Фильтрация контента в школах (вопросы организации и т.п.)

[fce]

Большое спасибо
http://www.lissyara.su/articles/freebsd/programms/squid+ad/
по этой ссылке есть вариант как сделать логин и и без него думаю разберусь.

Не мучайтесь с авторизацией в AD и NTLM, особенно если сетка разношерстная (linux, windows)  головной боли столько заработаете что и доларен не поможет.

Оптимально использовать Basic-авторизацию в школе, она проще настраивается, не так давно я пробный хелпер для Mysql написал, специально для школы, и самое интересное что рулить учетными записями пользователей Интернет, можно прямо из OpenOffice Base, можно сказать вообще веб-интерфейс получился, а для учителя на perl+kdialog пишу сейчас программу для отключения интернет для класса. Единственно что надо бы сделать в хелпере обработку сигналов., пока просто не до этого.

Сетевые ресурсы очень изменились при установке терминального сервера, теперь в школе работают два squid и один Dansguardian.
Первый squid имеет прямой доступ в интернет, на нем стоит простой редиректор поисковых запросов, без всяких авторизаций, единственный его клиент Dansguardian, к которому подключены директор и учителя, а вот компьютерный класс подсоединен к dansguardian через свой прокси squid, на котором уже basic-авторизация. Да кстати на Dansguardian созданы разные группы для компьютерного класса и остальной школы.

Целый год эксплуатации старой системы squid+dansguardian+NTLM+ авторизация в домене на Samba, показал все недостатки такого подхода:
1. Любое обновление Samba может полностью разрушить всю цепочку, на мандриве 2007 работает, 2008 уже нет, 2009 работает, 2009.1 снова не работает.
2. слишком большие задержки авторизации, в результате на компьютерах не поддерживающих NTLM, постоянно выскакивающее окно ввода пароля.
3. к тому же авторизационный запрос должен пройти еще и dansguardian, и не всегда корректно это происходит, в результате снова дикие задержки.
4. Dansguardian в репозиториях собран без поддержки необходимых опций, а на squid 3 не наложены соответствующие патчи, то есть нужно собирать самому, патчи накладывать тоже.
5. не возможно отключать пользователя на ходу, даже если задействовать группы. в новой системе на хелпере отключение пользователя в течение 1 минуты.
6. Очень много мусора в логах Squid, в результате логи растут очень быстро, а их обработка замедляется.
В общем больше проблем чем достоинств.

Два squid можно запустить и на одном компьютере, желательно отключить кэширование у одного прокси при этом.
Также стоит  присмотреться к Ldap, но тут уже каждый решает сам...

[fce]

хм, а что тут сложного-то.
приходит к примеру та же прокуратора, смотрят куда можно выйти. дают по шапке директору, но крайним как всегда останется самый низший чин, в данном случае учитель информатики, т.к. штатных админов в школах нашей страны, наверное можно по пальцам пересчитать. а работать всем хочется, вот и приходится о своей же (!) в превую очередь безопасности думать. (дети, если захотят и дома залезут туда, куда не надо и ничто их не остановит от этого.

Штатных админов школа может позволить, если захочет, только вот мало кто из директоров понимает зачем это надо, потому что во многих школах куда все идут с вопросами? правильно к учителю информатики. А у нас к директору, он информатику также преподает в двух классах, поэтому и должность появилась сисадмина, чтоб не мешали директору работать.
А детей от бесконтрольного использования компьютера дома, могут только родители оградить, которым зачастую вообще нет дела до своего ребенка, сидит за компьютером да и ладно лишь бы под ногами не путался.

[Alukardd]

я не понимаю, почему вы вечно хотите повесить учителей и директора на отдельный прозрачный не фильтруемый прокси??? Пускай вводят пароль как и все остальные и работают с теми же ну или другими ограничениями... В конце-концов сотрудники тоже не должны лазать по не цензурным сайтам и смотреть видео на youtube или сидеть в контакте в рабочее время....

[artflam]

кстати согласен (нет, с тех. стороны вопроса, для  меня все очень сложно, сам пока с этим еще не разбирался). а вот с точки зрения паролей. неужели информатику и директору так сложно ввести пароль.  да и нецензурные сайта в школе ограничены для всех я думаю.

[fce]

я не понимаю, почему вы вечно хотите повесить учителей и директора на отдельный прозрачный не фильтруемый прокси??? Пускай вводят пароль как и все остальные и работают с теми же ну или другими ограничениями... В конце-концов сотрудники тоже не должны лазать по не цензурным сайтам и смотреть видео на youtube или сидеть в контакте в рабочее время....

