Фильтрация контента в школах (вопросы организации и т.п.)

[Alukardd]

artflam
самое страшное это глупые чиновники приходящие проверять - им например не объяснишь что новые сайты экстремистские/порно и т.п. появляются пачками и всё блокировать физически не реально(мы не Китай где это делается кучей спецов на уровне страны). Им главное объяснить, что защита стоит и работает - показать десяток примеров.

Мне вообще интересен один момент - есть у нас в школе списки поставленные походу РЦОКОиИТ - так вот эти списки просто огромно, я даже не могу их все использовать - у меня чисто физически не хватает ресурсов сервера на них - там около 35Мб доменов и ip-адресов. Приходится использовать только часть - самые крупные просто пылятся на винче. При этом на сервере свободно около 1Гб оперативы так вот включение одного из 2х пылящихся 15мб-х листов приводит к тому, что squid просто разрастается гига на 3 и только через некоторое время примерно до 2,5спадает - хранить кусок кэшированных ACL в swap-области от бред - поэтому они были просто отключены. И это хорошо, мне пару гигов на винче не жалко и я swap всегда большим делаю - в противном случае squid  с этими листами вообще отказывается запускаться и орёт полноправно на out of memory(или что-о такое).

[artflam]

мдаа.. вывод блокировать надо не у конечного пользователя, а на более высоком уровне. на каком - думаю всем ясно и так. имхо само-собой.

[Alukardd]

Выше чем на уровне города(области) не выйдет!!! У каждого свой провайдер и как их объединить кроме как если поставить внутри города единого, как например в СПб "Метроком" - городская информационная сеть к ней кажется все гос. учреждения подключены или часть в процессе... - тогда это реально!

На уровне страны только для гос. учреждений - это почти не выполнимая задача... А делать как в Китае - полный контроль всего трафика идущего в страну - это жесть и в России так сделать очень тяжело будет. Тяжело не только технически, но и юридически - придётся пересматривать законодательство на тему различных свобод... Так просто нельзя взять и отобрать у меня право смотреть эротические фильмы...

Потэтому решение подобное вашему желанию я вижу только в ограничении гос.учреждений на уровне мб федерального округа, где реально всех засунуть в одну сеть.

[Istorik]

Тяжело не только технически, но и юридически - придётся пересматривать законодательство на тему различных свобод... Так просто нельзя взять и отобрать у меня право смотреть эротические фильмы...

Уже можно
http://gazeta.ru/politics/2010/07/28_a_3402012.shtml

Но все-таки как (для прокуратуры) сделать списки.
Я думаю составить белый список будет гораздо проще черного. Но через что его фильтровать?

[Alukardd]

Там только про экстремизм...

Но через что его фильтровать?

через squid3, например!

[artflam]

Выше чем на уровне города(области) не выйдет!!! У каждого свой провайдер и как их объединить кроме как если поставить внутри города единого, как например в СПб "Метроком" - городская информационная сеть к ней кажется все гос. учреждения подключены или часть в процессе... - тогда это реально!

На уровне страны только для гос. учреждений - это почти не выполнимая задача... А делать как в Китае - полный контроль всего трафика идущего в страну - это жесть и в России так сделать очень тяжело будет. Тяжело не только технически, но и юридически - придётся пересматривать законодательство на тему различных свобод... Так просто нельзя взять и отобрать у меня право смотреть эротические фильмы...

Потэтому решение подобное вашему желанию я вижу только в ограничении гос.учреждений на уровне мб федерального округа, где реально всех засунуть в одну сеть.

согласен. всю страну фильтровать не возможно. да и федеральный округ тоже сложно. но все же,  внутригородская фильтрация возможна. про Метроком не слышал, но раз есть, значит какой-то результат есть от этого. Проблема опять же будет в том, что выделенные деньги (если таковые будут) как обычно отмоют. и все. :)

[DdShurick]

 Я сделал так (на отдельно вэятом ноутбуке):

• apt-get install squid
• apt-get install dansguardian
• раскомментировал строку ** в /etc/dansguardian/lists/bannedsitelist

Но после перезапуска ничего не фильтровалось. После непродолжительного гугления нашёл инструкцию и переделал её в скрипт

Код: [Выделить]

#!/bin/sh
iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner squid -j ACCEPT

iptables -t nat -A OUTPUT -p tcp --dport 3128 -m owner --uid-owner squid -j ACCEPT

iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner EXEMPT_USER -j ACCEPT

iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080

iptables -t nat -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports 8080

#For systems using Shorewall, your firewall rules are set. For all other systems, you'll need to perform the next two steps in order to get the new firewall rules started at boot time. Issue the following command to save your firewall rules:

iptables-save > /etc/sysconfig/iptables

#Now issue the following to make sure iptables is started at boot time and to start the iptables firewall:

chkconfig iptables on
service iptables restart

#You may also need to make sure that DansGuardian and Squid get started at boot by using the following two commands:

chkconfig squid on
chkconfig dansguardian on

#To get the filtering started, you can now enter the following commands:

service squid restart
service dansguardian restart
После исполнения скрипта (исполнить от рута один раз) интернет перекрылся, чего собственно я и добивался. Pidgin при этом продолжал работать нормально.
 Для возврата к исходному состоянию достаточно удалить все правила из /etc/sysconfig/iptables и перезагрузиться.

