Šta je novo?
Od:
Filteri

Ogranicenje i zabran pojedinih sajtova u mrezi

G

gmlale

Čuven
Učlanjen(a)
09.12.2003
Poruke
811
Poena
630
Moja oprema  
Mobilni telefon
063626864
Pristup internetu
  1. Optički internet
Potreban mi je savet kako da odradim sledece:

U pitanju je skola u kojoj treba da se sprovede kontola izlaska na internet tj zabrana da se posecuju pojedini sajtovi (Facebbok, Youtube, XXX sajtovi i sl).
Koja mi je opcija najbolja, u principu po mome mora biti uredjaj koji ce da bude ispred svih racunara u mrezi (dali ruter ili zaseban racunar) koji ce vec na pocetku neke stvari da odbaci, mozda i u sve treba uvesti kontrolu posecenih sajtova i sa pojedinih racunara i sl. tj neki log u koji bi mogao da se izlistava.
Zasad nisam siguran kako cu to odraditi dali na zasebnoj nekoj brend masini koja ce raditi 24/7 instalirati sistem i 2 mrezne kartice pa tu kontrolisati sa nekim spftverom tipa Kerio Win Route-a ili proxy servera nisam siguran, ali u principu u konfiguraciji nebih isao u sitna crevca.
 
Ja sam se igrao sa Forefront TMG na Serveru 2008 R2, samo se napravi web access polisa koji blokira odredjene url kategorije (u tvom slucaju social, streaming i porn) koja moze da se primeni i na samo odredjene korisnike iz mreze. Naravno treba blokirati i pristup web proxy sajtovima. E sad, postoji jedan problem - sve to kosta boz' sacuvaj :d
 
Stvarno nebih ubijao muvu topom, tj nebih da instaliram win server za tako nesto.
 
probaj sa ZoneAlarm-om sa jednim od njih mozes filtrirati saobracaj po kategorijama...
 
Obratite paznju zelim na jednoj masini instalirati nesto sto ce kontrolisati saobracaj koji ide ka ostatku mreze, znaci ne lokalno, dali Zone Alrm moze nesto tako, a kad je stvar vec tu onda bi koristio i antivirusno skeniranje svega sto ide ka mrezi ali mi je to usputno.
 
resenje: podici Proxy server i sve druge masine podesiti da ga koriste...

i molim te: da li se pise razdvojeno
 
Na izlazu iz mreze postavis firewall koji ce sav http/ftp saobracaj zabraniti izuzev ako dolazi sa jedne masine... Na tu masinu instaliras neki linux i dignes proxy server... Sad je na tebi da li ces praviti whitelist ili blacklist... Jedino sto posle ostaje je da na svim racunarima podesis browsere da koriste taj proxy...
 
tri put u brzini? ok.
izvinjavam se.
 
U pravu si, dve mrezne kartice, na jednu dolazi spolja net, druga sluzi za ostatak mreze, ta mreza nema izlaz napolje, dobija net samo ukoliko je uljucen proxy na adresi na kojoj se nalazi komp sa proxy serverom, taj scenario pije vodu, samo treba odabrati odredjeno resenje sto se tice proxy servera i iskonfigurisati ga.
 
Koji bi Proxy software bio Vas predlog, znaci nekih 15 racunara su u pitanju.
 
ma to je garant Telekomov ADSL za Huawei rutercicom/modemom - sto su skole dobijale za digitalizaciju. meni je glupo sto su im dali internet, a nisu im odradili ovaj deo posla. to sve onda spadne na nekog nastavnika volontera/zaludjenika ili shurnjajinog pashenoga koji se razume u komipjutere i koji to obavi za 100-200€.
 
Sta ce vam 2 mrezne kartice? ako si u linuxu lako ces jednoj mreznoj karti dodeliti 2 adrese i napraviti bridge...

Samo je vazno da podese da jedino proxy ima izlaz na net... To mozes tako sto to podesis na ruteru ili ga stavis u psoeban vpn ili nesto trece... onda ostali nemaju izbora... ruter im nece odgovarati a jedini nacin da izadju na net je preko proxy servera... u svakom slucaju ako ne znas kako sam da to odradis, uzmi neku slabu masinu da ti radi kao proxy (ne treba ti ni mis ni tastatura ni monitor sem za instalaciju), i plati nekome da ti to odradi... njemu ce trebati mozda sat vremena, a ti ces se postedeti nerviranja... sem toga posto svi uglavnom pristupaju istim sadrzajima malo ces i poboljsati performanse mreze... takodje, ubices i torrente i slicne gluposti... jedina stvar je sto ce te kostati, ali dobra stvar kod linuxa je da je zaista tesko da crkne sam od sebe... ja na mrezi koju odrzavam imam masine koje i po 2-3 godine nisu resetovane niti gasene...
 
gmlale je napisao(la):
Koji bi Proxy software bio Vas predlog, znaci nekih 15 racunara su u pitanju.
Kliknite za proširenje...

