Как решать проблемы с контент фильтрацией в школе?

Дата: Воскресенье, 06.11.2016, 20:12 | Сообщение #11

sab9090

Зачастивший

Группа: Пользователи

Сообщений: 71

Статус: Отсутствует

Цитата iyugov (

)

То есть, белые хосты прописаны в правилах iptables?

Сейчас все перепроверил меняя настройки. Увы я ошибся и сайты не пропускаются насквозь.
В иптаблес нет явно прописанных мною доменов или ip. Метод научного тыка выявил:
Сайты в состоянии "bypass" пропускаются в прозрачном режиме через прокси При этом если не прописать эти сайты в список сайтов не требующих авторизацию, возникают проблемы с ssl сертификатами при некоторых настройках (ради интереса попробовал подключиться к кальмару напрямую). Не буду загружать т.к. вырисовывается довольно сложная схема взаимодействия правил (чувствую мне станет плохо от необходимости многократно дублировать список). Однако это все равно будет быстрее, чем настраивать каждый ПК отдельно.

Цитата iyugov (

)

А почему прокси непрозрачный?

У нас много ПК в учебных кабинетах которые доступны школьникам. Запароливать их не вариант т.к. учителя не особо озабочены сохранностью своих паролей и я на это никак повлиять не могу, но доступ им в интернет необходим т.к. в учительской всего 1 ПК. Обходить кабинеты и сбрасывать пароли на новые тоже не вариант. В общем это чисто организационные проблемы которые я решить не могу. Поэтому авторизацию по мак адресам пришлось отбросить. в итоге я создам 1 учетную запись с полным доступом ко всему и раздам данные учителям и на случай если учителя случайно или специально дадут школьникам пароль я всегда смогу его быстро изменить.

Дата: Вторник, 14.02.2017, 18:51 | Сообщение #12

iyugov

Владыка слова

Группа: Друзья

Сообщений: 1433

Статус: Отсутствует

sab9090, у нас не используется режим bypass, поэтому SSL-соединения подаются на отдельный порт Squid, и он там устраивает подмену сертификатов на самосгеренированные. На клиентские машины сертификат Сквида установлен как доверенный. Итог: сайты на HTTPS подчиняются тем же правилам фильтрации, что и HTTP.

Добавлено (14.02.2017, 18:51)
---------------------------------------------
Школьный провайдер сменил контент-фильтр, заблокировав DNS Гугла 8.8.8.8. Впервые ощущаю значительную пользу от DHCP - настройки понадобилось менять только на сервере, а на каждом из десятков ПК.

Сообщение отредактировал iyugov - Вторник, 14.02.2017, 18:51

Дата: Понедельник, 02.10.2017, 14:38 | Сообщение #13

Arismedi

Начинающий

Группа: Пользователи

Сообщений: 1

Статус: Отсутствует

Попробуйте контент-фильтрацию Скай днс

Дата: Четверг, 07.06.2018, 21:21 | Сообщение #14

sab9090

Зачастивший

Группа: Пользователи

Сообщений: 71

Статус: Отсутствует

Итак. Наконец нашел готовое решение для установки на отдельные ПК.
CTparental от некого французского разработчика. К сожалению на гитхабе были удалены все собранные деб пакеты, но исходники с инструкцией по сборке на месте.(сейчас автор переехал на гитлаб т.к. ему не понравилось что хаб купил майкрософт)
Русский к сожалению не поддерживается, но настроек немного и можно разобраться.
При установке спрашивает логин и пароль для админки по адресу 127.0.0.11.
Далее мы получаем возможность:
фильтровать по белому или черному списку (есть заготовки, но только для англоязычных сайтов). Особо порадовала подмена ssl сертификатов.
Указывать привилегированных пользователей на которых фильтрация не распространяется.
Устанавливать часы когда разрешено работать в интернете.
Ну и стандартная фишка dansguardian в фильтрации по расширением скачеваемых файлов и их типам.

