагаю: - компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ; - сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ; - adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ; задача: обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией) верю, что oszone.net , как обычно, знает решение и ответ на всё с уважением, я. |
|
Отправлено: 23:25, 14-11-2013 |
Забанен Сообщения: 1003
|
Если кто то совершил незаконный доступ к охраняемой информации, то он и будет виноват.
Провайдер может быть виноват, если в договоре не предупредил о последствиях взлома сетей. Подписал договор, что будешь без нарушений использовать интернет? Чья подпись стоит? |
Отправлено: 09:32, 24-11-2013 | #61 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать anderson-7, это Вы опять про старую историю с отловом? и зачем? об этом забыли же уже, так и до закрытия темы за офтоп недалеко. Если Вы имеете в виду мой предыдущий пост, то не поняли - о чем речь. Я рассказал о том, как пров получает незаслуженных люлей в связи с тем, что в фильтрации на исключение в принципе невозможно исключить все вредные сайты (а у них договор на контент-фильтрацию, значит типа обязаны). И никто из следящих за "порядком" в нашей стране этого понять не может. ну или не хочет. ну или как всегда выслужился для повышения (такой один у нас тут тоже есть).
ну и наконец забудьте Вы уже об отловах. об ответственности - это тоже лишнее, это и так понятно. |
Последний раз редактировалось malysh!, 24-11-2013 в 10:20. Отправлено: 09:41, 24-11-2013 | #62 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать вот по этому
Цитата malysh!:
есть другие решения, более правильные? (и вообще, всё-таки, это важно?) (напомню контекст - гарантированная работа доменных служб и перемещаемых профилей пользователей, в свете того что на клиентских машинах в качестве dns-серверов указан google) |
|
Отправлено: 10:11, 24-11-2013 | #63 |
Забанен Сообщения: 1003
|
я не знаю куда модераторы смотрят, переписка идет, а к решению поставленной задачи нисколько не приближается, так будет еще год идти...
|
Отправлено: 10:21, 24-11-2013 | #64 |
Ветеран Сообщения: 1081
|
Профиль | Отправить PM | Цитировать Тс просто придумал зачем то костыли с иксом, когда ad настраивается на windows. Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. я уже говорил, что из сабжа сделали портянку. дабы юзать свой икс, вам придется познакомиться с freebsd, подключиться по ssh с серверу с иксом и там уже ставить прокси/впн. Мануалов полно. Как вариант, vpn + прозрачный squid с dnsguarding, либо каскад, либо vpn + dns сервер с фильтром. Фильтров трафика по интерфейсу на фрюхе я не знаю. Тем более, не получится фильтровать как вам надо без внесений изменений. И базу в актуальном состоянии держать надо. Опять же, если работает гугловский днс достаточно найти паблик днс и настроить dnsmasq. Вот и все. Vds это виртуальная машина на сервере в датацентре, вам дают рут доступ, место, озу, цпу время по тарифу. firstvds например. про законы тут не надо, это вам на юр. форум
|
Отправлено: 11:52, 24-11-2013 | #65 |
Забанен Сообщения: 1003
|
я пять лет назад смотрел программы для фильтрации от вредных сайтов.
очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика. Достаточно поставить его на шлюзе и все. Сколько не пытался зайти на какой нибудь вредный сайт, они были заблокированы. Огромнейший выбор категорий вредности сайтов, придумали даже такое, что в голову не придет. База фильтра обновляется. Можно вручную редактировать. |
Отправлено: 12:41, 24-11-2013 | #66 |
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать malysh!, Спасибо за схему, пригодиться.
