"Правильный" СКФ?

Изображение пользователя derugu.

Пока занимался клонированием Школьного Сервера (О, великая команда dd) набрёл на совет, как легко прикрутить фильтрацию "плохого контента": а просто в DNS компьютера записать 81.176.72.83 81.176.72.82.
Перезагружаем сеть и пробуем набрать "п...о*" - фильтрует!!! Что это, подарок федералов? И Жаббер с Аськой работают.

После эксперимента с клонированием Системы установлю в настройках Школьного сервера эти DNS. Может, теперь и DansGuardian не понадобится? Хотя эти сыры бесплатные подозрительны.
_____
*"п...о" - Защита Дэна не пропускает страничку... Пришлось вот так исправить!!!

Все гениальное просто

Вообще это был бы самый простой вариант для всех. Сколько народу мучается с установкой всяких систем.

Изображение пользователя derugu.

Белый список тоже дырявый...

Караул! В яндексе набираем нехорошее слово, затем жмём на "сохранённая копия" и лезет с кэша яндекса такая гадость!!! Это верно и для других поисковиков. Что, закрывать Гугли-шмугли с яндексами всякими? Что делать, караул, проверка на днях приходит...
Вот тебе, бабушка и белый список...

Изображение пользователя Школяр.

Совет

закройте ВСЕ сайты, затем откройте пару десятков (минобр, егэ, сайт президента и подобное).
На время проверки...

Изображение пользователя derugu.

Да, так и сделал...

запретил всё и открыл несколько, в том числе и яндекс, там у многих почта, а что с его кэшем делать? Ссылку на сайт режет, а сохранённое выдает.
Вот у гугля кэш рассположен по другому адресу (http://74.125.77.132/search?q=cache:...)
Поэтому в Гугле сохранённая копия не открывается, в отличии от Яндекса.

Изображение пользователя Школяр.

открыть

mail.yandex.ru, а яндекс не открывать... вы все равно не отфильтруете все непотребное, на что яндекс дает ссылки

Изображение пользователя wecheslaw.

яндекс можно совсем закрыть

и пользоваться http://school.yandex.ru Мне удалось в своей школе приучить к безопасному гуглу. Может у рамблера тоже есть что то подобное?

Изображение пользователя derugu.

Да-а-а-а-а! Чую, что не пройти проверку...

Отрезать провода если только...

Изображение пользователя Школяр.

пройдете

проверяющих совершенно не волнует, что нет доступа к яндексу. Их волнует, чтобы не было доступа к запретным сайтам. Зададут вопрос, отвечайте: открывают конкретные сайты по просьбе учителей, проверяя предварительно их содержание.

угу, только

угу, только проверяющие притащили некоторый список с сайтами "экстремисткого содержания" - все сайты пропустил этот DNS фильтр

Изображение пользователя derugu.

Поможет только белый список

Поскольку всегда можно найти нечто неотфильтрованное, из новенького, например.

Вот как у нас этот произвол над школами в реальности. Псковщина.
http://eduvluki.ru/metod/detail_news.php?publ_id=20619&publ_catid=259&pu...

Цитата "В ходе проверки осуществлен выход на страницу сайта со ссылкой на книгу экстремистского содержания..."
Не сам сайт, а сайт со ссылкой!!!! Круче не бывает. Поможет только белый список, но, думаю, ОНИ найдут, до чего докопаться, например, нет учёта посещаемости интернета.

Делаем белый список в "Защите Дэна":
1. Качаем "Белый лист" http://narod.ru/disk/19400819000/%D0%B1%D0%B5%D0%BB%D1%8B%D0%B9%20%D1%81...
2. Заходим в /etc/dansguardian/lists

3. Белый список прописываем в exceptionsitelist
А в bannedsitelist прописываем все существующие домены таким методом:
.com .net .ru и т.д
Получим, что все домены блокируются, кроме сайтов в exceptionsitelist

4. Пережидаем проверку, как медведь зиму в берлоге.

Как пройду проверку в конце апреля-начале мая, сообщу результаты.

Изображение пользователя den2007.

Уточнение

>>>3. Белый список прописываем в exceptionsitelist
>>>А в bannedsitelist прописываем все существующие домены таким методом:
>>>.com .net .ru и т.д

Проще записать так в bannedsitelist:
**

все адреса не входящие в белый список будут блокироваться.

