|
Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет |
|
Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет
|
Пользователь Сообщения: 105 |
Профиль | Отправить PM | Цитировать и снова доброго времени, уважаемые форумчане !
на сей раз нерешаемая проблема состоит в следующем в двух словах: от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать подробно: как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова. нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит. я думаю, мотивы объяснил, вернусь к делу. ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы. настройка отдельно каждого из 200 компьютеров - идея как-то не очень на сегодняшний день располагаю: - компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ; - сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ; - adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ; задача: обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией) верю, что oszone.net , как обычно, знает решение и ответ на всё с уважением, я. |
|
Отправлено: 23:25, 14-11-2013 |
Забанен Сообщения: 1003
|
Доброе утро, страна. Проверка связи, раз, раз, раз, два...... Сигнал есть..
Я уточнил ситуацию. Вы можете подключить сразу два тарифа, фильтрованный и обычный, а там уже сами раздадите.. |
Отправлено: 09:10, 21-11-2013 | #31 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать anderson-7,
да это все и так понятно, правда в случае моей деревни, интернета подключить не получится, поскольку провайдер один и новое соединение означает проведение ещё одной телефонной пары до этого провайдера, этого никто делать не будет, но и не надо я же говорю, через vpn с платным анонимайзером нефильтрованный трафик вполне идет и раздаётся в сеть, и есть основания полагать, что и будет вполне вот как раз об этом Цитата anderson-7:
причем раздать на основе принадлежности пользователя к определенной группе в домене |
|
Последний раз редактировалось malysh!, 22-11-2013 в 15:01. Отправлено: 11:58, 21-11-2013 | #32 |
Ветеран Сообщения: 1081
|
Профиль | Отправить PM | Цитировать флудить прекращаем. у тс еще вопросы есть?
|
Отправлено: 19:50, 21-11-2013 | #33 |
Ветеран Сообщения: 20045
|
Профиль | Отправить PM | Цитировать Цитата malysh!:
Описание PS На пятой картинке флеш анимации tutorial video |
|
------- Последний раз редактировалось yurfed, 21-11-2013 в 20:48. Отправлено: 20:38, 21-11-2013 | #34 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать yurfed,
Цитата yurfed:
соответственно оно будет доступно всем пользователям - а это то, чего не нужно делать второй минус - в необходимости добавлении каждого нужного сайта на каждой машине, вручную это - не вариант можно, конечно, попробовать "хромовые групповые политики" (есть и такие), но не факт, что они работают для расширений хрома пока же нашел решение в следующем сисадмины школ ! вот вам откровение. однако, решение имеет огромный и неизгладимый минус (в разрешении имен внутри домена) итак, если от провайдера Вам приходит dns-фильтрованный интернет, если у Вас настроена доменная сеть, с группами пользователей "ученики" и "учителя", если Вы располагаете компьютером-шлюзом в своей сети, известным коммерческим решением, или ещё какой-нибудь хренью, которая способна поднимать vpn, пускать трафик пользователей по разным маршрутам (через этот vpn, и через штатный доступ в интернет), и при этом определять пользователей и принадлежность их к группам в Вашем домене, то прописываем на клиентах dns какого-нибудь гугла (8.8.8.8) или ещё чего такого же (сделать Вы это можете вручную, политиками, dhcp, или ещё какими-либо известными способами) пускаем трафик группы "ученики" по штатному маршруту, пускаем трафик группы "учителя" через vpn всё смысл конструкции получается в следующем "ученик" - входит на клиентскую машину в качестве пользователя домена, - авторизуется на шлюзе в качестве соответствующего ему пользователя (если шлюз не совмещён с Вашим контроллером домена), - трафик этого "ученика" идет по штатному каналу, - соответственно, dns-имена сайтов пытаются