[TurboBlaze]

Трафик редиректится через WPAD (настроено у меня), телефоны, планшеты не понимают WPAD (требуется ручная настройка proxy).

Провайдер в танке :)

[ixi]

В 08.02.2022 в 11:13, TurboBlaze сказал:

Трафик редиректится через WPAD (настроено у меня), телефоны, планшеты не понимают WPAD (требуется ручная настройка proxy).

Провайдер в танке :)

WPAD удобно, но небезопасно. Поэтому давно уже многими отключен

[Udavf]

On 2/8/2022 at 3:51 PM, ixi said:

WPAD удобно, но небезопасно. Поэтому давно уже многими отключен

А учитывая что эти подонки заставляют ставить корневой сертификат, WPAD меньшая из проблем.

[TurboBlaze]

Распил денег под Новый Год и захват школ под свое влияние.

WPAD это костыль, как и все остальные подходы к ЕСПД.

Можно пойти по пути своего Squid на отдельном АРМ, родительским приписывать РТК Proxy, с последующим заворотом трафика на внутренний Squid.

[Udavf]

On 2/8/2022 at 4:42 PM, TurboBlaze said:

Можно пойти по пути своего Squid на отдельном АРМ, родительским приписывать РТК Proxy, с последующим заворотом трафика на внутренний Squid.

Ну за это писали выше в теме.

Я пробовал, не завелось, но я пока не осмыслил принцип работы iptables, может ошибся, буду еще пробовать.

Ты пробовал, работает?

[ixi]

В 08.02.2022 в 16:29, Udavf сказал:

А учитывая что эти подонки заставляют ставить корневой сертификат

Вы про гугл или эппл?

[Udavf]

On 2/8/2022 at 4:46 PM, ixi said:

Вы про гугл или эппл?

Я про то что уязвимости wpad не так страшны, как то, что в каждом устройстве внедрен сертификат от уебановнациональной компании, которая не может даже прозрачную проксификацию сделать...

Изменено 8 февраля, 2022 пользователем Udavf

[st_re]

В 08.02.2022 в 16:51, Udavf сказал:

Я про то что уязвимости wpad не так страшны, как то, что в каждом устройстве внедрен сертификат от уебанов, которые не могут даже прозрачную проксификацию сделать...

им прозрачно не надо, им надо фильтровать трафик...

 

а вот зачем на личные телефоны всё это ставить и их подключать к сей сети, \то тайна великая есть (рассказывать, что в школе выдали ай фон, не надо...)

[TurboBlaze]

Udavf, не пробовал, так как лицей полностью закрыли на дистант с 8 по 17 февраля включительно. Пришлось назад PPPoE подключения из бэкапа восстанавливать, так как Skype не завелся с ЕСПД.

У Вас маршрутизатор работает на OpenWRT? Там проще с firewall и iptables. Приблизительные правила я написал в этом сообщении (хотя, по ходу, нужно использовать правило с DNAT)

 

В 08.02.2022 в 16:51, Udavf сказал:

wpad не так страшны

как по мне дичь, но нужно было быстро придумать схему. Пошел по легкому пути.

 

В 08.02.2022 в 16:53, st_re сказал:

им прозрачно не надо, им надо фильтровать трафик...

он и на PPPoE хорошо фильтруется до сих пор - провайдер тот же РТК.

 

В 08.02.2022 в 16:53, st_re сказал:

а вот зачем на личные телефоны всё это ставить и их подключать к сей сети, \то тайна великая есть (рассказывать, что в школе выдали ай фон, не надо...)

а почему бы и не подключить (задачи бывают разные)?

У нас интерактивные панели на Android + учителей музыки моноблоки на Mac OS и как воспользоваться интернетом от Ростелекома? Правильно, через одно место xD

 

  

В 06.02.2022 в 20:02, Udavf сказал:

И после этого проблемы скорее всего будут, потому что заметил что в телефоне каждая открываемая ссылка сперва идет через редиррект на check.cert.cc, потом грузится.

Это не только на телефоне, но и везде (в частности наблюдал на ПК).

Изменено 9 февраля, 2022 пользователем TurboBlaze

[kaeskat]

On 2/8/2022 at 9:33 PM, TurboBlaze said:

он и на PPPoE хорошо фильтруется до сих пор - провайдер тот же РТК.

Если я правильно понял задача в принципе стоит мониторить содержимое трафика и фильтровать в т.ч. на уровне контента.

Заодно видимо хотят не пропускать любое туннелирование, попытки обхода фильтрации и не одобренный софт, зависимый от собственных протоколов/серверов.

Ну и стучать по необходимости, куда ж без этого.

Потому как фильтрация при помощи DNS/IP на уровне доменов и без этого у них же самих работала, а для безопасного поиска достаточно было забить редиректы на СкайДНС.

