Решил тут накидать мой опыт в борьбе с инетом, не соответствующим по контенту для школ.

В чём проблема собственно?

Проблема в том, что инет может очень круто извратить и угробить неокрепшее сознание детей. Это всё понятно. Дети "портятся" при посещении страниц, на которых отображено всё "плохое" (порнуха, терроризм, садомазахизм, маты-перематы и т.д.), но развиваются, когда там есть инфа оригинального характера, хоть и НЕ образовательного содержания (к примеру социальные сети, в которых люди объединяются и в принципе учатся общаться, хотя и не только). Для нас, информатиков, понятно, что можно просто ограничить интернет в своём содержании разными методами и будет всё хорошо. Но нам начинают пихать всякие фильтры, регламенты, журналирование. От этого всего многообразия голова кругом идёт. Вот я и решил попробовать по своему организовать всю эту затею так, чтобы спокойно спал я, директор, школы и вышестоящие органы нам не смогли докучать.

С одной стороны я старался сделать так, чтобы ученикам была польза, а с другой стороны старался законодательно грамотно обойти прокуратуру.

Организация защиты.

Первое, что я сделал, это слил Регламент по фильтрации Инета с сайта http://eduinfo32.ru/ и принялся его анализировать. После совещания со своим директором мы изменили приложения, которые рекомендовались при Регламенте.

В итоге сделали в школе следующее.

Я организовал уже давно сеть интернет следующим образом: Провайдер (Домолинк, безлимитка за 3000 р в месяц, бюджетка) -> Модем -> Сервер (комп учителя, мой т.е.) с ПРОКСИ (3proxy) -> Концентратор ->> Все компы по школе (через ещё концентраторы и Wi-Fi инет).

Когда-то инет у меня просто протоколировался в лог-файлах и я был счастлив. Но, в связи с необходимостью фильтрации пришлось немного попариться.

Во-первых, ранее финансируемый инет был когда-то автофильтрован, т.е. на самом провайдере. Постепенно провайдер заметил, что фильтрация работает хреново и был месяц (вроде, даже всего недели две), когда на провайдере фильтровали очень жёстко, т.е. запрос перейти по гиперссылке обрабатывался секунд 5-10. Далее решили, что лучше для школ написать программулину, которая будет фильтровать локально по школам приходящий трафик, тем самым разгрузив провайдера-образования. Но, как всегда у нас в России сделали программу через одно неправильное место и в большинстве случаев эта программа работала как зря. До сих пор в эту программу не особо верят, особенно в её силы отфильтровать всё плохое в инете. Это и понятно, ведь Интернет изменяется каждую секунду, а всё изловить полюбас не удастся никогда. Причина как в запутанности законодательной части Интернет-жизни, так и в принципах отлова «плохой инфы».

Тут я понял, что фильтровать по принципу «черного списка» (т.е. запрещёем всё плохое КОТОРОЕ УСПЕЛИ ИДЕНТИФИЦИРОВАТЬ КАК ПЛОХОЕ) бессмысленно. И боязнь состояла не в столько осознании порчи детских разумов, сколько в способности прокуратуры нас покарать. Прокуратура не занимается вероятным сравнением соотношения плохого и хорошего (например, в основном инет у вас доброжелательный, а плохие ссылки вы заносите в базу фильтра и блокируете и тем самым вы считаетесь более менее хорошим преподом), а поиском ФАКТА проскока через фильтр. Если у вас чёрный список, то бесполезно ловить весь плохой инет, ибо я могу создать завтра сайт суицидников, а потом прийти в школу и на него зайти – ваш фильтр ничего не отловит, а прокуратура заработает на вас премию.

Исходя из всего выше сказанного я решил сделать защиту по принципу «белого списка», а также создания дополнительного локального WEB-портала, который наполнится в течении года очень легко.

Белый список – это перечень разрешённых ресурсов, т.е. на другие сайты вы вообще никогда не зайдёте! Это уже 100% безопасность от попыток прокуратуры, учеников и учителей куда-либо зайти не в те места. И в этом белом списке лучше создать пару тройку адресов (эт я преуменьшил конечно) в которых вы точно уверены, например http://eduinfo32.ru и подобные, чтобы вам потом не волноваться.

