Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет

Ответить
Настройки темы
Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет

Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


и снова доброго времени, уважаемые форумчане !

на сей раз нерешаемая проблема состоит в следующем

в двух словах:
от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки
требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать

подробно:
как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова.
нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит.
я думаю, мотивы объяснил, вернусь к делу.
ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы.
настройка отдельно каждого из 200 компьютеров - идея как-то не очень
на сегодняшний день располагаю:
- компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ;
- сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ;
- adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ;

задача:
обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией)

верю, что oszone.net , как обычно, знает решение и ответ на всё
с уважением, я.

Отправлено: 23:25, 14-11-2013

 

Аватара для anderson-7

Забанен


Сообщения: 1003
Благодарности: 77

Профиль | Цитировать


Вы можете только это решить с самим провайдером. Но вас пошлют, скажут вы школа, вам дают что вам положено.

Отправлено: 18:10, 16-11-2013 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата anderson-7:
можете только »
два своих dns-сервера всё решат - это очевидно
ведь Вы посмотрите -
клиентские машины в этом процессе ну никак не главные, всё решается на уровне разрешения dns-имён,
соответственно, кто разрешает dns-имена, тот и правит балом, обход фильтрации гарантирован.
и
если одни и те же клиентские машины, в зависимости от того какой доменный пользователь на них вошёл (точнее - к какой группе в домене этот пользователь принадлежит), - смогут разрешать dns-имена через разные серверы, то это и будет то что нужно.
заходит на машину пользователь, состоящий в группе "учителя" в домене, и машина обращается к одному dns-серверу в локальной сети,
заходит "ученик" - и к другому.
соответственно, один свой dns-сервер разрешает имена через dns-сервера провайдера, и обеспечивается фильтрация,
другой свой dns-сервер разрешает dns-имена через vpn, то есть через шифрованный gre-туннель, и этим действием обходит перехват трафика по порту 53 на серверах провайдера.

как-то так ..

Отправлено: 18:46, 16-11-2013 | #12


Аватара для anderson-7

Забанен


Сообщения: 1003
Благодарности: 77

Профиль | Цитировать


Если только в сети этого же провайдера поставить сервер и там доступ ко всем сайтам и бросить тунель на него.

Отправлено: 19:37, 16-11-2013 | #13


Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата anderson-7:
в сети этого же провайдера »
зачем ?
vpn с анонимайзерами поднимается - проверено
единственное что - нужно знать ip vpn-сервера сайта-анонимайзера
вполне получилось поднять vpn с первым попавшимся сервером, найденным в поисковике по запросу "vpn"
трафик через такой vpn проходит - тоже проверял

Последний раз редактировалось malysh!, 16-11-2013 в 20:14.


Отправлено: 19:52, 16-11-2013 | #14


Аватара для CyberDaemon

DOOMer


Contributor


Сообщения: 3254
Благодарности: 437

Профиль | Отправить PM | Цитировать


Tor Browser?

-------
"640 K ought to be enough for anybody" Bill Gates, 1981


Отправлено: 20:40, 16-11-2013 | #15


Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата CyberDaemon:
Tor Browser? »
хорошее решение, очень понравилось,
однако dns-имена разрешает тоже через провайдера,
как следствие, заблокированные сайты - и здесь заблокированы
возможно, отправляет dns-запросы на свой сервер в инете (этого проверить я не компетентен), однако похоже что тоже по порту 53 - поскольку контент-фильтрация всё равно срабатывает

Отправлено: 21:32, 16-11-2013 | #16


Забанен


Сообщения: 5828
Благодарности: 1241

Профиль | Цитировать


malysh!, а попробуйте прописать в настройках браузера прокси-сервер
Код: Выделить весь код
http://vulticulus.ignorelist.com/proxy.pac
Сегодня как раз внезапно обнаружил, что провайдер заблокировал доступ на нужный мне сайт, указанный фикс решил проблему сразу.