[TurboBlaze]

Хотеть не вредно,  goodbidpi в помощь ;)

 

[ixi]

В 08.02.2022 в 21:02, TurboBlaze сказал:

Хотеть не вредно,  goodbidpi в помощь ;)

И что он сделает в этом случае? это не мягкая фильтрация операторами, а полноценный MITM

[TurboBlaze]

По крайней мере YouTube открывался без проблем на том же ЕСПД.

Глубже не тестировал, так как не было времени разбираться почему видео звонок в Skype не заработал.

[TurboBlaze]

Нашел наш случай и как правильно оформить правило DNAT - подробнее см. здесь https://forum.ubuntu.ru/index.php?topic=238849.0

Изменено 9 февраля, 2022 пользователем TurboBlaze

[DuKle]

Доброго времени суток! Нашу школу к огромному сожалению тоже засунули под этот ЕСПД. В качестве головной железки в локальной сети имеется роутер микротик. Неделю пробовал всякие разные варианты, добился не полной работы инета на машинах: открываются сайты поддерживающие и http, и https. Например яндекс. Остальные сайты которые только https, не открываются, но отлично пингуются. Даже задержки можно назвать не критическими. Микротик видимо категорически не дружит с https прокси. Коллеги,подскажите какой роутер можно приобрести заместо микротика,который дружит с https прокси? Который поддерживает несколько vlan (у меня их 8 в сети). 

Еще заинтересовал способ со squid на отдельной арм... завелось у кого-нибудь так?

[artembark]

В 15.02.2022 в 19:35, DuKle сказал:

Микротик видимо категорически не дружит с https прокси. Коллеги,подскажите какой роутер можно приобрести заместо микротика,который дружит с https прокси? Который поддерживает несколько vlan (у меня их 8 в сети). 

У нас RB3011UiAS и все работает. Также отправил заявку в РТ на снятие услуги ограничения доступа с одного из ip, добавил на интерфейс микротика второй ip и теперь nat-ом в зависимости от внутреннего ip-адреса клиента выпускаю во внешнюю сеть либо с ip адреса с фильтрацией, либо без. Она конечно тоже через тот же прокси идет, но открывается побольше. Поэтому если у вас нет необходимости использовать устройства в школе и где-то еще, то в принципе один раз настроил прокси и установил сертификат и всё работает. Ну и если нет большого количества программ, которые не умеют по умолчанию пользоваться системным прокси.

 

Также не знаю, было ли где уже, но на странице с блокировкой внизу белым текстом написана ее причина. Нажимаете CTRL+A или просто проводите там мышкой зажатой. У нас так гугл доки некоторые у учителей не открываются из-за кодовых фраз некоторых.

Изменено 21 февраля, 2022 пользователем artembark
дополнено

[ioan43]

Какой вариант можно придумать, чтоб на клиентах хотяб прокси не настраивать? пфсенс может?

[Aleksandr68]

Тоже прислали письмо,  что можно подключить нефильтрованные ip, а вот как это сделать не объяснили.

Второй день бьюсь, ничего не получается. 

Имеется бюджетный TP-Link TL-WR820N, У которого шлюз настроен 10.68.ххх.15, а внутрь он автоматом раздает 192.168.0.100- 192.168.0.199.

Нам выдан пул ip 10.68.ххх.16-10.68.ххх.76. Как их настроить, что бы можно было заявку отправить?

И NAT в роутере отключал и другие настройки менял. И разные вариации в сетевых настройках IPv4 компьютера прописывал.

И с прокси игрался, и никак. От РТ техподдержка ответила лишь то, что типа нужно DHCP отключить, и это все их разъяснение.

Уже и такая мысль посещала, поставить до роутера свитч неуправляемый и к нему уже подключать клиентов с нужными ip адресами.

Кстати, форум этот доступен, но тема конкретно эта, блокируется у нас контентным фильтром)) 

 

 

[Udavf]

On 2/22/2022 at 12:29 PM, Aleksandr68 said:

Тоже прислали письмо,  что можно подключить нефильтрованные ip, а вот как это сделать не объяснили.

Второй день бьюсь, ничего не получается. 

Имеется бюджетный TP-Link TL-WR820N, У которого шлюз настроен 10.68.ххх.15, а внутрь он автоматом раздает 192.168.0.100- 192.168.0.199.

Нам выдан пул ip 10.68.ххх.16-10.68.ххх.76. Как их настроить, что бы можно было заявку отправить?

И NAT в роутере отключал и другие настройки менял. И разные вариации в сетевых настройках IPv4 компьютера прописывал.

И с прокси игрался, и никак. От РТ техподдержка ответила лишь то, что типа нужно DHCP отключить, и это все их разъяснение.

Уже и такая мысль посещала, поставить до роутера свитч неуправляемый и к нему уже подключать клиентов с нужными ip адресами.

Кстати, форум этот доступен, но тема конкретно эта, блокируется у нас контентным фильтром)) 

 

 

В LAN порт роутера включаешь провод от их коробки.