Изображение пользователя derugu.

С почтой всё в порядке,

но прикрепления не создаются в яндексе. Открыл в белом листе
ya.ru
yandex.ru
yandex.net
mail.yandex.ru
Что-то ещё из скрытых фреймов фильтруется? Что ещё для яндекса открыть?

Изображение пользователя den2007.

Dansguardian

Возможно Dansguardian некоторые скрипты считает за рекламные и вырезает, это вы можете проверить открыв исходный текст загрузившейся страницы и поискать комментарии Dansguardian по тексту - ключевое слово dans, если же есть комментарии то надо копать соответствующие конфигурационные файлы, также в настройках dansguardian есть проверка веб-форм, и размера отправляемого методом POST контента, возможно дело в них.

Изображение пользователя derugu.

Не, думаю, это не скрипты режутся.

> Проще записать так в bannedsitelist:
> **

Я запрещаю ВСЕ адреса этими двумя звёздочками,после этого DG начинает вот так шалить с яндексом. Страница у яндекса формируется минимум из 2-х адресов: yandex.ru yandex.net.
Видимо, скрипты с ещё одного адреса приходят и фильтруются. Как определить этот адрес и разрешить его?

Изображение пользователя den2007.

просто

Просто посмотрите лог Dansguardian, там Dans подробно пишет что заблокировал. не помешает и лог squid посмотреть.

Изображение пользователя derugu.

Да, спасибо, в логах Дэна

нашёл запрет на ad.adriver.ru в /var/log/dansguardian/acces.log
Как только открыл этот сайт, прикрепления стали работать.
Спасибо за совет!

Изображение пользователя den2007.

спасибо

за список.
Пришли проверяющие вбили в поисковике mp3, и ничего скачать не смогли, спасибо dansguardian и некоторым опциям squid, хотя неприятный осадок все же остался от этой проверки.

Считаю что в школе интернет должен быть на двух подключениях, одно для администрации с весьма грубой фильтрацией, а второе для всей школы только с белым списком, себя к администрации не отношу и интернет школьный использую редко, так как всегда с собой свой нетбук и 3g модем, дома стоит связка HAVP+Dansguardian, обычно использую только при поиске в Интернет, хотел бы дописать Squid, но прокси особо не нужен мне дома, поэтому не использую.

Логика однако у проверяющих весьма интересная, вот сайт доступен - виновата школа, а может государство вместе с провайдером, которые не позаботились о надлежащем качестве безопасности доступа в Интернет, а СКФ то стоит, ба а претензии все равно школе, тогда интересно, а за что цаир деньги государственные получает, вот пусть с него и спрашивают, как ни крути, а ни одна организация в мире не способна фильтровать все материалы Интернет, не говоря уже о школах...

Учет организуется легко средствами SQUID и free-sa или sarg
Даже Dans и то логи ведет, а при авторизации на squid и логин пользователя пишет.

В домене RU легко навести порядок, вот только почему-то государство на эту проблему ..........

Что видят дети в Интернет дома это конечно другой вопрос, но ситуация ещё хуже чем в школе, лишь немногие родители ограничивают своего ребенка от интернет-угроз.
Когда меня просят настроить новый компьютер, я обязательно интересуюсь нужен ли им антивирус, контент-фильтр, если нужен то настраиваю.

Под Windows чаще всего приходится ставить Kaspersky Internet Security, K9WEBPROTECTION и другие, все зависит от того какой уровень защиты требуется пользователю.

K9 WEB PROTECTION, весьма не плохой фильтр по функциональности и принципу работы сравним с СКФ, жаль бесплатен только для персонального использования и нет версии для Linux, но тем не менее поудобнее СКФ.

Изображение пользователя derugu.

Опробовал этот белый список.

Добавил linformatka.ru и другие полезные (для меня) ресурсы. Режет ВААЩЕ всё!!! Побежали коллеги с просьбой открыть любимые сайты. А-а-а-а-а! Значит, мы нужны всем, а то забывать нашу роль стали. Будем договариваться. За небольшую плату. В смысле за преференции нашей службе. :)

ЗЫ. Геноцид пользователей Инета получается.

Изображение пользователя derugu.

Учёт и контроль, как говорил дедушка Ленин.

