Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет

Ответить
Настройки темы
Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет

Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


и снова доброго времени, уважаемые форумчане !

на сей раз нерешаемая проблема состоит в следующем

в двух словах:
от провайдера идет dns-фильтрованный трафик, как это работает можно увидеть из этой картинки
требуется: сделать обход этой фильтрации для одной группы пользователей, а трафик другой фильтровать

подробно:
как и во многих других школах нашей страны, для нашей тоже интернет поступает фильтрованный. провайдер РосТелеком, тип доступа ADSL, на шлюзах прова dns-фильтрация NetPolice. то есть, dns-имена доменов, включенных в черные списки, разрешаются в ip хоста страницы блокировки. попытки выставлять в качестве dns-серверов googledns или что-то ещё обречены на неудачу, по крайней мере тесты говорят об этом. получается, что весь трафик по порту 53, куда бы он ни направлялся, перехватывают шлюзы прова.
нас же, в свою очередь (точнее, больше моих коллег - всю плешь проели) не устраивает, что такие сайты как Яндекс.Картинки (это только пример) причислены к несовместимым с задачами образования и подготовки материалов к урокам. попробуйте вбить в поисковике хоть что угодно - "изображение математического маятника", получим что? правильно, первые (и самые полезные) ссылки - на хостинги изображений, и тут вас ждет разочарование - ВСЕ хостинги картинок для вас закрыты. попробуйте вбить "видеоурок Paint" - получите ссылку на youtube, но и тут вас ждет разочарование - ВСЕ видеохостинги тоже закрыты. в итоге для вас банальный поиск материала сводится к поиску одного-единственного, среди тысяч, сайта, куда вам еще не заблокировали доступ. меня (информатика) это мало смущает. моим же валенкам - гораздо тяжелее, как я говорил - проели всю плешь. в последнее время вообще уже дошло до полного тупизма - теперь я на ковре у директора за то, что ко мне от прова поступает фильтрованный инет, и вы попробуйте хоть как-то объяснить, что это не от вас вообще зависит.
я думаю, мотивы объяснил, вернусь к делу.
ничто не мешает настроить VPN до какого-нибудь анонимайзера, однако требования законодательства и проверок прокуратуры никто не отменял. для учащихся в школах нашей страны интернет должен быть фильтрованным, если конечно вы не хотите административного наказания и лишиться работы/свободы.
настройка отдельно каждого из 200 компьютеров - идея как-то не очень
на сегодняшний день располагаю:
- компом, на котором установлено решение под названием ИКС, на котором зарегистрированы все мои AD-пользователи в соответствующих им в AD группах ;
- сервером intel с win2008r2, на котором контроллер домена (со всем ему сопутствующим), в домене каждой персоне в школе соответствует свой вход на все машины организации, свой пользователь и перемещаемый профиль; пользователи разбиты в группы, есть группы "учителя" и "ученики" ;
- adsl-роутером, который все это хозяйство выводит в инет; каждый из серверов одним сетевым интерфейсом смотрит в локалку, вторым - в роутер; на контроллере домена через него идут исключительно обновления для него и wsus'а, весь внешний трафик юзеров идет через ИКС; ИКС на клиентских машинах настроен в качестве шлюза и в качестве dns-сервера ;

задача:
обойти dns-контент-фильтрацию для группы пользователей "учителя", и пускать трафик группы "ученики" по обычному каналу в обычных условиях (то есть, чтобы для них все работало так же, с фильтрацией)

верю, что oszone.net , как обычно, знает решение и ответ на всё
с уважением, я.

Отправлено: 23:25, 14-11-2013

 

Ветеран


Contributor


Сообщения: 25100
Благодарности: 7293

Профиль | Отправить PM | Цитировать


Цитата Rezor666:
А с каких пор учителя в школе имеют доступ к сетевому оборудованию? »
Где-то с 1983-85 годов.

Цитата Rezor666:
Не думаю что в обязанности учителя входит построения сети и обход блокировок. »
Разве отсутствие чего бы то ни было в перечне должностных обязанностей учителя являлось когда-нибудь препятствием для назначения его ответственным согласно устного или негласного распоряжения начальства? Тут даже не: «Ты же коммунист, Вася!», а «Ну, ты же компьютерщик!» (руководителю не следует вникать в тонкости различия профессий ).

Цитата Rezor666:
И как мне кажется учитель это знать обязан, хоть это и не школьный курс. »
Будет знать — хорошо. Но не следует требовать от машиниста тонкостей сопромата.