Естественно, ограничив таким образом интернет вы жёстко пресекаете нелегальные проходы в запрещённый инет, а также урезаете серьёзно образовательные возможности Инета, к примеру нельзя заносить сюда поисковики, ибо можно просто в поиске найти «плохие картинки, ссылки и т.д.».

Задача школы в плане инета – обеспечить пед-состав школы инетом и согласно ПЛАНАМ обучения не ограничить учеников на уроках. Касательно учеников я плавно сейчас создаю Web-портал, т.е. локальный сервер инета. В настоящее время есть куча БЕСПЛАТНЫХ технологий для создания локальных сайтов. Я остановился на Jomla (http://joomla.ru или http://joomlaportal.ru). Это сборище пакетов из которых вы можете по кирпичикам сложить свой сайт со всевозможными интернет-технологиями присутствующими в сети Интернет. Рекомендую также использовать Денвер (автоустановщик сервера, баз данных и прочей ерунды - http://www.denwer.ru). В итоге у вас будет сайт похож на систему ucoz.ru (http://www.ucoz.ru/), в которой уже думаю многие верстали свои сайты.

Далее, каждому преподавателю, у которого есть выход в интернет, присвоил статичный IP-адрес, что дало возможность следить с какого компа заходили в инет и куда. Это важно, ибо у преподавателей доступ в инет полностью открыт. На данный момент слежение за компами преподов идет в лог-файлах прокси-сервера.

Т.е. в итоге мы отфильтровали «плохое» и не нарушили образовательные возможности в плане Инета.

Организация журналирования.

Тема для меня больная, ибо в нормальных конторах ведётся электронное журналирование, которое периодически резюмируется. А в школах всех под страхом казни заставляют вести журналы БУМАЖНЫЕ, что при пользовании инетом, мягко говоря геморройно.

Перечитав Регламент я не увидел формат носителя журнала, а потому решил делать так.

Прокси итак ведёт журнал в электронном виде, осталось его как-то увязать с долбанными бумажками. Анализируя лог-файл я написал прогу (а также просто набор формул в екселе), с помощью которой мне удалось распечатывать лог-файл в нормальном (документообразном) виде. Потом приняли решение на Совете школы, что журнал будет вестись электронный, а распечатку на бумажном носителе будем делать раз в месяц (под конец) и тупо хранить для прокуратурообразных органов. Каждый месяц бумажный журнал подписывается и опечатывается директором и мною (как ответственным за инет в школе). Т.е. если надо, то журнал мы можем подправить перед распечаткой как угодно сами в нашу пользу естественно, чтоб прокуратура потом нас не долбала.

Т.е. в итоге при возникновении опасности входа кого-то по электронному журналу мы всегда сможем определить ответственного, а бумажки пригодятся для проверки.

Что же касаемо детей, то они ходят не в инет, а ТОЛЬКО в созданный мною WEB-портал, где всё есть для соответствия учебному плану и лишь «ПО ПРАЗДНИКАМ» окунаются в настоящий инет. Т.е. нет гемора с ведением дополнительного журнала по Интернет для учеников, где они бы росписями бы исписали тысячи томов.

Планы на будущее…

Ещё планирую создать систему учёта доступа к компам, чтоб избавиться от ведения бумажных журналов «Пользования компьютерами», в которых указывается постоянно, кто садился, когда слез, да и нафига ваще садился. Организовать думаю следующим образом: в настоящее время есть флеш-накопители, довольно дешовые, которые будут играть роль ключа доступа к компу. Т.е. детям надо будет привыкать носить с собой кроме книг, тетрадок, мобильника и прочего хлама – ещё и самую задрыпаную флешку. В принципе электронный мир меняется и только на пользу будет детям таскать с собой «электронный носитель», можно сказать электронную тетрадь.

Ну вот и всё пока что…, если где накосячил, то пожалуйста исправьте, ибо волокиты много… голова уже болит))

Виталий Викторович Ильиных писал(а):

Всё проще - ставим Школьный Сервер 5.0, туда СКФ для squid и авторизацию на клиентах через LDAP (Лайт, Юниор, Мастер 5.0). Туда же при желании Jomla, Drupal и прочее.