>Учет организуется легко средствами SQUID и free-sa или sarg
>Даже Dans и то логи ведет, а при авторизации на squid и логин пользователя пишет.

Проверяющие требуют тетрадочку, где указаны:
1. Цель посещения
2. Сайты, где был
3. Объем скачанного
4. Дата
5. Подпись
6. Подпись ответственного.
Это, напоминаю, около каждого компа с выходом в Инет. Исходя из этого, нам никогда не наладить "правильный Интернет".

Раньше на Федоре-сервере у меня был тотальный учёт всех и вся, и по IP и, самое главное, по логину. Есть такая прога TrafficPro . Каждый, кто хочет в инет, логинится в системе. Но, к сожалению, эту прогу к Альтам прикрутить не удалось, в Альтах у меня Мудль, DG, и eJudge (и-джадж), а они для нас главнее. Может кто знает, как наладить учёт по пользователю (где был и сколько за период). Вот на LDAP давно заглядываюсь... Что это за зверь и как его запустить на Альт?

Изображение пользователя den2007.

Что касается

Что касается пунктов.
1.Цель посещения, весьма сомнительно, что кто-то отличное от образовательной напишет.
2. В логе все как на ладони.
3. объем скачанного по логам тоже не проблема, а вот как в случае с бумажной версией указать, так наверно 15 страниц * 330 кбайт + 4 мегабайта песенка мамонтенка.Вот это абсурд.
4. дата в логе squid ставится с большой точностью, тот кто знает что такое UNIX-время меня поймет.
5.подпись а как же без нее, ведь вводишь же логин и пароль, а следовательно подписываешься.
Возможно логин и пароль могут украсть, так ведь и паспорт могут украсть и подпись подделать.
6. Подпись ответственного. Хм как ни крути крайним директор по любому окажется, хотя от него другим попасть может.

Смысл столько бумаги переводить.

Варианты авторизации на squid есть разные, и LDAP и SAMBA, и NCSA.
ncsa - самый простой, SAMBA(c NTLM) неплохо подходит в случаях когда парк наполовину Windows, наполовину другие ОС, LDAP посложнее в настройке и понимании, но работает замечательно.

собираюсь построить следующим образом цепочку
SQUID ---- Dansguardian --------- Squid1-----клиенты

SQUID соответственно использовать как кеширующий с ip aвторизацией, dansguardian один для всех но с разными группами, все компьютеры учителей прямо подключаться будут к нему, Squid1 размещаться будет на терминальном сервере с NCSA авторизацией, для его пользователей.

Для классов по логинам не актуально, поскольку компьютер используется только учителем, а дети работают на нем только под присмотром учителя.
А вот для компьютерного класса где на один компьютер может приходиться до 20-40 пользователей только авторизация по логину и паролю.

Это то что касается авторизации, остальное все относится к разбору логов.
Тут есть несколько вещей которые могут отображать использование интернет.
Для общей статистики есть VNSTAT, никак не связан, и собирает общую информацию о трафике прошедшем через интерфейс,это консольная программа, но есть и веб-интерфейс.
Sarg и Free-sa анализаторы логов squid, sarg очень гибкий, можно настроить как хочется, зато Free-sa гораздо быстрее.
Есть еще Webalizer собирает общую информацию из логов Squid, выводит рейтинги сайтов, пользователей и пр, ресурсоемкий.

Что касается управления всем этим хозяйством,
есть WEBMIN, на мандриве спокойно устанавливал без танцев с бубнами, в нем есть много веб-интерфейсов для разных сервисов, имеет модульную структуру, хотя некоторые вещи мне все же проще в консоли сделать чем там, на его основе даже можно систему авторизации пользователей поднять.

Также есть SAMS - Squid account management system весьма не плохой веб-интерфейс, постоянно обновляется, есть возможность устанавливать квоты, собственный редиректор, поддержка разных типов авторизации, отчеты и пр.

Изображение пользователя Школяр.

Да, но эта формулировка

"В ходе проверки осуществлен выход на страницу сайта со ссылкой на книгу экстремистского содержания..." подразумевает, что блокировать надо все поисковые сайты... и этот бред устраивает в который раз государство

Изображение пользователя derugu.

Врут учебники.

В 1861 году крепостное право никто не отменял. Как было феодальное общество с рабами и элитой, так и по сей день осталось. Творят, шо хотят.