Отправлено: 02:25, 22-11-2013 | #41



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для anderson-7

Забанен


Сообщения: 1003
Благодарности: 77

Профиль | Цитировать


Rezor666, вы наехали на учителя, а сами что сказки рассказываете?
Во первых провайдер без причины не будет смотреть трафик. Во вторых, какие адреса пересылать провайдеру?
Провайдер если посмотрит, будет видеть лишь вашу сессию с прокси сервером и больше ничего.
Самое страшное, что грозит, если ученик пожалуется, что вышел на запрещенный сайт, тогда провайдер заблокирует этот адрес прокси сервера. Если вы будете делать прокси каскадом, что это меняет? Также заблокируют первый прокси. Зачем шифровать трафик? Что провайдер будет трафик распаковывать что ли?

Отправлено: 09:17, 22-11-2013 | #42


Аватара для Rezor666

Ветеран


Сообщения: 2738
Благодарности: 336

Профиль | Сайт | Отправить PM | Цитировать


Цитата anderson-7:
Во первых провайдер без причины не будет смотреть трафик. »
Вы за него решили?
Они и так его не только смотрят но и хранят.
Цитата anderson-7:
Во вторых, какие адреса пересылать провайдеру? »
Те которые Вы будете посещать с помощью прокси.
Там даже дешифровать нечего.
Цитата anderson-7:
Провайдер если посмотрит, будет видеть лишь вашу сессию с прокси сервером и больше ничего. »
Почитайте как работает прокси, а лучше возьмите wireshark и посмотрите трафик между клиентом и прокси сервером.
Цитата anderson-7:
Если вы будете делать прокси каскадом, что это меняет? »
Даст возможность туннелировать трафик.
Цитата anderson-7:
Также заблокируют первый прокси. Зачем шифровать трафик? »
Заблокируют что?
SSH? Вряд ли.
А с учетом того что в школах динамические ip то это очень трудоемко.

-------
"Средства у нас есть. У нас ума не хватает..."


Отправлено: 10:23, 22-11-2013 | #43


Аватара для anderson-7

Забанен


Сообщения: 1003
Благодарности: 77

Профиль | Цитировать


Цитата Rezor666:
Вы за него решили? »
Решил.
Цитата Rezor666:
Там даже дешифровать нечего. »
Джеймс бонд, вы заболели, все все бросили и побежали дешифровать ваш именно трафик.
Цитата Rezor666:
Они и так его не только смотрят но и хранят. »
То, что хранят, это правда и это единственная небредовая мысль.
Цитата Rezor666:
Почитайте как работает прокси, а лучше возьмите wireshark и посмотрите трафик между клиентом и прокси сервером. »
Джеймс бонд, болезнь неизлечима.
Цитата Rezor666:
Даст возможность туннелировать трафик. »
Какая разница? Хоть обтунеллируйтесь, если надо заблокируют все сомнительные хосты, на которые вы ломитесь со своего адреса.
Цитата Rezor666:
Заблокируют что?
SSH? Вряд ли.
А с учетом того что в школах динамические ip то это очень трудоемко. »
Легко заблокируют,хоть какой протокол или айпи.

Отправлено: 11:01, 22-11-2013 | #44


Аватара для Rezor666

Ветеран


Сообщения: 2738
Благодарности: 336

Профиль | Сайт | Отправить PM | Цитировать


Цитата anderson-7:
Решил. »
Молодцы, тогда о чем мы спорим?
Цитата anderson-7:
все все бросили и побежали дешифровать ваш именно трафик »
Почитайте как работает прокси, все таки полезно будет.
Цитата anderson-7:
Хоть обтунеллируйтесь, если надо заблокируют все сомнительные хосты, на которые вы ломитесь со своего адреса. »
Могут, вполне.
Я бы так и поступил.
Цитата anderson-7:
Легко заблокируют,хоть какой протокол или айпи. »
Если обнаружат тунель то да, но вряд ли кто-то станет смотреть почему много соединений на 80 порт до одного хоста.
И ничего не мешает сделать ловушку для провайдера если он вздумает посмотреть что весит на этом 80 порту.
Хотя если отдадут специалистам то все равно увидят ssh.

-------
"Средства у нас есть. У нас ума не хватает..."


Отправлено: 11:27, 22-11-2013 | #45


Аватара для anderson-7

Забанен


Сообщения: 1003
Благодарности: 77

Профиль | Цитировать


Цитата Rezor666:
но вряд ли кто-то станет смотреть почему много соединений »
Джеймс бонд выздоравливает.
Вообще, вам нечего сказать уже и пытаетесь умничать.

Отправлено: 11:36, 22-11-2013 | #46


Аватара для Rezor666

Ветеран


Сообщения: 2738
Благодарности: 336

Профиль | Сайт | Отправить PM | Цитировать


anderson-7, Вы чувствуете разницу между много соединений на 80 порт одного хоста и явный VPN туннель или прокси?
Давайте лучше Вы не станете чушь пороть как например эту:
Цитата anderson-7:
Провайдер если посмотрит, будет видеть лишь вашу сессию с прокси сервером и больше ничего. »

-------
"Средства у нас есть. У нас ума не хватает..."


