Фильтрация трафика для школ

Void Dweller · July 8, 2009

Народ, у меня вопрос. Мы тут озадачились вопросом предоставления инета школам, их, естессно, интересует вопрос фильтрации от порнухи.

Нарыли в инете вот такое распоряжение:

Руководителям высших органов
исполнительной власти субъектов

Российской Федерации,

осуществляющим управление

в сфере образования

24.12.2008 № 15-51-1167 ин/01-09

Во исполнение распоряжения Правительства Российской Федерации от 18.10.2007 № 1447-р, а также в рамках методического обеспечения проведения региональных конкурсов по предоставлению услуг связи для обеспечения безопасного доступа образовательных учреждений (далее — ОУ) к сети Интернет направляем технические требования к Интернет-провайдерам для подключения ОУ к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования учащихся.

Приложение на 2 л.

Технические требования к провайдерам для подключения

образовательных учреждений к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования (СИД)

Для подключения образовательных учреждений (далее — ОУ) к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования (СИД) и обеспечения ДНС - фильтрации, провайдеру предоставлена возможность подключения по одной из двух схем, приведенных ниже.

Схема 1. Провайдер обеспечивает непосредственное подключение ОУ к централизованной СИД.

В данной схеме подключения провайдер обеспечивает подключение ОУ непосредственно к центральной СИД, не используя какие-либо элементы СИД на своей стороне. Для нормальной работы СИД должны быть обеспечены следующие параметры подключения:

задержка распространения пакетов до серверов СИД (IP адреса 82.179.62.64 - 82.179.62.65) не более 500 мс;

доступность хотя бы двух из официальных корневых серверов:

A.ROOT-SERVERS.NET

B.ROOT-SERVERS.NET

C.ROOT-SERVERS.NET

D.ROOT-SERVERS.NET

E.ROOT-SERVERS.NET

F.ROOT-SERVERS.NET

G.ROOT-SERVERS.NET

H.ROOT-SERVERS.NET

I.ROOT-SERVERS.NET

J.ROOT-SERVERS.NET

K.ROOT-SERVERS.NET

L.ROOT-SERVERS.NET

M.ROOT-SERVERS.NET

не более 200 мс.

Схема 2. Провайдер обеспечивает подключение ОУ к централизованной СИД через вспомогательные сервера фильтрации.

Если провайдер не может выполнить условия схемы 1, то применяется данная схема подключения, которая предусматривает установку дополнительных вспомогательных серверов контентной фильтрации. В зависимости от числа подключаемых ОУ и параметров канала количество вспомогательных серверов может изменяться от 2 до 6. В случае задержки распространения пакетов до серверов СИД (IP адреса 82.179.62.64 - 82.179.62.65) не более 1000 мс, применяется два сервера, которые должны быть настроены в режиме DNS (cashe + forward) независимо от количества подключаемых ОУ. В случае больших задержек до серверов СИД, провайдер должен использовать 4 (если количество ОУ менее 2000) или 6 (если количество ОУ более 2000) вспомогательных серверов контентной фильтрации, обеспечивающих исключение доступа к ресурсам, несовместимым с целями и задачами воспитания и образования, с непосредственным взаимодействием с базой данных централизованной СИД.

Приложил заодно сканы, но там то же самое, что тут написано.

Так вот вопрос - совершенно непонятен порядок подключения (нас интересует "Схема 2" видимо). По телефону, что там указано, что-то невнятно мычат про товарища, который этим занимается, и до которого уже 4 месяца не получается дозвониться (каждый день звоним ;) ).

Кто-нибудь знает, что ето такое и с чем ето едят?

azhur · July 8, 2009

http://bash.org.ru/quote/213728

не оно?

Aliech · July 8, 2009

Чёт не пойму. А Вы не можете дать клиенту задержку > 500мс?

woddy · July 8, 2009

как я понял в схеме 2) просто хотят чтоб твои ДНС сервера делали запросы через их ДНС сервера + кеширование. их ДНСы собственно фильтрацией и занимаются.

почему-то на пиратскую бухту не пускают, а на торрентс.ру - вполне. поддержка отечественного производителя? :))))

LionSprings · July 8, 2009

Мы просто поставили на обслуживание школ отдельный шлюз, который не пропускает запросы к прочим ДНС, а сам ресолвит только через СИД. Все проверки контролеров прошли успешно, школы работают.

chainick · July 8, 2009

Как я понимаю, от различных проксей с туннелями эта шняга не спасает?

woddy · July 8, 2009

от прокси висящего на 80 порту точно не спасет)))

но это решается локальными политиками безопасности

LionSprings · July 8, 2009

от прокси висящего на 80 порту точно не спасет)))

c учетом процента проникновения домашнего интернета - кому бы оно надо было, в школе заморачиваться с прокси через прокси.

