[petr-lyutyaev]

В 26.01.2024 в 23:40, NarkoHeal сказал:

Раньше были открытые порты. Сейчас без авторизации в еспд, открыты некоторые порты только на разрешенные ip., типа dns rt, страница авторизации, электронный журнал. Так что, настрочить бумажку придется. Какой впн лучше, холиваров полно. Тут, что Вам нравится.

Кто не хочет заморачиваться, есть очень простой сервис ngrok, создающий туннель и дающий доступ к определенном портам. Отлично работает в ЕСПД, только нужен нефильтрованный интернет, приходится каждый день авторизовываться через Госуслуги.

[NarkoHeal]

В 03.02.2024 в 17:16, petr-lyutyaev сказал:

Кто не хочет заморачиваться, есть очень простой сервис ngrok, создающий туннель и дающий доступ к определенном портам. Отлично работает в ЕСПД, только нужен нефильтрованный интернет, приходится каждый день авторизовываться через Госуслуги.

Не фильтрованный интернет можно получать через прокси, отправляя запрос connect. Без регистрации, смс и просмотра рекламы.

Изменено 6 февраля пользователем NarkoHeal

[AnTiBiT]

Есть opnsense, 1WAN и ЕСПД. Не могу понять как тут перенаправить трафик, чтобы он шел именно через ЕСПД, а не через wan.
Если в правилах фаерволла указать any, то будет перенаправляться весь трафик, а мне такого не надо т.к. в локалке еще есть сервисы.
В PFSense можно было выбрать путь назначения "Network" и тогда весь трафик инета спокойно перенаправлялся в ЕСПД, а локалка никак не затрагивалась. Проблема в том, что в opnsense такого пункта как "Network"  попросту не существует. Есть идея с алиасом, но что туда записывать я без понятия.
Может кто-то тут сталкивался с этим или подскажет как не затрагивая локалку перенаправить трафик инета? Заранее спасибо))
Уже всё перерыл, документалку по опнсенсу читал, думал может есть какая-то переменная - все бес толку :c


upd.
Короче говоря, порылся я в настройках алиаса и сделал полнейшую дичь как по мне 😄
Был создан алиас, назвал его "Network";
Тип алиаса: GeoIP IPv4;
Выбрал все регионы;
Добавил ссылку в GeoIP Settings и применил настройки;
В правиле фаерволла как назначение выбрал мною созданный алиас "Network" и применил данное правило.
Итог: Правило срабатывает, сразу закидывает на страницу авторизации ЕСПД и локалка при этом никак не затрагивается!
Для полного счастья осталось настроить виртуальные IP и назначить их кому надо)
 

Изменено 8 марта пользователем AnTiBiT

[NarkoHeal]

Есть те, кто решал проблему авторизации в еспд, когда за каждым рабочим местом в день может работать по 15 человек? На данный момент, у нас с этого полугодия заставили вновь педагогов бегать по кабинетам к детям, естественно перед уроком проходить авторизацию, а в конце урока авторизацию сбрасывать каждому - так себе удовольствие. Мы насчитали, более 700 авторизаций в рабочий день у нас должно было быть.
На данный момент, обходим проблему таким способом: т.к. у нас прозрачный нат, при авторизации педагога на рабочей станции в домене, дергаем логон скрипт, который по http дергает api шлюза, передавая ему ip станции, sid пользователя. Далее, уже на самом шлюзе из iptables удаляется предыдущее правило --to-source, которое имеет нужный ip и применяется новое правило, которое нужный ip станции (за нат) гонит через --to-source ip пользователя. Естественно, каждый SID через базу прописан свой IP. Получается, что мы IP еспд привязываем к доменному пользователю и через скрипты гоняем их. Естественно, это не отменяет первой авторизации в еспд каждого пользователя в рабочий день. Пока появляется проблема, что станции, на которых нужно залогиниться под одинаковым (например, какие нибудь конкурсы или студенты приходящие) то на всех, кроме последнего, интернета не будет. А так же, при логоне, маршруты могут несколько минут перестраиваться.
Может, у кого то было более надежное решение?

Изменено 9 марта пользователем NarkoHeal

[AnTiBiT]

@NarkoHeal 

1 вариант: прописать всем статический ip и выполнять logoff скрипт, который будет дергать ссылку деавторизации и только после завершения скрипта завершать сеанс.