Меняешь IP роутера к примеру на 10.68.ххх.16, маску тоже там же. DHCP на роутере настраиваешь соответственно от 10.68.ххх.17-10.68.ххх.76, там же еще забиваешь шлюз 10.68.ххх.15 или какой эти выблядки там прислали.

Для тех что без фильтрации резервируешь IP-адреса. Отправляешь скан на бланке школы с печатью и подписью директора: Необходимо предоставить нефильтрованный доступ к следующим IPадресам 10.20.30.40..........      Доступ учеников к данным АРМ отсутствует, так как они используются администрацией ОУ, к примеру.

Изменено 22 февраля, 2022 пользователем Udavf

[rodya]

On 2/21/2022 at 4:38 PM, artembark said:

У нас RB3011UiAS и все работает. Также отправил заявку в РТ на снятие услуги ограничения доступа с одного из ip, добавил на интерфейс микротика второй ip и теперь nat-ом в зависимости от внутреннего ip-адреса клиента выпускаю во внешнюю сеть либо с ip адреса с фильтрацией, либо без. Она конечно тоже через тот же прокси идет, но открывается побольше. Поэтому если у вас нет необходимости использовать устройства в школе и где-то еще, то в принципе один раз настроил прокси и установил сертификат и всё работает. Ну и если нет большого количества программ, которые не умеют по умолчанию пользоваться системным прокси.

 

Также не знаю, было ли где уже, но на странице с блокировкой внизу белым текстом написана ее причина. Нажимаете CTRL+A или просто проводите там мышкой зажатой. У нас так гугл доки некоторые у учителей не открываются из-за кодовых фраз некоторых.

 

Я так понимаю, вы в итоге настраивали прокси на каждом ПК? ну это тот еще гемор... Натить на два адреса парк ПК - это решение только половины проблемы...

P.s. wpad отказывается работать на win7

Изменено 22 февраля, 2022 пользователем rodya

[GoodSoul]

У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9)

Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS).

Каскад из прокси тоже делал. Работает.

Провайдер Айзет. 

 

[artembark]

В 22.02.2022 в 18:57, rodya сказал:

Я так понимаю, вы в итоге настраивали прокси на каждом ПК? ну это тот еще гемор... Натить на два адреса парк ПК - это решение только половины проблемы...

P.s. wpad отказывается работать на win7

 

Практически никаких проблем, на самом деле. Почти все ПК настраивали сами учителя) Сделал пакетный bat файл с командами на настройку прокси и скачал msi установщик сертификата с espd.rt.ru, все это положил в сетевую папку и в общем чате попросил всех запустить эти два файла. Все.

[TurboBlaze]

В 22.02.2022 в 20:28, GoodSoul сказал:

 

Каскад из прокси тоже делал. Работает.

 

У меня HTTPS не заработал по схеме прозрачный Squid + parent прокси РТК. HTTP открывает, а HTTPS нет.

[LostSoul]

В 03.02.2022 в 18:56, kaeskat сказал:

Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ.

Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата.

Но это если нам ехать, а не "осваивать"...

все будет , потерпите немножко.

регистрацию доменов , ip и tls национализируют ,  сайты с российских сетей и  сертификатом не от минсвязи запретят открывать на ТСПУ.

 

 

В 22.02.2022 в 19:28, GoodSoul сказал:

У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9)

Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS).

Каскад из прокси тоже делал. Работает.

Провайдер Айзет. 

 

логины обучающихся это сами ручками в ad заводите или какая-то интеграция с электронным дневником?

 

[GoodSoul]

В 23.02.2022 в 08:38, LostSoul сказал:

В 03.02.2022 в 21:56, kaeskat сказал:

Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ.

Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата.

Но это если нам ехать, а не "осваивать"...

Expand  

все будет , потерпите немножко.

регистрацию доменов , ip и tls национализируют ,  сайты с российских сетей и  сертификатом не от минсвязи запретят открывать на ТСПУ.

 

 

В 22.02.2022 в 22:28, GoodSoul сказал:

У нас в лицее на обычной банке поднят Active Directory (на базе Samba 4, в основе Altlinux p9)

Прокси настроил посредством политик GPO. Все прекрасно работает. Настройка заняла минут 5. У всех сотрудников и обучающихся есть логины и пароли для доступа к ПК. ЕСПД работает только для детей (для соответствующей группы в AD), педагоги выходят в сеть напрямую (прокси не работает, если они заходят под своим логином, настроена лайтовая фильтрация SkyDNS).

Каскад из прокси тоже делал. Работает.

Провайдер Айзет. 

 

Expand  

логины обучающихся это сами ручками в ad заводите или какая-то интеграция с электронным дневником?

Полуавтомат. Скачал csv из сетевого, есть скрипт, который создаёт логины автоматически и пароли и добавляет в AD.