Изображение пользователя Школяр.

Уточню

с рабами снизу, и с рабами сверху... В рабовладельческом обществе рабами являются ВСЕ.

Я бы в школе

поступил бы так: закрыл бы вообще все, а потом открывал бы по заявке учителя за подписью завуча или директора. Конечно и самому проверить не мешает... Но, потом, если проверяющие что-то нароют - есть на кого свалить :)

Изображение пользователя Школяр.

Ну вообще-то выход...

однако думаю, что в практической реализации и он окажется крайне неудобным

Изображение пользователя Школяр.

А вот это уже

просто натуральное безобразие. Список сайтов, которые должен закрывать контент-фильтр, должен быть официально опубликован. Иначе все эти действия проверяющих - издевательство и бред. Любой сайт, вообще любой, можно назвать экстремистским, совершенно при этом произвольным образом. Широкое поле для выпаса проверяющих открывает такой способ проверки. Я полагаю, что список, с которым они приходят, должен был быть сначала разослан по школам, а потом уже проверен.

Элементарный анализ

сетевых адресов (whois) приводит нас на сайт cair.ru из которого ясно, что бесплатность этого "сыра" оплачена государством. см. http://cair.ru/pages.php?page=12
Так что похоже вы нарыли СКФ, без CKF :)

Изображение пользователя kon-dv.

Режик

Мне такая фильтрация вообще никак не нравиться. Фильтрует много лишнего. Режик рулит

Изображение пользователя den2007.

Как настроите

так и будет работать.
Конечно разобраться много в чем надо, но по возможностям режик намного уступает, хотя и плюсы режика очевидны.
Не нравится контекстная фильтрация можете отключить и оставить как у режика.
К тому же к Squid можно прикрутить только один редиректор, и у меня стоит другой редиректор, режик не поставить.

Изображение пользователя derugu.

Режик не смог установить

поэтому у нас рулит Дэн! :)

Изображение пользователя den2007.

более чем

"эти сыры бесплатные подозрительны", хотя мы привыкли.
Мы подключены через Рособразование поэтому этот фильтр включен по умолчанию.

Что вам сказать?
если есть WINDOWS и СКФ, то вы получаете средство для управления фильтрацией.
Если Linux, то ставить пристройку для Squid, которую еще и настроить надо.
из минусов решения, то что решение о блокировке сайтов принимают посторонние от школы люди, отсюда блокировка некоторых полезных сервисов, таких как Google-переводчик, я уже три раза писал на сайте СКФ об этом, но ни ответа, ни привета.

Вдобавок полностью вы не можете контролировать закрыт/открыт ресурс.
Согласен что vkontakte, одноклассники и другие социальные сети для взрослых должны быть закрыты для школы, так как их безопасность равна практически 0.

Интернет развивается, у меня есть много черных списков сайтов 95-99 годов, самое интересное, что половина тех доменных имен уже просто не существует как и самих сайтов.

Фильтрация основанная на DNS зачастую не актуальна, черные списки раздуты до громадных размеров, а их эффективность небольшая. К тому же есть еще глюк -- DNS в часы пик просто висит, ответ на пинг - 4-5 сек, в результате тот же Mail, Rambler можно не дождаться.

По фразам фильтрация вещь неплохая, но требует ресурсов и не справляется с флеш-сайтами, к тому же есть проблемы с кодировками.

Видел плагин фильтрации изображений, к сожалению платный, блокирующий непристойные материалы, но очень ресурсоемкий и ошибок довольно много, думаю что такое решение должно строиться на основах векторной графики и цвете, а сейчас только по анализу цветов фотографий.

На моей памяти события двухлетней давности когда я пришел на работу утром и с удивлением для себя обнаружил что закрыты Google, Mail и Rambler, даже не знаю чего там было больше давления со стороны Yandex или непонимание разработчиками СКФ того что весь интернет все равно не закроют.

Этот способ у нас по-умолчанию(такой уж провайдер) :) + Dansguardian
Dansguardian хороший фильтр, у которого одна проблема -- отсутствие хорошо отлаженых списков фраз.

Способ

"Этот способ у нас по-умолчанию(такой уж провайдер) :) + Dansguardian"
У нас также!
в пору Windows было без Dansguardian! Так много чего пропускает!
А бывает так что сначала не пускает, а потом "хорошо попросишь" и пустит поглядеть!