Free: Squid + Dansguardian.

Od rešenja koja bi morao da platiš - CCProxy, eventualno MS ISA (u principu overkill za to šta tebi treba).
 
Postavljanje dedicated firewall / proxyja za mrežu od 15 računara i to u školi je možda i malo veći overkill. Zahteva poseban računar kao i eventualno plaćanje licence na godišnjem nivou za windows operativne sisteme.
Ovo par mogućnosti koje ne zahtevaju proxy server a mogu lepo da rade u tako malom okruženju :

Mogućnost br. 1 :
Ukoliko se za surfanje koristi Mozilla , instalirati ProCon Latte add-on . U njemu se može definisati lista reči koje se ne smeju prikazati i sl. Podržava zaključavanje i time sprečiti početnike u njegovom uklanjanju.
Mana : Radi samo na firefoxu , te bi ukoliko neki učenik instalira drugi browser nema nikakvog efekta.

Mogućnost br. 2 :
PeerBlock. Naslednik Peer Guardiana. Besplatno rešenje koje na osnovu lista zabranjenih IP adresa onemogućava pristup određenim sajtovima. Radi sa celokupnim saobraćajem koji pokušava da napusti ili pristupi računaru. Iako ne poseduje mogućnost zaštite putem šifre , moguće ga je podesiti tako da se ne pojavljuje u system tray-u.

I kao zadnja opcija neki od gore pomenutih proxija i firewallova.
 
opendns.com - besplatno i dovoljno rešenje za tvoj problem. Tamo gde hoćeš full pristup staviš Google ili provajderov DNS.
 
nickname je napisao(la):
opendns.com - besplatno i dovoljno rešenje za tvoj problem. Tamo gde hoćeš full pristup staviš Google ili provajderov DNS.
Kliknite za proširenje...

http://www.opendns.com/

Isprobano u praksi i radi savršeno. Facebook sad vrlo retko pokušavaju da otvore jer je više od 18 meseci blokiran :).

EDIT: Evo, uradio sam i jedan print screen:
 

Prilozi

  • 123.jpg
    123.jpg
    151.3 KB · Pregleda: 181
Poslednja izmena:
opendns.com
Unesi u moj zivot svetlost saznanja, kako se ova stvar koristi, u cemu je poenta, da stavim u podesavanjima da mi umesto npr provajderovog dnd server bude opendsn ili nesto drugu, pitam da ne proucavam sajt proizvodjaca.
 
Yellow Pinky je napisao(la):
Postavljanje dedicated firewall / proxyja za mrežu od 15 računara i to u školi je možda i malo veći overkill. Zahteva poseban računar kao i eventualno plaćanje licence na godišnjem nivou za windows operativne sisteme.
Kliknite za proširenje...

Koje licence? Linux je besplatan, kao i squid... Nista se ne instalira na klijentskim racunarima... Inace, sva resenja koja se instaliraju na klijentskoj strani su losa... Prvenstveno zbog toga sto ucenici mogu da ih iskljuce... Ako mislis da im trebaju admin privilegije, onda se varas... Uvek mogu da probaju da udju u admin modu ili da od kuce dovuku nesto od programa za skidanje admin lozinke u Winblowsu... I opet ces morati da im visis iznad glave... BTW pogledaj te dve mogucnosti koje si naveo...

1) Stavice Chrome i zaobici zastitu... Ako nemaju dozvolu da instaliraju nista, pokrenuce ga sa USB
2) Ugasice program i nista od zastite...

Da ne pominjem mogucnost da podignu Live distribuciju Linuxa...
 
gmlale je napisao(la):
opendns.com
Unesi u moj zivot svetlost saznanja, kako se ova stvar koristi, u cemu je poenta, da stavim u podesavanjima da mi umesto npr provajderovog dnd server bude opendsn ili nesto drugu, pitam da ne proucavam sajt proizvodjaca.
Kliknite za proširenje...