Отправлено: 21:41, 16-11-2013 | #17


Аватара для Lonely_Mouse

Ветеран


Сообщения: 1056
Благодарности: 92

Профиль | Отправить PM | Цитировать


Бесплатные впн/прокси могут смотреть ваш трафик, а это небезопасно. Лучший вариант поставить на стороне например openvpn, подключить сервер, а для своих фильтровать, либо перебрасывать днс запросы на внешний днс, но тогда надо искать с нестандартным портом т.к. стандартный блокируется

Отправлено: 18:07, 17-11-2013 | #18


Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата Leha Ares:
прописать в настройках браузера прокси-сервер »
отписываюсь по решению
настройки браузеров - заново перепинывать всю сеть, ведь у меня и так уже прокси - вся организация через него ходит, стоит тут недалеко в кабинете.
настраивать везде так, чтобы свой прокси прописывать не надо было, мутить чтобы авторизация на своем прокси происходила каким-то другим методом - это и есть перепинывать всю сеть
звиняйте за мой пафос, но как-то не айс
к тому же у провайдера - тоже не дураки, и ignorelist, и vulticulus заблокированы
можно, конечно, вместо имен писать в адресе ip (95.143.192.252 на момент написания), но не работает (может, неправильно пытался - опять же свой прокси)
опять же минус решения - отслеживать изменение ip анонимайзера
пытался настроить на сервере как вышестоящий прокси - тоже не вышло, думаю что опять же из-за разрешения клиентскими машинами dns-имен через мой прокси (потому что он, в свою очередь, разрешает через провайдера)
а отключать dns-сервер на своем прокси-сервере тоже не идет - отваливается нахождение контроллера домена (клиентские машины не могут после этого найти контроллер домена)
порочный круг получается
опять же минус именно этого решения правильно заметил Lonely_Mouse,
Цитата Lonely_Mouse:
Бесплатные впн/прокси могут смотреть ваш трафик, а это небезопасно.»
у меня юзеры и так периодически почту теряют по раздолбайству, а тут еще это будет

Lonely_Mouse, что Вы имели в виду под
Цитата Lonely_Mouse:
на стороне »
?
и я, честно говоря, до конца не понял смысл решения
можно, пожалуйста, подробнее ?

на данный момент, используя платный vpn, добился того, что
- все компы ходят в инет через комп-шлюз, но фильтр срабатывает
- комп-шлюз способен гарантированно обходить dns-фильтр, если разрешает dns-имена через vpn, но этого позволить я ему не могу - тогда фильтр для всех будет обходится, а это как раз то, чего нужно избежать (вплоть до отказа от самой идеи)
- контроллер домена может служить dns-сервером с фильтрацией - на нем по умолчанию подразумевается dns-сервер, и он на данный момент способен разрешать dns-имена через провайдера

осталось дело за малым :
заставить клиентские машины разрешать dns-имена через разные серверы, в зависимости от того, к какой группе в домене принадлежит пользователь, входящий на машину

Последний раз редактировалось malysh!, 18-11-2013 в 23:16.


Отправлено: 22:57, 18-11-2013 | #19


Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата Leha Ares:
Нет таких трудностей, которых мы не смогли бы перед собой поставить. »
целиком согласен

Отправлено: 23:27, 18-11-2013 | #20



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Route/Bridge - точка доступа Trendnet TEW-690AP раздача интернета petr_al Сетевые технологии 1 21-03-2012 19:43
UserGate - У пользователя нет доступа у инет-у. Chydak Сетевые технологии 14 12-12-2011 08:23
Интернет - Точка доступа(HotSpot) wi-fi и раздача интернет. Проблемы dis12 Microsoft Windows 7 0 19-08-2011 17:55
Песенка правильного BIOSфлэшера Gold Dragon Юмор 0 22-11-2009 18:40
Организация доступа в инет GM07 Сетевые технологии 3 18-12-2003 15:56




 
Переход