[Alukardd]

про Метроком не слышал, но раз есть, значит какой-то результат есть от этого

пока я так понимаю, что глухо идёт объединение, в основном полагаю для различных баз, налоговых отчетов и прочего... ну мб за компанию и контент фильтрацию организуют...

DdShurick
прикольно! не знал о возможности фильтровать трафик основываясь на uid ломящегося... уже сделал пробный тест - доволен :)
а в целом не понятно к чему ваш пост - то что сделали вы не катит для машины претендующей на звание шлюза, а для отдельного ноутбука это и то так себе инструкция...
и кстати очепятка у вас жёсткая и не простительная - забыли слово "install" 2 раза!!!

[DdShurick]

и кстати очепятка у вас жёсткая и не простительная - забыли слово "install" 2 раза!!!

Пардон. Исправлено.

[Istorik]

Там только про экстремизм...

Но через что его фильтровать?

через squid3, например!

На сколько я понял сейчас стоит squid 2.6

Пробую прописать белый список, но ни как не могу сделать его только для класса информатики. Если я перекрою инет директору он мне и без прокуратуры голову оторвет.

Да к стати нашей школе повезло я у нее штатный сисадмин (аникейщик =))

[Alukardd]

Istorik
ну squid уменя стоит 3.0.STABLE8-3, но это сути не меняет...

ни как не могу сделать его только для класса информатики

элементарно Ватсон! Если у вас ip у всех статические, то щас опишу, если dhcp и авторизация идёт через AD или еще как, то сами подправите под свои нужды(у меня авторизация через AD).
Все адреса, названия и пути условные - удобные мне, для примера...
0 - описываем acl для директора, ну и вас и учителя информатики можно сюда же...
acl allowip src 192.168.0.2/32 192.168.0.3/32 192.168.0.55/32
1 - описываем acl для класса информатики, файл roominform.txt содержит по одному ip адресу ученического компьютера в каждой строчки
acl roominform src "/etc/squid3/roominform.txt" или если они идут подряд с 10 по 20, например, то тогда так
acl romminform src 192.168.0.10-192.168.0.20/27
2 - описываем acl для запрещенных сайтов (если требуется описываем несколько).
acl blacklist dstdomain "/etc/squid3/blacklist.txt" или по необходимости dst, url, dstdom_regex, url_regex, urlpath_regex...
3 - описываем разрешающие правила
http_access allow allowip
http_access deny blacklist
http_access allow roominform
http_access deny all
вотЪ как-то так...
разумеется это не все правила необходимые для работы squid!!!

Да к стати нашей школе повезло я у нее штатный сисадмин (аникейщик =))

я тоже что-то типа того... ;)

[lucefer]

Пробую прописать белый список, но ни как не могу сделать его только для класса информатики. Если я перекрою инет директору он мне и без прокуратуры голову оторвет.

Да к стати нашей школе повезло я у нее штатный сисадмин (аникейщик =))

Поставте Dansguardian. У директора пусть стоит порт прокси, у учеников порт фильтра. Проблема решена.

[Istorik]

Alukardd
Спасибо, в понедельник попробую
Это под прозрачный прокси или нет ни какой разницы?

И можно как то его настроить на русский по умолчанию. А то после изменений настроек через вебадминку (знаю-знаю отучаюсь) снова стр. с ошибками на английский переводит.

Где можно почитать полную документацию на русском, желательно с примерами?

Можно ли что бы дети логинились для доступа в нет, а остальные шли по прозрачному прокси? (статистику и время вести проще)

[Alukardd]

для прозрачности ни какой разницы нету.

директория с ошибками задаётся так - error_directory /usr/share/squid3/errors/Russian-1251 - у вас путь будет другой, извентиляюсь...

по поводу русской документации, честно не видел нормального ни чего... сам для многих вопросов пользуюсь сайтом Лисяры. Вот вам парочка ссылок про squid -- одно НО, он по большей части настраивает всё под FreeBSD, хотя я видел статьи и про debian ;) но от этого суть настроек программ не меняется! Да конечно тупо закопировать уже не выйдет, зато хорошо все описано...
http://www.lissyara.su/articles/freebsd/programms/squid_sams/
http://www.lissyara.su/archive/squid_old/
http://www.lissyara.su/articles/freebsd/programms/squid+ad/
Конечно скинутые ссылки описывают конкретные вопросы, но вы можете использовать промежуточные данные и комментарии автора к тем или иным настройка, а далее распоряжаться ими как хотите!!!
Еще вот тут можно глянуть! Ну и конечно не стоит забывать о официальном сайте http://www.squid-cache.org/, ну и у меня еще по умолчанию squid.conf это файл в 4744строки - так что в нём хватает коментариев, правда тоже на английском :)

про последний вопрос, что-то не знаю я ответа, кроме как сделать 2 squid'a 1 с запретами, с авторизацией обычный для детей, а 2-ой прозрачный для сотрудников. ну и думаю к ним нужен 3-ий parent прокси... Всё можно сделать на одной машине. Но я этим не занимался и сказать что-то более точно или правильно не могу. У меня все поголовно авторизуются по паролю из AD.

[Istorik]

Большое спасибо
http://www.lissyara.su/articles/freebsd/programms/squid+ad/
по этой ссылке есть вариант как сделать логин и и без него думаю разберусь.