Автор Тема: Белый список сайтов / включение и отключение по необходимости  (Прочитано 2126 раз)

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 052
  • ITS
https://3proxy.ru/documents/
убойный прокси размером в 1Mb
dns тоже проксирует
Потому что нет ни управляющего сервера, ни какого-либо узла, куда это можно поставить.
По сквиду на каждого клиента? )

Оффлайн Linux User

  • Давно тут
  • **
  • Сообщений: 109
https://3proxy.ru/documents/
убойный прокси размером в 1Mb

К сожалению в репозитории старая толком не рабочая версия...
Да и вообще в репозитории много чего не под systemd.
« Последнее редактирование: 28.02.2024 16:26:41 от Linux User »

Оффлайн rits

  • Завсегдатай
  • *
  • Сообщений: 1 052
  • ITS
К сожалению в репозитории старая толком не рабочая версия...
Да и вообще в репозитории много чего не под systemd.
Инструкция во вложении. Один раз скомпилировал и подставляй куда хочешь бинарник.

Оффлайн Linux User

  • Давно тут
  • **
  • Сообщений: 109
Один раз скомпилировал и подставляй куда хочешь бинарник
Я уже по своей спеке пакет собрал )) Но спасибо

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 116
Да и вообще в репозитории много чего не под systemd.
А зачем что-то должно быть под systemd? Есть systemd-sysvinit.

Оффлайн Linux User

  • Давно тут
  • **
  • Сообщений: 109
А зачем что-то должно быть под systemd? Есть systemd-sysvinit.
Возьмем к примеру тот же Dante. Я его установил, включил, прочел в логах, что это юнит от sysv и перезагрузил систему. Но, к сожалению, при загрузке он не запустился по причине, что сетевой интерфейс еще не получил IP-адрес. Оказывается, в systemd каждая загрузка происходит не строго в одном порядке, а с некоторыми различиями из-за ожидания готовности отдельных юнитов. Поэтому пришлось переписывать юнит sockd в нативный вид c учетом Wants=network-online.target и перезапуском при сбое. А прямо из репозитория юнит не очень.. Малость потерял актуальность.

Оффлайн Linux User

  • Давно тут
  • **
  • Сообщений: 109
Необходима настройка именно локально на отдельно взятых ПК

В данном случае есть вариант создать отдельную локальную учетку для проведения экзаменов, например pupilsonexam. Далее на этих отдельно взятых ПК с помощью iptables запретить любой исходящий трафик в интернет для pupilsonexam.
iptables -A OUTPUT ! -o lo -m owner --uid-owner pupilsonexam -j REJECT --reject-with icmp-net-unreachableДалее на отдельные ПК устанавливаете прокси (squid, Dante или другой) так, чтобы  входящий порт прокси был на петлевом интерфейсе lo (127.0.0.1). Запускаться прокси должен от своего пользователя, но не pupilsonexam. Исходящее соединение прокси можно перенаправить на ваш порт системы фильтрации. В конфигурации прокси указать, что соединение возможно только для определенного сайта экзаменов. Штатные учетки учеников на отдельных ПК заблокировать на время экзамена.

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 116
А зачем что-то должно быть под systemd? Есть systemd-sysvinit.
Возьмем к примеру тот же Dante. Я его установил, включил, прочел в логах, что это юнит от sysv и перезагрузил систему. Но, к сожалению, при загрузке он не запустился по причине, что сетевой интерфейс еще не получил IP-адрес.
Чисто теоретически все init-скрипты должны иметь LSB-заголовок. У Dante в p10 его, на сколько вижу, нет. Это неправильно, можно и баг повесить: давно подразумевается, что при отсутствии в пакете unit-файла в init-скрипте этот заголовок должен быть. А если пакет простой, попросить вообще версию из Сизифа в p10 переложить, там unit-файл сделали.

Оффлайн vold

  • Начинающий
  • *
  • Сообщений: 30
Думаю, если нет чего-то более простого, то в такой ситуации придется все же пробовать iptables.

К сожалению, пока ничего не вышло из этого совета. Chromium почему-то не реагирует на эти правила, также как и не реагирует на всё что угодно, прописанное в hosts. Поэтому, тема всё ещё актуальна. Простого и понятного решения, аналогичного Интернет-Цензору на Win и которое бы работало с контент-фильтрацией еспд, я пока не нашёл.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 242
Простого и понятного решения, аналогичного Интернет-Цензору на Win и которое бы работало с контент-фильтрацией еспд, я пока не нашёл.
https://yandex.ru/support/browser-corporate/policy/url-allowlist.html

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 976
Интернет-Цензор
контент-фильтрация

ахринеть... как будто в 2010 попал :)))


Оффлайн stranger573

  • Мастер
  • ***
  • Сообщений: 1 467
    • Email
К сожалению, пока ничего не вышло из этого совета. Chromium почему-то не реагирует на эти правила, также как и не реагирует на всё что угодно, прописанное в hosts.
   Iptables безразлично chromium или что другое, оно оперирует адресами, портами, состояниями и протоколами. У вас перед запрещающим правилом в таблице может быть разрешающее, порядок правил в таблице имеет ключевое значение. Действие применяется при соответствии первому подходящему правилу в таблице, дальше пакет по таблице не проверяется.
   Файл hosts определяет соответствие адресов именам, DNS собственно. У вас случаем chromium на прокси не прописан? В этом случае он на адрес прокси будет обращаться, а не на адрес сайта.

P.S. Кстати, не знаю как в других дистрибутивах, но в стартеркитах файрвол по дефолту отключен, его ещё включить надо. У вас вообще он запущен, работает?
« Последнее редактирование: 17.04.2024 00:21:38 от stranger573 »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 116
К сожалению, пока ничего не вышло из этого совета. Chromium почему-то не реагирует на эти правила
Какие именно? С "-m owner --uid-owner"? А сам браузер из-под указанного пользователя работает? Должно работать, если в правилах нет ошибок и не срабатывает что-то более раннее. У iptables вариант с отладкой есть, с небольшим трафиком тестовым даже терпимо. Но лучше не бояться Squid всё же, а в iptables просто редирект на него.

Оффлайн YYY

  • Мастер
  • ***
  • Сообщений: 5 976
Но лучше не бояться Squid всё же, а в iptables просто редирект на него.

HTTPS - не будет работать...

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 116
Но лучше не бояться Squid всё же, а в iptables просто редирект на него.
HTTPS - не будет работать...
C чего бы? Фильтроваться по содержимому запроса не будет, хотя и этот вопрос решаемый в ряде случаев, а просто пролетать через Squid будет.