разрешиться через dns-сервера гугла (или что Вы выбрали), через штатный канал, а поэтому - эти dns-запросы перехватываются оборудованием провайдера - как следствие, запрос к ненужным сайтам переадресовывается на страницу блокировки (dns-запрос разрешился в адрес хоста страницы блокировки) "учитель", соответственно - входит на клиентскую машину в качестве пользователя домена, - авторизуется на шлюзе в качестве соответствующего ему пользователя, - трафик этого "учителя" идет по шифрованному vpn-каналу, который оборудование провайдера "не в силах" прослушать - соответственно, dns-имена сайтов пытаются разрешиться через dns-сервера гугла (или что Вы выбрали), по gre-туннелю, а поэтому вполне себе разрешаются - как следствие, запрос ко всем сайтам вполне себе проходит так же, как если бы у Вас был доступ в интернет как у всех белых людей но, решение, повторюсь, не очень, поскольку в настойках сети на клиентах, всё-таки, в качестве предпочитаемого dns-сервера должен стоять контроллер домена, или Ваш, нормальный, корпоративный dns-сервер (я почему-то себе это именно так представляю) в Административных шаблонах в GPO нашел "Computer Configuration->Administrative Templates->Network->DNS Client", там есть параметр "DNS Server" - то что нужно! но есть комментарий : "Supported on Windows XP Professional only" попытаюсь отработать ещё это решение однако, пока неясно - как заставить делать тоже самое Windows 7 вот как-то так вот всё |
|
Отправлено: 23:40, 21-11-2013 | #35 |
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать Боже мой, какой ужас.
Столько слов и откровений что я еще больше убеждаюсь что учителя вообще не разбираются в своем предмете. 1- С помощью GPO Вы не сможете управлять Google chrome. 2- Если уж у Вас шило в попе то почему бы просто не сделать каскадную проксю? Это избавит от геморроя с DNS. Если нужно с шифрованием то пустить проксю через ssh туннель с RSA ключом. Все что Вам после этого останется это просто нужной группе через GPO указать прокси сервер или pac файл. Как преимущество Вы сможете кэшировать и фильтровать трафик по желанию. 3- Я не вижу никакой проблемы назначить на шлюзе статический DNS сервер гугла. 4- Используя VPN Вы автоматом даете возможность провайдеру просто перекрыть Вам протокол GRE и все что Вам останется это надеяться что Вы просто получите выговор. |
------- Отправлено: 00:06, 22-11-2013 | #36 |
Забанен Сообщения: 1003
|
Цитата Rezor666:
Один прокси все решит. |
|
Отправлено: 00:36, 22-11-2013 | #37 |
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать anderson-7, Как решит?
На шлюзе забит днс провайдера. Или Вы предлагаете в открытом виде отсылать адреса запрещенных сайтов провайдеру? (это если сразу указать домашний прокси) По этому гораздо надежнее сделать ssh тунель и соединить прокси сервера. Можно и vpn конечно использовать, но его спалят по GRE трафику или UDP (если L2TP), можно правда еще использовать OpenVPN. В общем любой вариант будет явно лучше чем действующие извращения ТС. |
------- Отправлено: 00:56, 22-11-2013 | #38 |
Ветеран Сообщения: 27449
|
Профиль | Отправить PM | Цитировать Цитата Rezor666:
|
|
Отправлено: 01:14, 22-11-2013 | #39 |
Ветеран Сообщения: 2738
|
Профиль | Сайт | Отправить PM | Цитировать Цитата Iska:
Не думаю что в обязанности учителя входит построения сети и обход блокировок. И как мне кажется учитель это знать обязан, хоть это и не школьный курс. |
|
------- Отправлено: 01:22, 22-11-2013 | #40 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Route/Bridge - точка доступа Trendnet TEW-690AP раздача интернета | petr_al | Сетевые технологии | 1 | 21-03-2012 19:43 | |
UserGate - У пользователя нет доступа у инет-у. | Chydak | Сетевые технологии | 14 | 12-12-2011 08:23 | |
Интернет - Точка доступа(HotSpot) wi-fi и раздача интернет. Проблемы | dis12 | Microsoft Windows 7 | 0 | 19-08-2011 17:55 | |
Песенка правильного BIOSфлэшера | Gold Dragon | Юмор | 0 | 22-11-2009 18:40 | |
Организация доступа в инет | GM07 | Сетевые технологии | 3 | 18-12-2003 15:56 |
|