Контентная фильтрация в школе (Часть 2)
Методические материалыАвтор: Владимир Черный
Продолжение статьи Дмитрия Коновалова «Контентная фильтрация в школе (Часть 1)».
Контентная фильтрация в школе (Часть 2)
После того как мы определились с программным обеспечением для организации контентной фильтрации и принципом организации локальной сети («Контентная фильтрация в школе (Часть 1)»), перейдем к более детальному рассмотрению организации школьной образовательной сети с контролируемым доступом в сеть Интернет.
Одной из основных проблем на данном этапе является конфигурирование самого сервера, выбор параметров. На самом деле, для обслуживания сравнительно небольшой сети (10-15 компьютеров), вполне подойдет обыкновенный школьный ПК с параметрами: процессор от 233 МГц, от 128 Мб ОЗУ.
Единственное условие для нашей конфигурации — это наличие 2-х сетевых интерфейсов. Первый предназначен для установления соединения с сетью Интернет, второй — для работы с локальной сетью школы.
Соответственно первому сетевому интерфейсу присваиваются настройки, полученные образовательным учреждением от провайдера. Второму — параметры локальной сети образовательного учреждения. При такой организации между локальной сетью и сетью Интернет будет стоять система, контролирующая весь входящий и исходящий трафик1.
Сетевые интерфейсы настраиваются при установке дистрибутива (рекомендуемый вариант). Либо после установки, например при помощи центра управления системой (https://ip сервера:8080 ).
(Настройка сетевого интерфейса для работы в сети Интернет)
(Настройка сетевого интерфейса для работы в локальной сети образовательного учреждения)
После настройки сетевых интересов необходимо проверить имеет ли сервер доступ в сеть Интернет и локальную сеть образовательного учреждения. Для этого можно воспользоваться командой ping:
Следующая задача — определиться в каком режиме будет работать сервер: роутер или шлюз.
- Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.
- Шлюз. В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен по крайней мере один внешний и один внутренний интерфейс.
В режиме шлюза клиенты смогут беспрепятственно выходить в сеть Интернет, достаточно прописать соответствующие сетевые настройки. Поэтому такой вариант нас не устраивает, так как наша задача выпускать только тех пользователей, которым мы разрешим и только по установленным нами правилам2.
Поэтому настраиваем работу сервера в режиме роутер (Брандмауэр -> Внешние сети):
В этом же разделе мы можем указать и внешние сети, и закрыть доступ к тем портам, по которым доступ к нашему серверу нежелателен.
Теперь приступим к настройке программы при помощи которой будем контролировать доступ в сеть Интернет пользователей сети. Это программный пакет squid (Серверы -> Прокси-сервер):
Инструкция по настройке прокси-сервера
Продолжение следует…
Оригинал статьи Д. Коновалова.
————————
1 Предполагается следующая конфигурация сети:
- Сетевая сервера, обслуживающая локальную сеть втыкается в хаб (сетевая карта 2 на рисунке),
- Кабель, раздающий Интернет втыкается в сервер (внешняя сеть, сетевая карта 1 на рисунке),
- клиенты соединяются с хабом, а их роут настроен на сервер (на IP локальной карточки сервера),
- Сервер раздает локальные сетевые адреса по dhcp.
(Примечание редактора)
2 Если быть более точным, то в режиме роутера результат не известен. А регулировка доступа в интернет осуществляется настройкой правил iptables. (Примечание редактора)
Июль 5, 2011, 7:34 пп
Кроме технических проблем есть ещё юридические:
Какие именно ресурсы должны быть точно заблокированы и на каком основании?
Точно не должно быть вроде экстремистских материалов.Такой список всё время обновляется на сайте минюсте http://www.minjust.ru/ru/activity/nko/fedspisok/ и на текущий день там 896 материалов.Мест где могут располагаться эти материалы боюсь в Интернете несоизмеримо больше. Одного администратора в школе точно не хватит уследить за этим. И это только экстремистское направление!Кроме этого есть ещё куча других направлений не отвечающих образовательной и воспитательной деятельности!!!
Поэтому считаю, что попытка настроить контент-фильтр по чёрному списку заведомо провальная.
С белым списком тоже не всё гладко, если включить в него поисковые системы.В кеше поисковых систем и в первую очередь в поиске по картинкам просто гигантское количество материала не соответствующих образовательным целям.Поэтому , если оставлять в доступе поисковые системы, то поиск по картинкам отключать.Придётся чем-то жертвовать.
Ещё одна беда школе(как впрочем и других организациях) это торрент… Бороться с ними мне кажется трудно(может я пока не нашёл рецепта как их приготовить),единственное до чего пока я дошёл -это закрыл все торрент трекеры и закрываю постоянно новые трекеры, которые попадаются в логах сквида.Речь о контент фильтрации в школах всё время поднимается, но цель мне кажется пока не достигнута.
Если идти по белому списку, то проблема торрентов скорей всего и не возникнет. Специально не дожидаюсь окончания цикла статей по контент фильтрации публикую как мне кажется важные проблемы, чтобы автор мог в цикле статей их затронуть и эти проблемы и тогда возможно к учебному году мы все вместе найдём приемлемое решение!
Июль 6, 2011, 5:56 пп
Локальную сеть школы хорошо бы разбить на две подсети, фильтруемую и свободного доступа. Так как часто школа имеет только одно подключение к Интернету, а администрации школы и особенно бухгалтерии нужен прямой доступ к Интернету. Из за разных кривых программ навязываемых гос органами.
Я включил режим ручной настройки брандмауэра и в таблицу nat/PREROUTING прописал строки типа -s 192.168.0.32/27 -p tcp -m tcp —dport 80 \ -j DNAT —to-destination 192.168.0.30:3128 Ну и соответствующей раздачей ip разделяю доступ. Только вот что то мне кажется это решение не правильным.
Сентябрь 24, 2012, 4:56 пп
Подскажите пожалуйста,где взять пользователя для аутентификации на ученических машинах.
Сентябрь 24, 2012, 5:02 пп
Завести в разделе «Пользователи»