На будущее советую ее оформить более красиво. Теперь по существу Цитата malysh!:
Цитата malysh!:
Им гораздо проще было бы весь Ваш трафик пустить через прокси. Ну да ладно. Цитата malysh!:
Правда стоит отметить что обычно цены от 300 руб + если нужен Web GUI, а не чистая консоль то это еще 150 руб в месяц. Хотя на дорогих тарифах она обычно бесплатная. Главное будьте готовы к работе с ОС Linux/Unix Цитата malysh!:
|
||||
------- Отправлено: 12:49, 24-11-2013 | #67 |
Ветеран Сообщения: 1081
|
Профиль | Отправить PM | Цитировать anderson-7, прежде чем постить почитайте хотя бы шапку и последние две страницы. У тс шлюз на freebsd
|
Отправлено: 14:03, 24-11-2013 | #68 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать господа ! при всём уважении, Вы читаете посты через строчку, и не те
вот и получается флуд, а не топик зачем-то завели разговор за ответственность, что как бы и так понятно, зачем-то завели обсуждение "мстительного прова", только и жаждущего - что отловить наивного юзера, хотя тема в-общем то была не об этом (но надо отдать должное, это привело к расширению возможных решений), опять же, зачем-то предлагаете решения по фильтрации трафика, хотя тема не о том что её нет, а как раз о том, что она есть, и как её обойти с условиями (но нужно опять же отдать должное, вспомнили ряд решений, которые можно использовать в дополнение к имеющемуся фильтру, в силу его оказывающейся недостаточности), при этом, нужные посты с вопросами так и остались без Вашего внимания (например, о разрешении имени контроллера домена, и файле hosts) а "тс", между тем, если нормально читать его посты, старается описывать вопросы предельно ясно, взять, к примеру, последнее, Цитата Lonely_Mouse:
а Вы, извините, просто читали через строчку, или просто не захотели потратить время и понять, зато в чём-то упрекаете и такого флуда ото всех много, извините за резкость к примеру, зачем-то обсуждаем этот икс, сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать, в том числе и ssh, но мы тут не будем рекламировать коммерческое решение опять же, о том что я с его помощью уже сделал - Вы тоже пропустили, зато пишете кошмары Цитата Rezor666:
и вот зачем мы и это тоже тут обсудили? Цитата Lonely_Mouse:
в-общем, здесь и ранее я уже и сам нафлудил на две страницы, за что прошу прощения, извините, уважаемые форумчане и администрация, и в чём прав anderson-7, - тему пора закрывать, отчасти нерешённой. и вот тут (после очередного ликбеза) появилась ещё одна (может, безумная) мысль о каскадном прокси последний, вполне конкретный, вопрос есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется). так ли это? а мне нужен только http-трафик на клиентах. соответственно, мысль заключается в следующем, что, если для группы "учителя", на шлюзе, задать маршрут на каскадный прокси (или задать использование каскадного прокси)? этим вышестоящим прокси будет анонимайзер, платный/"секурный" (и вопрос опять не о том, будет ли работать этот анонимайзер. если не будет - пущу через vpn, заюзаю vds, или ещё как-нибудь, как мы тут уже обсуждали. и даже не о том, будет ли он "секурный") значит, можно будет использовать в качестве dns-сервера, в настройках подключения на клиентах, адрес всё того же моего шлюза. а шлюз, в свою очередь, будет просто форвардить dns-запросы группы "ученики" на вышестоящий dns (провайдера) (и не надо обсуждать - как, он и так это делает)(и даже к терминологии не нужно приставать - оно работает), а при запросе браузера при обращении "учителя", адрес сайта будет резолвиться не клиентом через шлюз, а через последний прокси - т.е. через анонимайзер зачем мне это надо? на клиентах не придётся прописывать googledns, и адрес моего контроллера домена также будет разрешаться в моей сети через службу dns. вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать? в этой теме уже неоднократно вспоминали о прокси, если вердикт на эту мысль уже прозвучал - значит я этого не понял, извините и ткните, пожалуйста, носом но только, если можно, как-то подробнее/понятнее |
|||
Отправлено: 21:44, 24-11-2013 | #69 |
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать Цитата malysh!:
Открою Вам маленький секрет. ИКС - переделанный клон Pfsense который кстати поддерживается гораздо лучше. А так как я являюсь одним из любителей этого самого Pfsense то скажу сразу что шаг влево или в право = работа с консолью. Это Вы поймете при столкновении с проблемами, возможно что как раз когда будите настраивать каскадный прокси т.к самый оптимальный вариант это сделать его на ИКС. Цитата malysh!:
Цитата malysh!:
Обычно прокси сервера или не быстрые или на них сидит не один человек. По этому VDS надежнее. Цитата malysh!:
Цитата malysh!:
|
|||||
------- Последний раз редактировалось Rezor666, 24-11-2013 в 22:58. Отправлено: 22:34, 24-11-2013 | #70 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Route/Bridge - точка доступа Trendnet TEW-690AP раздача интернета | petr_al | Сетевые технологии | 1 | 21-03-2012 19:43 | |
UserGate - У пользователя нет доступа у инет-у. | Chydak | Сетевые технологии | 14 | 12-12-2011 08:23 | |
Интернет - Точка доступа(HotSpot) wi-fi и раздача интернет. Проблемы | dis12 | Microsoft Windows 7 | 0 | 19-08-2011 17:55 | |
Песенка правильного BIOSфлэшера | Gold Dragon | Юмор | 0 | 22-11-2009 18:40 | |
Организация доступа в инет | GM07 | Сетевые технологии | 3 | 18-12-2003 15:56 |
|