TurboBlaze Posted February 8, 2022 Posted February 8, 2022 Трафик редиректится через WPAD (настроено у меня), телефоны, планшеты не понимают WPAD (требуется ручная настройка proxy). Провайдер в танке :) Вставить ник Quote
ixi Posted February 8, 2022 Posted February 8, 2022 В 08.02.2022 в 11:13, TurboBlaze сказал: Трафик редиректится через WPAD (настроено у меня), телефоны, планшеты не понимают WPAD (требуется ручная настройка proxy). Провайдер в танке :) WPAD удобно, но небезопасно. Поэтому давно уже многими отключен Вставить ник Quote
Udavf Posted February 8, 2022 Posted February 8, 2022 On 2/8/2022 at 3:51 PM, ixi said: WPAD удобно, но небезопасно. Поэтому давно уже многими отключен А учитывая что эти подонки заставляют ставить корневой сертификат, WPAD меньшая из проблем. Вставить ник Quote
TurboBlaze Posted February 8, 2022 Posted February 8, 2022 Распил денег под Новый Год и захват школ под свое влияние. WPAD это костыль, как и все остальные подходы к ЕСПД. Можно пойти по пути своего Squid на отдельном АРМ, родительским приписывать РТК Proxy, с последующим заворотом трафика на внутренний Squid. Вставить ник Quote
Udavf Posted February 8, 2022 Posted February 8, 2022 On 2/8/2022 at 4:42 PM, TurboBlaze said: Можно пойти по пути своего Squid на отдельном АРМ, родительским приписывать РТК Proxy, с последующим заворотом трафика на внутренний Squid. Ну за это писали выше в теме. Я пробовал, не завелось, но я пока не осмыслил принцип работы iptables, может ошибся, буду еще пробовать. Ты пробовал, работает? Вставить ник Quote
ixi Posted February 8, 2022 Posted February 8, 2022 В 08.02.2022 в 16:29, Udavf сказал: А учитывая что эти подонки заставляют ставить корневой сертификат Вы про гугл или эппл? Вставить ник Quote
Udavf Posted February 8, 2022 Posted February 8, 2022 (edited) On 2/8/2022 at 4:46 PM, ixi said: Вы про гугл или эппл? Я про то что уязвимости wpad не так страшны, как то, что в каждом устройстве внедрен сертификат от уебановнациональной компании, которая не может даже прозрачную проксификацию сделать... Edited February 8, 2022 by Udavf Вставить ник Quote
st_re Posted February 8, 2022 Posted February 8, 2022 В 08.02.2022 в 16:51, Udavf сказал: Я про то что уязвимости wpad не так страшны, как то, что в каждом устройстве внедрен сертификат от уебанов, которые не могут даже прозрачную проксификацию сделать... им прозрачно не надо, им надо фильтровать трафик... а вот зачем на личные телефоны всё это ставить и их подключать к сей сети, \то тайна великая есть (рассказывать, что в школе выдали ай фон, не надо...) Вставить ник Quote
TurboBlaze Posted February 8, 2022 Posted February 8, 2022 (edited) Udavf, не пробовал, так как лицей полностью закрыли на дистант с 8 по 17 февраля включительно. Пришлось назад PPPoE подключения из бэкапа восстанавливать, так как Skype не завелся с ЕСПД. У Вас маршрутизатор работает на OpenWRT? Там проще с firewall и iptables. Приблизительные правила я написал в этом сообщении (хотя, по ходу, нужно использовать правило с DNAT) В 08.02.2022 в 16:51, Udavf сказал: wpad не так страшны как по мне дичь, но нужно было быстро придумать схему. Пошел по легкому пути. В 08.02.2022 в 16:53, st_re сказал: им прозрачно не надо, им надо фильтровать трафик... он и на PPPoE хорошо фильтруется до сих пор - провайдер тот же РТК. В 08.02.2022 в 16:53, st_re сказал: а вот зачем на личные телефоны всё это ставить и их подключать к сей сети, \то тайна великая есть (рассказывать, что в школе выдали ай фон, не надо...) а почему бы и не подключить (задачи бывают разные)? У нас интерактивные панели на Android + учителей музыки моноблоки на Mac OS и как воспользоваться интернетом от Ростелекома? Правильно, через одно место xD В 06.02.2022 в 20:02, Udavf сказал: И после этого проблемы скорее всего будут, потому что заметил что в телефоне каждая открываемая ссылка сперва идет через редиррект на check.cert.cc, потом грузится. Это не только на телефоне, но и везде (в частности наблюдал на ПК). Edited February 9, 2022 by TurboBlaze Вставить ник Quote
kaeskat Posted February 8, 2022 Posted February 8, 2022 On 2/8/2022 at 9:33 PM, TurboBlaze said: он и на PPPoE хорошо фильтруется до сих пор - провайдер тот же РТК. Если я правильно понял задача в принципе стоит мониторить содержимое трафика и фильтровать в т.ч. на уровне контента. Заодно видимо хотят не пропускать любое туннелирование, попытки обхода фильтрации и не одобренный софт, зависимый от собственных протоколов/серверов. Ну и стучать по необходимости, куда ж без этого. Потому как фильтрация при помощи DNS/IP на уровне доменов и без этого у них же самих работала, а для безопасного поиска достаточно было забить редиректы на СкайДНС. Вставить ник Quote