Кстати, а интересно, как сквид отрабатывает запросы к внешним прокси на 80 порту?

chainick · July 8, 2009

> но это решается локальными политиками безопасности

Интересно, кто еще эти политики писать будет. Мне не верится, что учитель информатики будет домен поднимать и поддерживать. И судя по истории, когда ответственного человека (вообще странно, что он один!!) не могут найти месяцами, значит, что бабло успешно попилили, на проект посадили студента, а в результате любой грамотный школьник смотрит прон. Что не очень хорошо отражается на генофонде - если все грамотные будут смотреть порно, то активнее размножаться начнут безграмотные.

Грустно все это.

woddy · July 8, 2009

Мне не верится, что учитель информатики будет домен поднимать и поддерживать. И судя по истории, когда ответственного человека (вообще странно, что он один!!) не могут найти месяцами, значит, что бабло успешно попилили, на проект посадили студента,

цель проекта - дать инет в школы? или поддерживать школьный парк компов в порядке?

давайте отделять мух от котлет. почему-то в школах где я учился в свое время - был админ настаивающий политики. и в результате свободу можно было получить только сбросив биос и загрузившись с дискетки. что сделать достаточно сложно под присмотром учителя. и никакой гос.программы тогда еще не было...

chainick · July 8, 2009

Я-то откуда знаю цели проекта? Сейчас видно только одно - один из путей - это фильтрация контента. Которую успешно слили? попилили?

А если оффтопить, когда я учился в школе, у нас была сеть на мотороллах кажется. Уже не помню, в общем такие компы, похожие на спекртрум, мы на них еще на бейсике посадку на луну фигачили.

bitbucket · July 8, 2009

Кстати, а интересно, как сквид отрабатывает запросы к внешним прокси на 80 порту?

А там вот такая прокси:

http://surffromschool.org/index.php?q=http...y.org&hl=e0

Ivan_83 · July 8, 2009

Возможно можно найти или дома поднять OpenVPN сервак и цеплятся к нему по любому доступному порту, а дальше через него всё что угодно в обход любых политик гнать.

SmokerMan · July 8, 2009

почему-то в школах где я учился в свое время - был админ настаивающий политики. и в результате свободу можно было получить только сбросив биос и загрузившись с дискетки. что сделать достаточно сложно под присмотром учителя. и никакой гос.программы тогда еще не было...[/color]

А блин! ЗдОрово! :-))) Админ в школах!!! Хоррошо!

Aliech · July 9, 2009

Возможно можно найти или дома поднять OpenVPN сервак и цеплятся к нему по любому доступному порту, а дальше через него всё что угодно в обход любых политик гнать.

Ага, а если чистого инета нет? Ну типа мастдай осилить может каждый, и ису посилить поставить не трудно будет и школоте, в т.ч. учителю школоты.

Nickuz · July 9, 2009

и ису посилить поставить не трудно будет и школоте, в т.ч. учителю школоты.

и бабла за лицензию к ИСЕ отстегнуть из своего кармана... или иметь с прокурором разговоры.

Aliech · July 9, 2009

Хм... iptables + squid = no problem (=

А вобще это будет замечательно, если учителя осилят что-то кроме выни.

Edited July 9, 2009 by Aliech

Void Dweller · July 9, 2009

Хм... iptables + squid = no problem (=

Базу сквида с порнушными сайтами сами пополнять будете?

bitbucket · July 9, 2009

Хм... iptables + squid = no problem (=

А не поможет. Надо или закрыть все, открыть нужное - либо никак, так как можно вот по простому запросу посмотреть прон:

http://images.google.ru/images?hl=ru&q...mp;aq=f&oq=

уже про это писали не раз, когда только синтера пилили школьный инет.

Ivan_83 · July 9, 2009

Свинья всегда грязи найдёт.

Не в школе дак дома или у друзей, достаточно вспомнить ещё нашу молодость и VHS видаки...

А скоро большинство будет ходить со своими нетбуками, благо они подешевели до уровня тетриса.

И WiFiMax также опустится через пару лет по доступности ценам, и будет только учитель с фильтрами мучатся :)

Да собственно уже сейчас никто не запрещает на мокрых кисов смотреть на любом уроке через мобильную оперу даже на довольно дешовых фуфлонах.

Подход ошибочен. Нужно не запрещать а правильно давать информацию.

Void Dweller · July 9, 2009

Подход ошибочен. Нужно не запрещать а правильно давать информацию.

Единственно правильным подходом является выполнение распоряжения правительства Российской Федерации о подключении образовательных учреждений к централизованной системе исключения доступа к Интернет-ресурсам, несоответствующим задачам воспитания и образования. ;)

DarkLord · July 10, 2009

Подход ошибочен. Нужно не запрещать а правильно давать информацию.

Как в ролике:

эпизод с уроком на тему "строение тела". )))

Sign In

Фильтрация трафика для школ

Recommended Posts

Void Dweller

azhur

Aliech

woddy

LionSprings

chainick

woddy

LionSprings

chainick

woddy

chainick

bitbucket

Ivan_83

SmokerMan

Aliech

Nickuz

Aliech

Void Dweller

bitbucket

Ivan_83

Void Dweller

DarkLord

Join the conversation