|
Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет |
|
Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет
|
Пользователь Сообщения: 105 |
Профиль | Отправить PM | Цитировать и снова доброго времени, уважаемые форумчане !
на сей раз нерешаемая проблема состоит в следующем в двух словах: от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать подробно: как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова. нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит. я думаю, мотивы объяснил, вернусь к делу. ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы. настройка отдельно каждого из 200 компьютеров - идея как-то не очень на сегодняшний день располагаю: - компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ; - сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ; - adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ; задача: обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией) верю, что oszone.net , как обычно, знает решение и ответ на всё с уважением, я. |
|
Отправлено: 23:25, 14-11-2013 |
Забанен Сообщения: 1003
|
Вы можете только это решить с самим провайдером. Но вас пошлют, скажут вы школа, вам дают что вам положено.
|
Отправлено: 18:10, 16-11-2013 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата anderson-7:
ведь Вы посмотрите - клиентские машины в этом процессе ну никак не главные, всё решается на уровне разрешения dns-имён, соответственно, кто разрешает dns-имена, тот и правит балом, обход фильтрации гарантирован. и если одни и те же клиентские машины, в зависимости от того какой доменный пользователь на них вошёл (точнее - к какой группе в домене этот пользователь принадлежит), - смогут разрешать dns-имена через разные серверы, то это и будет то что нужно. заходит на машину пользователь, состоящий в группе "учителя" в домене, и машина обращается к одному dns-серверу в локальной сети, заходит "ученик" - и к другому. соответственно, один свой dns-сервер разрешает имена через dns-сервера провайдера, и обеспечивается фильтрация, другой свой dns-сервер разрешает dns-имена через vpn, то есть через шифрованный gre-туннель, и этим действием обходит перехват трафика по порту 53 на серверах провайдера. как-то так .. |
|
Отправлено: 18:46, 16-11-2013 | #12 |
Забанен Сообщения: 1003
|
Если только в сети этого же провайдера поставить сервер и там доступ ко всем сайтам и бросить тунель на него.
|
Отправлено: 19:37, 16-11-2013 | #13 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата anderson-7:
vpn с анонимайзерами поднимается - проверено единственное что - нужно знать ip vpn-сервера сайта-анонимайзера вполне получилось поднять vpn с первым попавшимся сервером, найденным в поисковике по запросу "vpn" трафик через такой vpn проходит - тоже проверял |
|
Последний раз редактировалось malysh!, 16-11-2013 в 20:14. Отправлено: 19:52, 16-11-2013 | #14 |
DOOMer Сообщения: 3254
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 20:40, 16-11-2013 | #15 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата CyberDaemon:
однако dns-имена разрешает тоже через провайдера, как следствие, заблокированные сайты - и здесь заблокированы возможно, отправляет dns-запросы на свой сервер в инете (этого проверить я не компетентен), однако похоже что тоже по порту 53 - поскольку контент-фильтрация всё равно срабатывает |
|
Отправлено: 21:32, 16-11-2013 | #16 |
Забанен Сообщения: 5828
|
|
Отправлено: 21:41, 16-11-2013 | #17 |
Ветеран Сообщения: 1081
|
Профиль | Отправить PM | Цитировать Бесплатные впн/прокси могут смотреть ваш трафик, а это небезопасно. Лучший вариант поставить на стороне например openvpn, подключить сервер, а для своих фильтровать, либо перебрасывать днс запросы на внешний днс, но тогда надо искать с нестандартным портом т.к. стандартный блокируется
|
Отправлено: 18:07, 17-11-2013 | #18 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата Leha Ares:
настройки браузеров - заново перепинывать всю сеть, ведь у меня и так уже прокси - вся организация через него ходит, стоит тут недалеко в кабинете. настраивать везде так, чтобы свой прокси прописывать не надо было, мутить чтобы авторизация на своем прокси происходила каким-то другим методом - это и есть перепинывать всю сеть звиняйте за мой пафос, но как-то не айс к тому же у провайдера - тоже не дураки, и ignorelist, и vulticulus заблокированы можно, конечно, вместо имен писать в адресе ip (95.143.192.252 на момент написания), но не работает (может, неправильно пытался - опять же свой прокси) опять же минус решения - отслеживать изменение ip анонимайзера пытался настроить на сервере как вышестоящий прокси - тоже не вышло, думаю что опять же из-за разрешения клиентскими машинами dns-имен через мой прокси (потому что он, в свою очередь, разрешает через провайдера) а отключать dns-сервер на своем прокси-сервере тоже не идет - отваливается нахождение контроллера домена (клиентские машины не могут после этого найти контроллер домена) порочный круг получается опять же минус именно этого решения правильно заметил Lonely_Mouse, Цитата Lonely_Mouse:
Lonely_Mouse, что Вы имели в виду под Цитата Lonely_Mouse:
и я, честно говоря, до конца не понял смысл решения можно, пожалуйста, подробнее ? на данный момент, используя платный vpn, добился того, что - все компы ходят в инет через комп-шлюз, но фильтр срабатывает - комп-шлюз способен гарантированно обходить dns-фильтр, если разрешает dns-имена через vpn, но этого позволить я ему не могу - тогда фильтр для всех будет обходится, а это как раз то, чего нужно избежать (вплоть до отказа от самой идеи) - контроллер домена может служить dns-сервером с фильтрацией - на нем по умолчанию подразумевается dns-сервер, и он на данный момент способен разрешать dns-имена через провайдера осталось дело за малым : заставить клиентские машины разрешать dns-имена через разные серверы, в зависимости от того, к какой группе в домене принадлежит пользователь, входящий на машину |
|||
Последний раз редактировалось malysh!, 18-11-2013 в 23:16. Отправлено: 22:57, 18-11-2013 | #19 |
Пользователь Сообщения: 105
|
Профиль | Отправить PM | Цитировать Цитата Leha Ares:
|
|
Отправлено: 23:27, 18-11-2013 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Route/Bridge - точка доступа Trendnet TEW-690AP раздача интернета | petr_al | Сетевые технологии | 1 | 21-03-2012 19:43 | |
UserGate - У пользователя нет доступа у инет-у. | Chydak | Сетевые технологии | 14 | 12-12-2011 08:23 | |
Интернет - Точка доступа(HotSpot) wi-fi и раздача интернет. Проблемы | dis12 | Microsoft Windows 7 | 0 | 19-08-2011 17:55 | |
Песенка правильного BIOSфлэшера | Gold Dragon | Юмор | 0 | 22-11-2009 18:40 | |
Организация доступа в инет | GM07 | Сетевые технологии | 3 | 18-12-2003 15:56 |
|