2 вариант: сделать как должно быть по факту - прописать всем прокси т.к. по факту во всех учебных кабинетах должен быть СКФ.

[NarkoHeal]

9 часов назад, AnTiBiT сказал:

@NarkoHeal 

1 вариант: прописать всем статический ip и выполнять logoff скрипт, который будет дергать ссылку деавторизации и только после завершения скрипта завершать сеанс.

2 вариант: сделать как должно быть по факту - прописать всем прокси т.к. по факту во всех учебных кабинетах должен быть СКФ.

1. Дергать ссылку деавторизации - это хорошо. Меня потом заклюют, каждые 40 минут авторизацию делать. Еще не понятно, как к этому госуслуги отнесутся, делая вход через есиа каждому человеку по 15 раз в день.

2. В документации еспд рт указано,
 

Цитата

Отключение контентной фильтрации с рабочих мест административного и педагогического персонала

т.е. педагогам разрешен интернет без контент фильтрации. Да и УО требовало, чтобы у педагогов работал интернет. А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает.

Еще варианты?

[lea-nsk]

В 11.03.2024 в 13:24, NarkoHeal сказал:

т.е. педагогам разрешен интернет без контент фильтрации. Да и УО требовало, чтобы у педагогов работал интернет. А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает.

Еще варианты?

Педагогам разрешён доступ без контент-фильтрации при условии полного отсутствия учащихся. Поэтому во всех учебных кабинетах должен быть канал интернет, имеющий СКФ.

 

Для примера:

https://school154.ru/download/153/информатизация-защита-персональных/43889/положение-о-скф.pdf?ysclid=lttsz8hnow851793366

 

В 11.03.2024 в 13:24, NarkoHeal сказал:

А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает.

 

 

Кто мешает педагогам использовать локальную, заранее скачанную версию?

Таким образом, педагоги подставляют своего руководителя. Не дай бог к вам придёт прокурорская проверка, а на рабочем месте педагога будет работать канал интернета без СКФ...

 

[pub_ii]

Все эти регламенты создают люди с искаженным знанием реальности или создают иллюзию борьбы с угрозами.  Все дети имеют телефоны с прямым доступом в интернет. Мало какие родители могут это ограничить: запретить интернет, запретить установку приложений, создать родительский контроль. ЕСПД создает видимость защиты учеников от нежелательного контента из предположения, что они имеют доступ в Интернет только в школах.   Но в жизни все наоборот. В школах им интернет не особо нужен. Им дома и с телефонов, компьютеров достаточно, тем более что приходится смотреть задания от учителей, свои оценки в электронных журналах, все они сидят в разных соцсетях, играют в сетевые игры. Кто и как дома их ограничивает от нежелательного контента? Да в большинстве случаев никто. Так зачем городить такой огород  в школах? 

Вся эта лабуда придумана для отмытия денег. Криптошлюзы, обслуживание оборудования, создание и поддержка сервисов требуют по стране громадных денег. Кто-то на этом покупает виллы на Лазурном берегу.  Ну и отмазка - это не мы виноваты, у нас все хорошо, это все родители. В результате такой имитации борьбы даже  девочки устраивают побоища  с оружием в школах.  

Авторизация для работы через ЕСИА Госуслуг создает условия для утечки персональных данных.

 

 

Изменено 19 марта пользователем pub_ii

[Nickuz]

В 16.03.2024 в 13:12, lea-nsk сказал:

Для примера:

https://school154.ru/download/153/информатизация-защита-персональных/43889/положение-о-скф.pdf?ysclid=lttsz8hnow851793366

Выхлопа от этих документов 0. Пока вы не сядете за спиной у пользователя, не поймёте, что изображено на картинке по адресу https://someserver.somedomain/oermrime4wov.jpg. А есть ещё динамический контент... Всё остальное - бумажкомарательство для прикрытия пятой точки директора.

 

В 16.03.2024 в 13:12, lea-nsk сказал:

Кто мешает педагогам использовать локальную, заранее скачанную версию?

да не умеют они уже этого. Потому что все забыли, как скачивать, у них, как у собачек Павлова, рефлекс: материал для урока - ютюп - поиск. Ушли уже те педагоги, которые начинали изучение компьютеров с теории. Теперь только голая практика, и, если, не дай бог, алгоритм, освоенный дома, не срабатывает - всё, виноваты все кругом, не дают уроки вести.