Изображение пользователя derugu.

Нашёл плюс в этом ДНС.

Временно настраивать этот ДНС на компах с Линуксом, только на период проверки. Эталонные списки "плохих слов" явно адаптированы под фильтр Рособразования. Поэтому реакция на другой, "неутверждённый" фильтр предсказуема: стереть и поставить "правильное" ПО.
Пришли проверяющие - пусть работают парочкой с "Защитой Дэна", ушли - оставляем DG

Изображение пользователя Школяр.

поделитесь впечатлениями после

того, как проверяющие уйдут :)))
Но, в общем, никто не мешает совместить... а?

Изображение пользователя Школяр.

ну списки фраз-то никто не мешает дополнять

а любой сайт с неприличным содержанием так или иначе содержит неприличные слова... конечно, чтобы все их изучить, придется многое пересмотреть :))

Изображение пользователя den2007.

Только

только с п. сайтами легко искать фразы, а например если про изготовление взрывчатых веществ фразы собирать, то после 200 сайта ФСБ домой заявится может и не сразу, но через некоторое время точно.
Вот если команду собрать из специалистов, за полгода, можно нормальные списки собрать и отладить.
Когда я фразы п. собирал я столько этих сайтов перекопал, где вручную, а где скриптами, что смотреть уже на ссылки их не могу, не то что сайты.

думаю что государства мира могли бы решить эту проблему одним махом, создать отдельный корневой домен для таких сайтов как п.и всяким варезом, и пусть там хоть что творится, а за размещение таких сайтов в национальных доменах давать пожизненное заключение с конфискацией имущества.
Тогда бы люди три раза подумали бы чем открывать свой п. сайт на нормальных доменах.

Как torrents.ru закрывать у прокуратуры мозгов хватает, а сайты с целой кучей настоящего вареза, (те же 1с и AUTODESK можно с любого файлообменника скачать, почему-то все же прицепились к торрентам) п., вирусов эт не мы не можем.

Почему-то даже не смешно.
Обидно за наше государство, за его избирательность, вот ты бедный тебя и накажем, а у тебя папа влиятельный, денег много иди с миром раздавай варез дальше.
Закон должен быть один для всех. раз закрыли torrents.ru, закрывали бы все варезники, а не устраивали показуху.

Изображение пользователя derugu.

Увы... Этот фильтр дырявый...

В гугле если перескочить на 80 страницу с темой "п...о" (DansGuardian даже списки страниц не покажет с "плохими" словами) странички начинают загружаться. Делаем вывод, что эта фильтрация - банальный "чёрный список"?

PS. Восстановил DansGuardian, и чтобы вы думали? Не пропустил ЭТУ страничку. Я так понимаю, слова "плохие" виноваты. Поправлю оригинал так, чтобы не видно было явно слов нехороших...:)

Изображение пользователя Школяр.

Подозреваю

что если вы определите ай-пи этого сайта, и затем вставите в строку адреса, то фильтрация не отработает

Изображение пользователя derugu.

Это дело я проверил на отдельном компе...

А вот поставлю на сервере этот ДНС, казалось бы, задача решена. Но не тут то было. Пользователи, загружающиеся со статическими настройками сети, могут самостоятельно изменять DNS.

Если я нашёл вариант обхода фильтра за 30 минут, то, надо полагать, ещё кто-нибудь до этого додумается...

DansGuardian рулит!!!

Изображение пользователя derugu.

Не, и айпи фильтрует...

вот как это было:

[derugu@appserver Рабочий стол]$ ping www.eboogle.net
PING www.eboogle.net (217.106.225.246) 56(84) bytes of data.
64 bytes from www1.edu.cair.ru (217.106.225.246): icmp_seq=1 ttl=58 time=21.7 ms
64 bytes from www1.edu.cair.ru (217.106.225.246): icmp_seq=2 ttl=58 time=28.6 ms
64 bytes from www1.edu.cair.ru (217.106.225.246): icmp_seq=3 ttl=58 time=21.8 ms
^C
--- www.eboogle.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2291ms
rtt min/avg/max/mdev = 21.775/24.109/28.678/3.235 ms
[derugu@appserver Рабочий стол]$

Затем скопипастил в фокс и увидел фильтр!