Отправлено: 12:50, 22-11-2013 | #47


Аватара для anderson-7

Забанен


Сообщения: 1003
Благодарности: 77

Профиль | Цитировать


Я не понимаю направление ваших мыслей.
То мы говорим о тунеле, то о прокси.
Что бы не висело, ну и что?
Хотите найти ответы, почитайте договор с провайдером. Если какой то пункт в договоре вам не понятен, выкладываете сюда.

Отправлено: 13:59, 22-11-2013 | #48


Аватара для Rezor666

Ветеран


Сообщения: 2738
Благодарности: 336

Профиль | Сайт | Отправить PM | Цитировать


Цитата anderson-7:
Я не понимаю направление ваших мыслей. »
Моя мысль в том что-бы ТС поднял прокси.
А как он будет это делать меня не волнует вообще.
Но не надо говорить ерунду что это секурно.

Цитата anderson-7:
Хотите найти ответы, почитайте договор с провайдером. Если какой то пункт в договоре вам не понятен, выкладываете сюда. »
Это Вы мне?
У меня таких проблем нету.

-------
"Средства у нас есть. У нас ума не хватает..."


Отправлено: 14:22, 22-11-2013 | #49


Пользователь


Сообщения: 105
Благодарности: 5

Профиль | Отправить PM | Цитировать


Rezor666,
спасибо за Ваш отклик, я смею надеяться, что Вы разовьёте свою мысль, однако
1- достаточно агрессивно, не правда ли? однако форумчане внесли ясность в ряд претензий, за что им спасибо
2- давайте уже смиримся - никто меня ловить просто не будет,
господа ! оставьте уже тему про отлов, ну не будет провайдер этого делать, ну не нужен я ему, это Россия, здесь многое по-другому. я нужен только прокуратуре, а она, как я уже говорил, при проверке увидит, что фильтрация осуществляется (ну я-то их как учеников пущу)
3-
Цитата Rezor666:
С помощью GPO Вы не сможете управлять Google chrome. »
некоторыми параметрами (не теми, что нужно) - очень даже смог бы
4- вот это
Цитата Rezor666:
Я не вижу никакой проблемы назначить на шлюзе статический DNS сервер гугла »
порадовало, но как же быть с работой доменных служб? загрузкой перемещаемых профилей пользователей? не помешает такая настройка?

Цитата Rezor666:
не надо говорить ерунду что это секурно »
а никто и не говорит, просто этот вопрос в текущей теме не имеет места, я его не задавал, более того около четырёх постов пытаюсь объяснить, что проблема, обсуждаемая в теме - не об этом
единственное, что сподвигает на описываемую Вами конструкцию каскадирования прокси - это то что vpn'ы какие-то всё платные и медленные.
Ваше решение сделает использование идеи бесплатным (да и это уж ладно), или хотя бы (лучше) быстрым?

и вот это ещё смущает:
Цитата Rezor666:
фильтровать трафик по желанию »
дело-то в том, что я его как раз и не фильтрую,
фильтрация происходит по базе запретных сайтов, которую поддерживает в актуальности целое сообщество, и даже некая контора ЦАИР, созданная специально по проекту "Образование", для этих целей
так что, база поддерживается как-то сама, в автоматическом режиме
поддерживать же самому черные списки (для фильтрации на исключение) - ну, это просто бред, думаю совершенно очевидно, - что нереально
и уж тем более, белые списки (в случае фильтрации только на разрешение) - это глупо, тырнет детям нужен как ни крути, а дать доступ только на 15 сайтов - ну глупо, и говорить не о чем.
поэтому, я - не "за" использование своего фильтра

и да, по Вашему решению,
Цитата Rezor666:
... как он будет делать... прокси... меня не волнует вообще...»
меня волнует
можно подробнее?

Отправлено: 15:40, 22-11-2013 | #50



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - обход школьной контент-фильтрации и раздача правильного доступа в инет

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Route/Bridge - точка доступа Trendnet TEW-690AP раздача интернета petr_al Сетевые технологии 1 21-03-2012 19:43
UserGate - У пользователя нет доступа у инет-у. Chydak Сетевые технологии 14 12-12-2011 08:23
Интернет - Точка доступа(HotSpot) wi-fi и раздача интернет. Проблемы dis12 Microsoft Windows 7 0 19-08-2011 17:55
Песенка правильного BIOSфлэшера Gold Dragon Юмор 0 22-11-2009 18:40
Организация доступа в инет GM07 Сетевые технологии 3 18-12-2003 15:56




 
Переход