Прочитайте еще раз мной написанное выше, все, абсолютно все, в интернет  работают через  фильтр dansguardian, просто для школьников нужны более жесткие ограничения (mp3 и др.) и возможность отключать учетную запись интернет для особо не понимающих, я словом нигде не заикнулся в предыдущих соединениях  что мои прокси прозрачные, заметьте, логи ведутся на всех серверах.

Не понимаете? Объясняю, без обид, ладно?
И не на прозрачный без фильра, а на фильтр без авторизации.
1. Учителя используют личную почту в служебных целях и образовательные порталы, любая авторизация squid в связке с dansguardian на медленных соединениях приводит к сбою авторизации на многих  сайтах, сбою отправки почты через веб-интерфейсы и подглючиванию веб-интерфейсов.
2. Ну я прям не знаю что у вас за учителя раз вы о них такого мнения? тут по-моему уже директор должен разбираться.
3. А много ли вы вообще видео на Youtube посмотрите когда скорость 128kbit/s  и то раскидывается как минимум на 5 работающих одновременно пользователей.

Извините за такой тон, но прям обидно, как-то стало за учителей, таких кто в рабочее время хочет посидеть в контакте или на Youtube на самом деле немного, поверьте загрузка учителей в нашей школе такая что им не до развлечений.
Хотя если учитель позволяет себе такие вольности, то ему простите не место в школе, но это решать уже не админу.

[Istorik]

Автор: fce
не буду я через AD, хоть сетка и разношерстная, все равно через самбу и Ldap

я не понимаю, почему вы вечно хотите повесить учителей и директора на отдельный прозрачный не фильтруемый прокси??? Пускай вводят пароль как и все остальные и работают с теми же ну или другими ограничениями... В конце-концов сотрудники тоже не должны лазать по не цензурным сайтам и смотреть видео на youtube или сидеть в контакте в рабочее время....

Не то что бы я хочу закрыть учителям или директору youtube или соц. сети, на оборот это не делаю, т.к. многие от туда обучающее видео транслируют на уроке.

Проблема в ноутах учителей, которые будут их таскать домой и обратно. Каждый раз им настраивать прокси, а потом по телефону объяснять как его снять, по тому что дома инет перестал работать. Но при этом нужны логи и трафик детей.

На домашнем не получилось поэкспериментировать =( не хочет он нет через прокси пускать. Так что завтра сделаю на работе, если все получиться куда нибудь выложу для тех кому интересно.

[Alukardd]

Да ни каких обид. Я верю, что учителя на лазят по нехорошим сайтам, но 1-е это то, что squid работает и на их же благо тоже! Им не лезет внушительная часть не нужной рекламы и отсекается куча сайтов откуда могут прийти вирусы -- это вы кажется не учли?
Далее мне понятно зачем для этих целей несколько прокси - неужто вам не разрулить это правилами squid???
И да интернет у нас около 5Мбит/с - щас летом так вообще скачка шла как с 10Мбит/с примерно (этот феномен мне не ясен, мб скорость подняли, хз), так что у нас видео смотреть можно и не одному человеку...
ВотЪ как-то так...

[Istorik]

Покапал, даже что то получилось а именно
задать ИП у которого не будет спрашивать пароль для входа в инет, но
логины работать корректно отказались. Если одной группе даешь какие то права или ограничения они распространяются на все группы, и кто выше те настройки и действуют. =(

[Alukardd]

Если одной группе даешь какие то права или ограничения они распространяются на все группы, и кто выше те настройки и действуют. =(

да в squid как и в iptables и еще в куче мест правила применяются по порядку до первого совпадения!!! стоит грамотно задать нужные acl и соответсвующим образом их применить в http_access. так же не стоит забывать о возможности комбинировать правила!

[Istorik]

Если одной группе даешь какие то права или ограничения они распространяются на все группы, и кто выше те настройки и действуют. =(

да в squid как и в iptables и еще в куче мест правила применяются по порядку до первого совпадения!!! стоит грамотно задать нужные acl и соответсвующим образом их применить в http_access. так же не стоит забывать о возможности комбинировать правила!

Так я не по то
группа it для меня и уч. информатики
группа class для детей

Код: [Выделить]

acl it_group src linux_group it
acl deny_domains dstdomain "/srv/share/deny_domains.txt"
acl class_group src linux_group class

http_access alloy it_group all
http_access alloy class-group deny_domains
http_access deny

Писал по памяти, но порядок именно такой.
Всех залагининых пускает по правилу deny_domains не зависимо от того есть человек в группе it, class или какой то еще.