TurboBlaze Posted February 8, 2022 Posted February 8, 2022 Хотеть не вредно, goodbidpi в помощь ;) Вставить ник Quote
ixi Posted February 9, 2022 Posted February 9, 2022 В 08.02.2022 в 21:02, TurboBlaze сказал: Хотеть не вредно, goodbidpi в помощь ;) И что он сделает в этом случае? это не мягкая фильтрация операторами, а полноценный MITM Вставить ник Quote
TurboBlaze Posted February 9, 2022 Posted February 9, 2022 По крайней мере YouTube открывался без проблем на том же ЕСПД. Глубже не тестировал, так как не было времени разбираться почему видео звонок в Skype не заработал. Вставить ник Quote
TurboBlaze Posted February 9, 2022 Posted February 9, 2022 (edited) Нашел наш случай и как правильно оформить правило DNAT - подробнее см. здесь https://forum.ubuntu.ru/index.php?topic=238849.0 Edited February 9, 2022 by TurboBlaze Вставить ник Quote
DuKle Posted February 15, 2022 Posted February 15, 2022 Доброго времени суток! Нашу школу к огромному сожалению тоже засунули под этот ЕСПД. В качестве головной железки в локальной сети имеется роутер микротик. Неделю пробовал всякие разные варианты, добился не полной работы инета на машинах: открываются сайты поддерживающие и http, и https. Например яндекс. Остальные сайты которые только https, не открываются, но отлично пингуются. Даже задержки можно назвать не критическими. Микротик видимо категорически не дружит с https прокси. Коллеги,подскажите какой роутер можно приобрести заместо микротика,который дружит с https прокси? Который поддерживает несколько vlan (у меня их 8 в сети). Еще заинтересовал способ со squid на отдельной арм... завелось у кого-нибудь так? Вставить ник Quote
artembark Posted February 21, 2022 Posted February 21, 2022 (edited) В 15.02.2022 в 19:35, DuKle сказал: Микротик видимо категорически не дружит с https прокси. Коллеги,подскажите какой роутер можно приобрести заместо микротика,который дружит с https прокси? Который поддерживает несколько vlan (у меня их 8 в сети). У нас RB3011UiAS и все работает. Также отправил заявку в РТ на снятие услуги ограничения доступа с одного из ip, добавил на интерфейс микротика второй ip и теперь nat-ом в зависимости от внутреннего ip-адреса клиента выпускаю во внешнюю сеть либо с ip адреса с фильтрацией, либо без. Она конечно тоже через тот же прокси идет, но открывается побольше. Поэтому если у вас нет необходимости использовать устройства в школе и где-то еще, то в принципе один раз настроил прокси и установил сертификат и всё работает. Ну и если нет большого количества программ, которые не умеют по умолчанию пользоваться системным прокси. Также не знаю, было ли где уже, но на странице с блокировкой внизу белым текстом написана ее причина. Нажимаете CTRL+A или просто проводите там мышкой зажатой. У нас так гугл доки некоторые у учителей не открываются из-за кодовых фраз некоторых. Edited February 21, 2022 by artembark дополнено Вставить ник Quote
ioan43 Posted February 22, 2022 Posted February 22, 2022 Какой вариант можно придумать, чтоб на клиентах хотяб прокси не настраивать? пфсенс может? Вставить ник Quote
Aleksandr68 Posted February 22, 2022 Posted February 22, 2022 Тоже прислали письмо, что можно подключить нефильтрованные ip, а вот как это сделать не объяснили. Второй день бьюсь, ничего не получается. Имеется бюджетный TP-Link TL-WR820N, У которого шлюз настроен 10.68.ххх.15, а внутрь он автоматом раздает 192.168.0.100- 192.168.0.199. Нам выдан пул ip 10.68.ххх.16-10.68.ххх.76. Как их настроить, что бы можно было заявку отправить? И NAT в роутере отключал и другие настройки менял. И разные вариации в сетевых настройках IPv4 компьютера прописывал. И с прокси игрался, и никак. От РТ техподдержка ответила лишь то, что типа нужно DHCP отключить, и это все их разъяснение. Уже и такая мысль посещала, поставить до роутера свитч неуправляемый и к нему уже подключать клиентов с нужными ip адресами. Кстати, форум этот доступен, но тема конкретно эта, блокируется у нас контентным фильтром)) Вставить ник Quote
Udavf Posted February 22, 2022 Posted February 22, 2022 (edited) On 2/22/2022 at 12:29 PM, Aleksandr68 said: Тоже прислали письмо, что можно подключить нефильтрованные ip, а вот как это сделать не объяснили. Второй день бьюсь, ничего не получается. Имеется бюджетный TP-Link TL-WR820N, У которого шлюз настроен 10.68.ххх.15, а внутрь он автоматом раздает 192.168.0.100- 192.168.0.199. Нам выдан пул ip 10.68.ххх.16-10.68.ххх.76. Как их настроить, что бы можно было заявку отправить? И NAT в роутере отключал и другие настройки менял. И разные вариации в сетевых настройках IPv4 компьютера прописывал. И с прокси игрался, и никак. От РТ техподдержка ответила лишь то, что типа нужно DHCP отключить, и это все их разъяснение. Уже и такая мысль посещала, поставить до роутера свитч неуправляемый и к нему уже подключать клиентов с нужными ip адресами. Кстати, форум этот доступен, но тема конкретно эта, блокируется у нас контентным фильтром)) В LAN порт роутера включаешь провод от их коробки. Меняешь IP роутера к примеру на 10.68.