[Lonely_Mouse]

То вы хотите сами фильтровать трафик для учеников, то уже пускать их через днс провайдера... Ставьте на компы учителей Tor. Иначе в любом случае придется работать с консолью.

[malysh!]

Lonely_Mouse,

читать дальше »

ну может, хватит?
я никогда и не хотел его сам фильтровать, и даже объяснял - почему, как Вы не поймёте, ну он сам фильтруется, почитайте уже шапку. ну поймите, это dns-фильтрация, она сама работает, достаточно просто настроить обычное подключение к Интернету через ADSL-роутер. "компов учителей" у меня нет, и они не нужны - вход, определение прав доступа происходит по политикам, и Тор - не работает, ну почитайте уже тему

Rezor666, для того, чтобы для учителей работал такой резольвинг, который мы обсудили, обязательно необходимо, чтобы в строке "Прокси-сервер:" в браузере был прописан прокси (или адрес файла автонастройки) ?
просто сейчас всё работает просто при запуске утилиты, которая от шлюза (в комплекте)

[Rezor666]

Цитата malysh!:

в браузере был прописан прокси (или адрес файла автонастройки) ? »

В вашем случае - да.
Если бы все получали интернет от прокси тогда можно было бы использовать прозрачный прокси, а так надо указывать через GPO.
Хотя можно извратиться и в squid указать клиентов которые будут идти в обход каскадной прокси.

[kim-aa]

1)

Цитата anderson-7:

я пять лет назад смотрел программы для фильтрации от вредных сайтов. очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика. Достаточно поставить его на шлюзе и все.... »

Это не так. FortiClient тягает базы и настройки с родительского фаервола Fortinet. FortiClient это средство NAC: усиление контроля состояния клиента + идентификация пользователя + антивредонос

2) Всем живущим в 20м веке, утверждающим, что:
- "определить можно только по протоколу и порту ...";
- "Анонимайзеры не просматриваемы ..";
- "SSL - не позволяет идентифицировать зашифрованное приложение"

читайте про Next Generation Firewall (NGFW).
http://blog.trinitygroup.ru/2013/10/...wall-next.html

CheckPoint, Fortinet, Palo Alto Networks, Stonesoft - все эти девайсы, на раз: "наковыряют" полную информацию о ваших приложениях и покажут все соединения с анонимайзерами.

Вот например дашборд Palo Alto

http://img-fotki.yandex.ru/get/9309/..._cf28cad3_orig

[Lunar Wolf]

Уважаемый kim-aa.
Какое отношение Ваше сообщение имеет к посту ТС?

[anderson-7]

Цитата kim-aa:

Это не так. »

Что не так? Я говорил об антивирусе 5-летней давности бесплатной версии.
Он тогда не не имел всех прибамбасов, тем более в бесплатной версии. А обновления для баз фильтра тогда скачивал точно так же, как антивирусные базы.
Мне тогда только грозило, если например компания накроется, то мой фильтр продолжал бы работать но уже без обновления баз вредоносных сайтов..

[kim-aa]

Цитата Lunar Wolf:

Уважаемый kim-aa. Какое отношение Ваше сообщение имеет к посту ТС? »

К самому посту - никакого. Собственно, автор поста, и так более или менее все описал. В том числе и одно из решений.
Сообщение больше адресовалось к активным участникам флуда, т.к. ИМХО, если флудишь, то хотя бы технически грамотно ("Пусть не в рифму, за-то про войну!").
Так же, следует обратить внимание, что фильтрация подменой DNS - это по бедности провайдера.
В настоящий момент существует куча технических решений осуществляющих тематическую URL-фильтрацию.
-----------------------

anderson-7, ОК
Нужно было более подробно упомянуть условия использования. Из контекста ответа это было не понятно.
С бесплатной версией дела не имел, за сим, - комментировать не могу.
-----------------------

Цитата malysh!:

есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется). так ли это? »

Да, это так. Единственное, вся адресация к промежуточным прокси должна быть по IP.
Исключения, конечно возможны, т. к. никто не запрещает при реализации прокси пробовать осуществить URL-фильтрацию ПЕРЕД передачей запроса вышестоящему прокси. Но это больше к реализации механизма правил фильтрации относится.


Честно говоря, на вашем бы месте я бы реализовал свой кеширующий DNS - сервер по защищенному каналу ползающий на родительский DNS за границу. Тогда шифрованного трафика будет самый мизер. А "нужным" людям достаточно прописать правильный DNS

Да, забыл, однако.

DNSCurv или DNSCrypt попробуйте

http://www.dnscurve.org/
http://www.opendns.com/technology/dnscrypt/

[malysh!]

опять я, и сразу по существу, господа
ищу спеца,
который бы :
- нанял дешевый vds (и указал бы реквизиты для его последующей оплаты), со статическим "белым" ip, и скоростью сетевого подключения не менее 10 Mбит/сек
- на vds поставил бы прокси, с авторизацией по одному-единственному аккаунту (для исключения доступа сторонних лиц) (и сообщил бы этот аккаунт)
- задал бы этому vds резолвить свои dns-запросы через gooooooooogle

все предложения - в PM [off]

модеры и админы forum.oszone.net загонят меня в навечный бан, но мне реально нужно то, о чем я прошу
так что - уж извините

мысль проста - я буду использовать его как вышестоящий прокси для группы "учителя"
весь остальной контекст - см. выше

[malysh!]

господа !
последний, таки надеюсь, вопрос
по существу
вопрос избит, и много раз обсужден
но все же, может кто-то подскажет что-то конкретное, и по существу

нужен прокси под WinSrv 2008R2
который бы
- был бесплатный или стоил немного
- наименьшим образом интегрировался в систему, от него требуется только обработка http-трафика (web-сёрфинг)
- мог бы авторизовать (для самого себя) пользователей на основе сведений из AD
- мог бы сотрудничать с AD - пропускать или не пропускать через себя трафик, в зависимости от принадлежности пользователя к определенной группе в AD
- мог бы использовать вышестоящий прокси, и направлять http-запросы пользователей на него

механизм использования прост:
в локальной сети будет два прокси, один из них - для "учителей", он будет перенаправлять их http-запросы на вышестоящий прокси (анонимайзер)
определять принадлежность пользователя к группе "учителя" он будет через AD
трафик всех пользователей, не принадлежащих группе "учителя", должен игнорироваться

заранее спасибо за понимание, и терпимость к задаванию избитых вопросов,
с уважением, я

[Rezor666]

malysh!, Попробуйте squid