К сожалению смена пароля в веб интерфейсе не предусмотрена. Нужно выполнить команду "sudo CTparental -uhtml"

Дата: Пятница, 08.06.2018, 19:13 | Сообщение #15

Сергеев_ЕВ

Модератор форума

Группа: Модераторы

Сообщений: 3177

Статус: Отсутствует

Отлично! Спасибо, уверен, что кому-то этот пост будет очень полезен. Может ссылки дадите? Скрытые, разумеется

Окажу помощь в создании и администрировании учительских сайтов в системе uCoz

Дата: Пятница, 15.06.2018, 10:00 | Сообщение #16

sab9090

Зачастивший

Группа: Пользователи

Сообщений: 71

Статус: Отсутствует

Сейчас у автора творится что-то непонятное. Гитхаб опустел, а на Гитлабе исходник с инструкцией по сборке с помощью гитхаб.

Ссылка на гитлаб (извиняюсь, но сокращение ссылок от гугла не работает)

Могу поделиться пакетом на LM 18.3 который успел собрать дней 10 назад. Или можно попробовать самим. Инструкция в файле make-deb.txt

Дата: Вторник, 25.09.2018, 19:40 | Сообщение #17

dinadav

Начинающий

Группа: Пользователи

Сообщений: 2

Статус: Отсутствует

Информационная безопасность в образовательном учреждении насегодняшний день очень важная проблема, которую необходимо решать. Вот статья
на эту тему: ссылка удалена модератором

Дата: Среда, 26.09.2018, 20:59 | Сообщение #18

iyugov

Владыка слова

Группа: Друзья

Сообщений: 1433

Статус: Отсутствует

dinadav, это не статья на тему ИБ. Это реклама. Просто реклама.
Вы готовы обсудить достоинства и недостатки описанного в статье межсетевого экрана?

Цитата

Два штатных сотрудника выполняли настройки безопасности, обеспечивали актуальность реестра запрещенных Роскомнадзором ресурсов

По закону это должен делать провайдер. Этим сотрудникам выплачивалась зарплата из бюджета образовательной организации?

Цитата

К нам приходили с проверкой. После нее сотрудник прокуратуры пожал мне руку и сказал, что мы образцово-показательная организация

А нам такой сказал, что до нашей фильтрации докопаться невозможно. Q. E. D. Наша фильтрация обошлась учреждению бесплатно.

Сообщение отредактировал iyugov - Среда, 26.09.2018, 21:01

Дата: Понедельник, 10.12.2018, 11:20 | Сообщение #19

sab9090

Зачастивший

Группа: Пользователи

Сообщений: 71

Статус: Отсутствует

Здравствуйте. В связи с тем, что CTparental умер раньше, чем я им смог воспользоваться (по факту перестал им пользоваться т.к. даже старые сборки вели себя очень нестабильно).
Набросал настройки для privoxy и ufw себе для minta по руководствам из разных источников.
Итак.
1.В системе должен присутствовать пользователи: student user teacher
Сооветственно. teacher и user не подвергаются фильтрации. На них должны быть установлены пароли. student может осуществлять выход только по белым спискам.
2.В системе должны быть установлены следующие пакеты: ufw, privoxy.
3. Предварительно отредактировать файл белых списков в папке с файлами настройки по пути /privoxy/user.action
3.Запустить скрипт от имени администратора install.sh. sudo ./install.sh Файлы настроек будут скопированы в директории программ.
4. Запустить ufw командой sudo ufw enable
5 Перезагрузить компьютер и зайти от student
6. В настройках браузера указать в настройках прокси для защищенного соединения следующий прокси: 127.0.0.1 и порт 8118. Без этого доступ к защищенным шифрованием сайтам из белого списка не будет осуществляться.

Ссылка на яндекс диск:
Доступно только для пользователей

П.С. Для лучшего результата в белом списке только поиск от скай днс, его же и ставлю в браузере по умолчанию

Сообщение отредактировал Сергеев_ЕВ - Понедельник, 10.12.2018, 18:03

Дата: Вторник, 10.09.2019, 19:24 | Сообщение #20

ahs12schooladm

Начинающий

Группа: Пользователи

Сообщений: 1

Статус: Отсутствует

Добрый день.
Немного подниму тему.
Подскажите, кто как фильтрует контент? Я имею ввиду, фильтруется только контент учеников, а учителя имеют полный доступ, или же фильтрация контента для всех?

Страница 2 из 3 « 1 2 3 »
Модератор форума: Сергеев_ЕВ