Ukratko:

Prvo treba da otvoriš nalog na opendns.com što i nije toliko teško. Zatim klikni na link "Dashboard" pa odaberi Settings. Tu ukucaj IP adresu (adresu sa koja se koristi u školi) i klini na "Add this network". Kad to uradiš klikni na tu adresu i otvoriće ti se stranica Settings for:"ta i ta adresa". Sad ti odaberi jedan od ponuđenih nivoa filtriranja. JA sam odabrao "High" pa sam ga modifikovao po sopstvenoj potrebi. Naknadno možeš da dodaješ url adrese ili da za neke odabereš opciju "Never block". Kad to završiš pogledaj na dnu stranice gde piše "The OpenDNS nameservers are ..." i to je "tvoj" DNS koji ćeš da koristiš.

E sad, kod mene je specifična situacija jer ne mogu sve računare da preusmerim na ovaj DNS, niti imam mogućnosti da to odradim na jedan sveobuhvatan način (da ne objašnjavam dalje) pa sam morao za svakog klijenta da odradim podešavanja. Dakle, otvori Local area Connection Properties, pa odaberi Internet Protocol (TCP/IP) i na kartici General odaberi Use the following DNS server addresess: i upiši tvoj DNS. Podrazumeva se da se korisnici loguju sa limitiranim nalogom. Naravno uvek postoji mogućnost da neki "pametnjaković" pokuša da se loguje pod admin nalogom ali to je već stvar nastavnika koji izvodi nastavu. Uglavnom 99.5 % učenika neće moći da "probije" admin šifru.
 
Poslednja izmena:
vampirbg je napisao(la):
Inace, sva resenja koja se instaliraju na klijentskoj strani su losa... Prvenstveno zbog toga sto ucenici mogu da ih iskljuce... Ako mislis da im trebaju admin privilegije, onda se varas... Uvek mogu da probaju da udju u admin modu ili da od kuce dovuku nesto od programa za skidanje admin lozinke u Winblowsu... I opet ces morati da im visis iznad glave... BTW pogledaj te dve mogucnosti koje si naveo...

1) Stavice Chrome i zaobici zastitu... Ako nemaju dozvolu da instaliraju nista, pokrenuce ga sa USB
2) Ugasice program i nista od zastite...

Da ne pominjem mogucnost da podignu Live distribuciju Linuxa...
Kliknite za proširenje...

Uhh izvinjavam se nisam video da je škola koja je u pitanju u stvari Xavier's School for Gifted Youngsters .
Ako su tako napredni oni mogu još lakše promeniti primary i seconday DNS server u podešavanjima kartice i time zaobići neka rešenja koja se ovde spominju.
 
Yellow Pinky je napisao(la):
Uhh izvinjavam se nisam video da je škola koja je u pitanju u stvari Xavier's School for Gifted Youngsters .
Ako su tako napredni oni mogu još lakše promeniti primary i seconday DNS server u podešavanjima kartice i time zaobići neka rešenja koja se ovde spominju.
Kliknite za proširenje...

Ne treba ti velika pamet... Samo Google... Ili da dodjes na forum tipa ovog i da postavis pitanje... Uvek ce ti neko pomoci... Nikad ne potcenjujte klince... Mozda ne izgledaju preterano inteligentno ali imaju mnoooogo slobodnog vremena da nadju rupu u zastiti... BTW ni za jednu od ovih stvari koje sam naveo ne treba neko specijalno znanje... Pod 1) je razumljivo... Svako od njih zna da skine i pokrene program... Pod 2) ce znati da odradi svako ko igra igrice pa se zezao sa krekovima i slicnim forama... A za Linux dsitrbuciju ti takodje ne treba znanje... Samo da skines s neta ISO fajl i da ga narezes (sto zna svaki gamer) i ubacis u drajv i resetujes masinu... Priznajem da ovaj treci slucaj zahteva posedovanje bar jedne ruke (mada moze i zubima da ubaci disk, ali je malo teze pritisnuti reset), ociju i koordinacije izmedju to dvoje :)
 
Nije dobro bazirati security na pretpostavci da korisnik neće umeti da iskoristi očiglednu rupu.

