Школьный сервер. Первый опыт

[ErV]

Приветствую уважаемое комьюнити! Не буду долго жаловаться на жизнь, перейдем к делу. Итак, есть обычная школа где предо мной стоит задача порезать контент для пионеров, заблокировать определенные сайты и т.д. Классика жанра вообщем. Выбор пал на Linux, конкретно на Ubuntu Server. Раньше я использовал Ubuntu как ОС для десктопа дома, но в силу определенных причин (grassvalley edius) вынужден был отказаться. Тогда я полюбил эту ОС. С чем я столкнулся и что не могу побороть?
1)Какой необходимый минимум? Сейчас думаю сделать dhcp+squid+dansguardian. Хватит ли мне этого? Надо ли рулить iptables или можно обойтись сквидом прописав в браузерах клиентов прокси.
2)Как сделать ограничение для пионеров и оставить полный доступ для учителя - скайп, аська и тд? Думал входящий инет воткнуть в роутер, из роутера один патчкорд в комп учителя (полный доступ), другой во входящий интерфейс сервера и порезать там все. Но чую это не православно... Посоветуйте, очень Вас прошу.
Конечно, я смотрел что-то типа zentyal но душа не лежит. Не знаю почему.

P.S. Так как линуксом владею поверхностно прошу не отсылать меня сразу в ****, я только что оттуда - в голове каша. Надо выбрать направление, дорогу уж проложу сам. Заранее всем спасибо!

[shame]

Правилами iptables можно сделать прозрачный прокси и не нужно прописывать ничего на компах. Также тем же iptables можно выдать полный доступ определенному айпи (для учителя), либо колупать acl в сквиде.

[ArcFi]

ErV, инет втыкаем в первый интерфейс шлюза.
На шлюзе iptables, squid, dnsmasq, ntpd, остальное по мере необходимости.
Второй интерфейс шлюза в коммутатор.
Всё.

PS
Прозрачный прокси фигово дружит с ftp и https.

[_rod_]

 

входящий инет воткнуть в роутер, из роутера один патчкорд в комп учителя (полный доступ), другой во входящий интерфейс сервера и порезать там все.

Ну я бы тоже так делал... на роутере еще можно крутки всякие делать. Имхо(!) это и есть самый правильный вариант.
Я бы еще подумал над разделением адресного ип-пространства (разные сети) для учителей и учеников

[ErV]

А стоит ли заморачиваться с заворачиванием https или можно просто отрезать его для пионеров в iptables, а учителям пустить напрямую? И еще, посдкажите пожалуйста нормальный мануал по iptables. На opennet пробовал читать, мозг упал  в -REJECT

[ArcFi]

И еще, посдкажите пожалуйста нормальный мануал по iptables. На opennet пробовал читать, мозг упал  в -REJECT

http://www.docum.org/docum.org/kptd/
http://ru.wikipedia.org/w/index.php?title=Iptables&oldid=38074404
http://ru.wikipedia.org/wiki/Netfilter
http://www.opennet.ru/docs/RUS/iptables/
http://easylinux.ru/node/190/
Остальные гуглом пошерстите.
И не расстраивайтесь, если не осилите с первого раза.
Обычно просветление приходит после нескольких заходов на теорию и многочисленных экспериментов на практике.

[ErV]

Спасибо огромное, будем следовать намеченному пути. Сдаваться не буду, не затем я это начинал. Я обращусь если что, пока ушел читать.

[ArcFi]

А стоит ли заморачиваться с заворачиванием https или можно просто отрезать его для пионеров в iptables, а учителям пустить напрямую?

Решайте сами, только имейте ввиду, что https встречается довольно часто.
И судя по всему, чем дальше, тем больше его будет.
Тот же launchpad.net или гуглопоиск в актуальной версии firefox по дефолту работают через https.
По ftp нередко репы расшаривают, а ещё есть ресурсы типа ftp.mozilla.org, которые ничего плохого никому не сделали.
С другой стороны, разрешать бесконтрольный доступ по https и ftp тоже не стоит, ибо там бывает всякое.

[Yuriy_Y]

Прозрачный прокси фигово дружит с ftp и https.

Не знаю в чем проблемы, у меня прекрасно через прозрачный шлюз оба протокола пашут. Не вводите людей в заблуждение. Если быть совсем точным, они не проксируются, но через шлюз ходят.

[ArcFi]

Если быть совсем точным, они не проксируются...

Если быть ещё более точным, они проксируются:
https://www.google.ru/search?q=https+transparent+proxy
https://www.google.ru/search?q=ftp+transparent+proxy
Но там имеются определённые моменты, которые доставляют неудобства.

[Yuriy_Y]

У кого-то мож и проксируются. У меня нет. Просто через NAT выпускаются наружу и все. И работает. Так что, для школьного прокси это не критично.

[ErV]

Окончательно запутался. Короче https и ftp (21 и 443) выпускать в свободный полет, а http заворачивать на squid+dansguardian? Порнуху я надеюсь по https пока не транслируют...

[ArcFi]

Окончательно запутался

В чём конкретно?

У кого-то мож и проксируются. У меня нет. Просто через NAT выпускаются наружу и все. И работает. Так что, для школьного прокси это не критично.

https://forum.ubuntu.ru/index.php?topic=202241.msg1530779#msg1530779

[censor]

может воспользоваться сервисами skydns они вроде как фильтруют dns запросы

[ErV]

Есть несколько вопросов к уважаемым знатокам:
1) надо пионеров пустить на squid+dansguardian, а учителей пустить просто через нат. Подумал завернуть айпи пионеров (жестко назначенные через mac по DHCP) на прокси, но тут вопрос - если они руками сменят айпи... как сказать серверу не обслуживать таких умников? Подойдет ли такой вариант: в сквиде прописать разрешенные айпи (те которые DHCP раздает по маку) а после них сразу написать deny all? Или учителей тоже пустить через данс и прописать их айпи в exeptionlist данса. Как лучше?
2) Как в dansguardian запретить доступ к сайтам где хотя бы раз используется указанное слово?