Как лучше организовать WiFi-доступ в школе?

[supersonic]

Здравствуйте.
Нужен совет. Задача такая.
Есть ADSL-модем и, подключенный к нему прокси на Alt 5.0.2 "Школьный"+Dansguardian, раздающий инет для всей школы. Есть точка доступа d-link DIR-615. Необходимо через нее раздавать Инет по WiFi исключительно WWW и исключительно по белому списку. В самой точке есть такая опция, но там ограничение на 40 записей. Этого недостаточно с учетом того, что список, я думаю, постоянно будет пополняться.
Подскажите, как лучше решить эту задачку?

[asy]

Точка ведь подключена к серверу ? Диапазон IP, которые выдаёт D-Link, известен, ну так и фильтровать его на сервере. Прозрачный прокси сделать, к примеру. А если хочется непременно на D-Link, то http://wiki.openwrt.org/toh/d-link/dir-615, только внимательно смотреть на предмет совместимости, на сколько я вижу, пишут про разные версии 615-ых.

[supersonic]

Точка ведь подключена к серверу ? Диапазон IP, которые выдаёт D-Link, известен, ну так и фильтровать его на сервере. Прозрачный прокси сделать, к примеру. А если хочется непременно на D-Link, то http://wiki.openwrt.org/toh/d-link/dir-615, только внимательно смотреть на предмет совместимости, на сколько я вижу, пишут про разные версии 615-ых.

то есть поставить точку между локальной сетью и прокси? или между модемом и прокси? или еще одну карточку сетевую для точки в прокси вставить?

[asy]

то есть поставить точку между локальной сетью и прокси?

Рядом. В смысле, общий трафик через неё гонять не надо, просто включить в тот же коммутатор, что и вся локалка включена.

или еще одну карточку сетевую для точки в прокси вставить?

Так тоже можно. С точки зрения понятности конфигурации даже лучше. Плюс не надо думать, нет ли в локалке ещё какого прокси.

[supersonic]

Ага. Все понятно. Теперь вопрос безопасности.
Если я хочу, чтобы через точку доступа ходил только трафик WWW, надо настроить соответствующий доступ в разделе Брандмауэр-->Внутренние сети?
И еще.
Я так понял, что для точки доступа прокси-сервер является шлюзом,поэтому пока не ясно, каким образом ограничить посещаемые адреса белым списком :(

[YYY]

Имхо

компы -> вафля -> DIR-615 -> Alt_5.0.2_"Школьный" -> ADSL-модем -> интернет

С помощью iptables Alt_5.0.2_"Школьный" можно запретить DIR-615'у НАТ и оставить возможность только обращаться на прокси-сервер  Alt_5.0.2. А уже на прокси Alt_5.0.2 организовать белый список...
Как-то так...

[supersonic]

Имхо
компы -> вафля -> DIR-615 -> Alt_5.0.2_"Школьный" -> ADSL-модем -> интернет

Не, у меня на прокси стоит dansguardian и фильтрует по контенту, на на вифи хочу вообще жестко все ограничить списком.

[asy]

Если я хочу, чтобы через точку доступа ходил только трафик WWW, надо настроить соответствующий доступ в разделе Брандмауэр-->Внутренние сети?

Как-то так. Но я web-интерфейсом не пользуюсь, так что не скажу точно.

Я так понял, что для точки доступа прокси-сервер является шлюзом,

Да. Но, на самом деле, я бы её в режим бриджа перевёл, особенно, если она на отдельной сетевой карте будет. И если она умеет. DHCP, при этом, на ней вполне можно оставить.

поэтому пока не ясно, каким образом ограничить посещаемые адреса белым списком :(

Всё точно так же, через iptables.

[yaleks]

можно прямо внутри этой точки доступа всё фильтровать - https://forum.openwrt.org/viewtopic.php?id=8448

[YYY]

Имхо
компы -> вафля -> DIR-615 -> Alt_5.0.2_"Школьный" -> ADSL-модем -> интернет

Не, у меня на прокси стоит dansguardian и фильтрует по контенту, на на вифи хочу вообще жестко все ограничить списком.

А кто такой этот прокси? Т.е. где он физически? Еще один компьютер кроме Alt_5.0.2_"Школьный"?

[supersonic]

Имхо
компы -> вафля -> DIR-615 -> Alt_5.0.2_"Школьный" -> ADSL-модем -> интернет

Не, у меня на прокси стоит dansguardian и фильтрует по контенту, на на вифи хочу вообще жестко все ограничить списком.

А кто такой этот прокси? Т.е. где он физически? Еще один компьютер кроме Alt_5.0.2_"Школьный"?

Это SQUID на Альте 5.0.2 "Школьном".. :)

[YYY]

Имхо
компы -> вафля -> DIR-615 -> Alt_5.0.2_"Школьный" -> ADSL-модем -> интернет

Не, у меня на прокси стоит dansguardian и фильтрует по контенту, на на вифи хочу вообще жестко все ограничить списком.

А кто такой этот прокси? Т.е. где он физически? Еще один компьютер кроме Alt_5.0.2_"Школьный"?

Это SQUID на Альте 5.0.2 "Школьном".. :)

И чем тогда он мешает? Завернуть на него все пакеты с 80 порта и все... - даже настройки прокси не нужны

[asy]

И чем тогда он мешает? Завернуть на него все пакеты с 80 порта и все... - даже настройки прокси не нужны

Если для основной сети он не настроен уже, как прозрачный, то не получится. Кажется, он не умеет в двух режимах работать. То есть, надо будет вторую копию Squid запускать под это дело. Это если Squid использовать вообще. Или же делать один прозрачный для всех.

[supersonic]

А можно заворачивать пакеты, которые приходят только с ip точки доступа с 80 порта на порт 3128?

[asy]

А можно заворачивать пакеты, которые приходят только с ip точки доступа с 80 порта на порт 3128?

Можно. Но, ещё раз, я сильно сомневаюсь в том, что Squid может одновременно работать в своём обычном режиме и в режиме прозрачного прокси. Так что, вероятно, оно не заработает.