ххх.16, маску тоже там же. DHCP на роутере настраиваешь соответственно от 10.68.ххх.17-10.68.ххх.76, там же еще забиваешь шлюз 10.68.ххх.15 или какой эти выблядки там прислали. Для тех что без фильтрации резервируешь IP-адреса. Отправляешь скан на бланке школы с печатью и подписью директора: Необходимо предоставить нефильтрованный доступ к следующим IPадресам 10.20.30.40.......... Доступ учеников к данным АРМ отсутствует, так как они используются администрацией ОУ, к примеру. Edited February 22, 2022 by Udavf Вставить ник Quote
rodya Posted February 22, 2022 Posted February 22, 2022 (edited) On 2/21/2022 at 4:38 PM, artembark said: У нас RB3011UiAS и все работает. Также отправил заявку в РТ на снятие услуги ограничения доступа с одного из ip, добавил на интерфейс микротика второй ip и теперь nat-ом в зависимости от внутреннего ip-адреса клиента выпускаю во внешнюю сеть либо с ip адреса с фильтрацией, либо без. Она конечно тоже через тот же прокси идет, но открывается побольше. Поэтому если у вас нет необходимости использовать устройства в школе и где-то еще, то в принципе один раз настроил прокси и установил сертификат и всё работает. Ну и если нет большого количества программ, которые не умеют по умолчанию пользоваться системным прокси. Также не знаю, было ли где уже, но на странице с блокировкой внизу белым текстом написана ее причина. Нажимаете CTRL+A или просто проводите там мышкой зажатой. У нас так гугл доки некоторые у учителей не открываются из-за кодовых фраз некоторых. Я так понимаю, вы в итоге настраивали прокси на каждом ПК? ну это тот еще гемор... Натить на два адреса парк ПК - это решение только половины проблемы... P.s. wpad отказывается работать на win7 Edited February 22, 2022 by rodya Вставить ник Quote
GoodSoul Posted February 22, 2022 Posted February 22, 2022 У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9) Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS). Каскад из прокси тоже делал. Работает. Провайдер Айзет. Вставить ник Quote
artembark Posted February 22, 2022 Posted February 22, 2022 В 22.02.2022 в 18:57, rodya сказал: Я так понимаю, вы в итоге настраивали прокси на каждом ПК? ну это тот еще гемор... Натить на два адреса парк ПК - это решение только половины проблемы... P.s. wpad отказывается работать на win7 Практически никаких проблем, на самом деле. Почти все ПК настраивали сами учителя) Сделал пакетный bat файл с командами на настройку прокси и скачал msi установщик сертификата с espd.rt.ru, все это положил в сетевую папку и в общем чате попросил всех запустить эти два файла. Все. Вставить ник Quote
TurboBlaze Posted February 23, 2022 Posted February 23, 2022 В 22.02.2022 в 20:28, GoodSoul сказал: Каскад из прокси тоже делал. Работает. У меня HTTPS не заработал по схеме прозрачный Squid + parent прокси РТК. HTTP открывает, а HTTPS нет. Вставить ник Quote
LostSoul Posted February 23, 2022 Posted February 23, 2022 В 03.02.2022 в 18:56, kaeskat сказал: Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ. Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата. Но это если нам ехать, а не "осваивать"... все будет , потерпите немножко. регистрацию доменов , ip и tls национализируют , сайты с российских сетей и сертификатом не от минсвязи запретят открывать на ТСПУ. В 22.02.2022 в 19:28, GoodSoul сказал: У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9) Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS). Каскад из прокси тоже делал. Работает. Провайдер Айзет. логины обучающихся это сами ручками в ad заводите или какая-то интеграция с электронным дневником? Вставить ник Quote
GoodSoul Posted February 23, 2022 Posted February 23, 2022 В 23.02.2022 в 08:38, LostSoul сказал: В 03.02.2022 в 21:56, kaeskat сказал: Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ. Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата. Но это если нам ехать, а не "осваивать"... Expand все будет , потерпите немножко. регистрацию доменов , ip и tls национализируют , сайты с российских сетей и сертификатом не от минсвязи запретят открывать на ТСПУ. В 22.02.2022 в 22:28, GoodSoul сказал: У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9) Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS). Каскад из прокси тоже делал. Работает. Провайдер Айзет. Expand логины обучающихся это сами ручками в ad заводите или какая-то интеграция с электронным дневником? Полуавтомат. Скачал csv из сетевого, есть скрипт, который создаёт логины автоматически и пароли и добавляет в AD. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.