Standardno rešenje za kontrolu pristupa internetu su ljudi već napisali: proxy (eventualno u DMZu) i ACL na perimeter firewall-u koja dozvoljava pristup internetu samo proxy serveru. Onda korisnik nema izbora: ako hoće na internet - mora da koristi proksi. Ostaje mu da ti upadne na firewall ili da upadne na proksi - što je već mnogo manje verovatno da će se desiti nego da promeni DNS na svojoj radnoj stanici.
 
Ako ti na kompu koji je proxy server wan kartica npr 192.168.1.1 a lan kartica npr 192.168.0.1 i ne postoji rutiranje izmedju njih, a instaliran je proxy server na tom kompu onda cela mreza ciji je deo i lan kartica sa 192.168.1.1 tj nema mogucnost da izadje napolje, ali moze da koristi net ukoliko se podesi na njoj adresa proxy servera 192.168.1.1:8080.
U ovoj situaciji ma sta promenili djaci, ma sta ubacili u kompove nece moci da zaobidju proxy server i tu je tacka.
 
Bas tako... Ako ide preko proxy servera jedini nacin da bilo sta promene je da pokusaju da hakuju server, a ato je malo teze nego da prckaju po svom kompu... Takodje je i lakse nadgledati samo jedan komp umesto sve u skoli...
 
vampirbg je napisao(la):
... Takodje je i lakse nadgledati samo jedan komp umesto sve u skoli...
Kliknite za proširenje...

Niko nije rekao da je gore navedeno bolje, naprotiv, ukoliko postoje uslovi da se takav "monitoring" sprovede to bi bilo super. Ja bih voleo da imam Win server 2K8 ali ga nemam ;).

Međutim, treba imati u vidu da se radi o školskim računarima, da je znanje i motivacija te dece da nešto "hakuju" na veoma niskom nivou, da deca ne mogu da rade bilo šta ukoliko im nastavnik koji izvodi nastavu to ne dozvoli (svojom nepažnjom i nezainteresovanošću za nastavu) i tome sl. Njih najviše zapravo zanima šta im se dešava na farmi (FB) i sličnim glupim igricama na istom a ne kako da promene DNS. Ja bih takvom đaku, kad bi se pojavio, odmah zaključio 5 iz informatike :).
 
Poslednja izmena:
Sve to može, samo je pitanje resursa (vremenskih i novčanih) da se neke naprednije zaštite implementiraju. Možda ima neka mašina da gura linux proxy, ali da li ima nekoga ko će to da održava? Isto važi i za Win rešenja za ograničavanje i monitoring internet aktivnosti. Jedno su nezainteresovani klinci koji svakako kući imaju internet pa ih i mrzi da čačkaju bilo šta, a drugo je na primer neki linux geek koji sedi po ceo dan u vojsci u kancelariji, nema gde da mrdne odatle i sve što ima da radi je da hakuje pristup netu. A pošto čovek ne zna ni šta je OpenDNS, iako je nekom ko se razume u problematiku to jasno iz 15 sekundi gledanja u sajt, teško da će sad da uči da diže linux proxy ili da setuje ACL na ruteru itd.

OpenDNS je free, namesti se za 5 minuta, ubacuju se kategorije koje zajednica održava i obično je dovoljan za 99% korisnika. Ostalih 1% možda znaju da promene DNS u podešavanjima mrežnog interfejsa, možda znaju za proxy dostupan po IP adresi, ali ako je 99% cilja ostvareno sa 5 minuta posla, to meni ne zvuči kao loš posao.
 
Ne mora da znaci da neko nema pojma o mrezi ako nezna sta je OpenDNS, ako nije imao potrebe da ga koristi nezna sta je, a sastaviti listu od 10-15 sajtova koje treba zabraniti nije neka filozofija, u principu jednom kad namestis neku brend masinu i stavis u neku cosak to ti radi poso, eventualno se zakacis ponekad remote da odradis nesto i to je to, bolje je sam sebi sastavljati pravila nego cekati na neke druge, mada verujem da tim OpenDNS-a dobro odradjuje poso.
Svidja mi se i ideja da se na proxy-ju stavi AV program koji ce sav saobracaj da filtrira pre nego sto dodje do radnih stanica, npr Proxy+ je imao plug in-ove za AVG i NOD32 pa je moglo da se skenira npr. NOD-om na proxyju a na radnim stanicama da stoji drugi AV program i dobija se unapredjena bezbednost mreze.
 
Poslednja izmena:
Morate se prijaviti ili registrovati da odgovorite ovde.
Vrh Dno