[Alukardd]

если честно я ни черта тут не понял какой еще linux-group какой it...
давайте сделаем так: дайте мне все данные над которыми происходит обработка и пути к файлам, а я напишу(без проверки разумеется) как это должно быть! Опишите русским языком кого и куда надо пускать(кого и куда это либо имена юзеров как есть, либо диапазоны ip адресов их компьютеров, а так же пути до файлов типа deny_domains.txt и прочих). В общем все реальные данные для составления правил. Постараюсь аккуратно с комментариями вам изложить результат...

[fce]

И да интернет у нас около 5Мбит/с - щас летом так вообще скачка шла как с 10Мбит/с примерно (этот феномен мне не ясен, мб скорость подняли, хз), так что у нас видео смотреть можно и не одному человеку...
ВотЪ как-то так...

Прямо говорю повезло вам с Интернет, а у нас по федеральной программе 128кбит, хоть плачь, где-то читал что такое спутниковое соединение государству 7 тыс в месяц обходится, за такие деньги неплохо на 3G посидеть можно, это где-то около 70 гигабайт трафика включённого на полной скорости, а скоро ещё переход на региональное финансирование Интернет, так что скоро проблема фильтрации скорее всего исчезнет, за отсутствием подключения к Интернет. :(

[Alukardd]

жесть, проще телефон воткнуть как модем и сидеть через GPRS, дешевле выйдет блин и скорость хорошая...

[lucefer]

жесть, проще телефон воткнуть как модем и сидеть через GPRS, дешевле выйдет блин и скорость хорошая...

Всё можно решить переходом на автономку (жду с нетерпением). Хотя у Нас уже региональное финансирование интернета, скорость возросла по договору в раза, фактически - в полтора.

[Istorik]

Код: [Выделить]

auth_param negotiate program /usr/lib/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid/pam_auth
acl AUTHENTICATED proxy_auth REQUIRED

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
#acl all user_cert O "ALT Linux"
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl Safe_ports port 21    # FTP
acl SSL_ports port 8080    # Alterator
acl Safe_ports port 80    # HTTP
# Дальше остальные порты которые могут понадобиться
acl SSL_ports port 443    # HTTPS (C)
acl SSL_ports port 873    # RSYNC (C)

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports

acl our_networks src 127.0.0.0/8    # LOCALHOST
acl our_networks src 192.168.10.0/26    # Local

http_access deny !our_networks
# Дальше все в одну строчку, я так понял это средство вытаскивания группы
# из LDAP домена
external_acl_type unix_group %LOGIN /usr/lib/squid/squid_ldap_group -P -B
"ou=People,dc=school438,dc=local" -F "(&(uid=%s)(objectClass=posixAccount))" -b "ou=Group,dc=school438,dc=local" -f "(&(cn=%g)(objectClass=posixGroup))" -K

# Без авторизации, для директора. В файле IP компов
acl vip src "/srv/share/ban/not_autorized.txt"
# Сайт разрешенный всем, сайт школы
acl all-domen dstdomain "/srv/share/ban/allow_all.txt"
# Группа ИТ, сделано по примеру при веб админке
acl it-group external unix_group it
# Запрещенные куски URL, то есть /baner/ и всякие не
# не потребные выражения
acl bad_url url_regex "/srv/share/ban/deny_url.txt"
# Запрещенные URL
acl deny_domains dstdomain "/srv/share/ban/deny_domains.txt"
# Класс ходит только по открытым серверам
acl class-group external unix_group class
# эти самые открытые сервера
acl class-domen dstdomain "/srv/share/ban/domains_for_restrict.txt"
# Группа учителей
acl uch-group external unix_group uch

# Без авторизации, для директора
http_access allow vip
# Сайт разрешенный всем
http_access allow all-domen
# Группа ИТ
http_access allow it-group all
# Запрещенные куски
http_access deny bad_url
# Запрещенные URL
http_access deny deny_domains
# Разрешаем инет обычным пользователям
http_access allow AUTHENTICATED uch-group
# Класс ходит только по открытым серверам
http_access deny AUTHENTICATED class-group !class-domen

# оставленно от стандартных настроек
# Access policy for authenticated users
http_access allow AUTHENTICATED
# Access policy for all users
http_access allow all
http_access deny all
# Дальше идут те самые 23330 строчек стандартных настроек с комментариями
Проблема в том, что залагинся ты логином из группы class или it все равно пускает по правилу первого стоящего, в данном случае везде.