Виталий Викторович Ильиных писал(а):

 Прошу прощения... Вы вообще читали что-то о новых технологиях идентификации? Да и регламентные документы по доступу в И-нет? Или Вам их не "спускали"?

Ну да ладно.... Рассказываю: Белым списком вы заблокируете творческую работу педагогического коллектива и детей в их поисках тематической информации. Когда РТК пытался блокировать доступ, то иногда даже Гугл банили.

И контент еще никто на этом (школьном) уровне еще не сподобился фильтровать. Максимум - ч/б списки используют. По-моему, даже уже бессмысленно обсуждать. А проверяющих НАДО тыкать носом в Конституцию РФ.

Белым списком вы заблокируете творческую работу педагогического коллектива и детей в их поисках тематической информации.

Для уроков за глаза хватит портала!

А преподы не заблочены у меня вовсе, т.е. они на свой страх и риск юзают сеть). Единственно, что они сделали - это ознакомились с правилами доступа и подписались, что прочитали соглашение).

Просто, как бы я не хотел преукрасить информационное пространство, всегда найдётся злой дядька, который нахочет нагадить ради каких-то своих целей. Вот и потому белый список безопаснее в плане прихода проверки.

А что не так с идентификацией?

yaleks писал(а):

да мне не сложно софт ковырять, меня бумаги достают)))

одна из целей которую я преследую максимально перейти на электронное журналирование, которого по старинке начальники просто не понимаю вовсе

Да молодец вы Виталий Викторович! У нас в патриархальном городишке слава богу таких проблем нет - инет фильтруется на уровне провайдера, через DNS. Не из прокуратуры - из милиции приходили как то раз - проверили, что на порно не пускает и ладно. С журналами не напрягают - тьфу три раза. Но ситуация в любой момент может измениться, так что если что - не откажите в помощи.

А по поводу свободного доступа к информации и нарушения конституционных прав - вот дома пусть и сидят где угодно, а в школе будьте добры подчиняться требованиям школы.

Алексей Кулагин писал(а):

Если требования антиконституционные, то это везде - и дома и в школе.

Отключить картинки на Яндексе всё равно не сможете. А у меня медиатека для творческой работы. На уроках никто по инету не лазит.

Виталий Викторович Ильиных писал(а):

 Интересно как Вы покажите ученикам, что http://www.ru/ "открывается", а http://www.uk/ нет и наглядно объясните почему? А бороться с интернетом просто - отключите и всё.

Viktor писал(а):

Я просто говорю, что есть законодательство, есть требования вышестоящих органов и что потому нельзя, а можно дома)). Или я как-то недопонял?

Виталий Викторович Ильиных писал(а):

 Тема обсуждалась http://www.spohelp.ru/forums/15-setevoe-vzaimod.... Читали? Фильтрация по белому списку в образовании слишком затратное мероприятие. Вам с таким же успехом могут предъявить "а почему не открывается сайт ???" и указать на нецелевое расходование бюджетных средств. Поэтому указываем в качестве dns не dns провайдера или что у Вас там, а dns контент-фильтра+ставим СКФ на Windows-тачки. Остальное не наши проблемы.

Вам с таким же успехом могут предъявить "а почему не открывается сайт ???" и указать на нецелевое расходование бюджетных средств.

Инет ограничен детям, НО ОТКРЫТ преподам, т.е. мы инет используем по полной. А при хождении учителей по плохим сайтам не особо вроде страшно, по крайней мере на сайте еду32ру я такого в регламенте не нашёл (для нашей брянской области)

Самая лучшая фильтрация - это учитель с дубиной )) А теперь к делу. На сайте программы Net Police обнаружил версию для Linux (правда не совсем понял - платная она или нет; для Винды есть бесплатная - Lite). Никто не пользовался??

Julia Dronova (administrator) писал(а):

Полагаю, что для ALT 5.0 всё аналогично, только не надо подключать их репозитарий.

Владимир Анненков писал(а):

я пробовал ставить  это творение

несколько категорий для блокировки URLи доменов. не тестировал на предмет замены url адреса его ip адресом.

порадовало, что есть возможность блокировки вручную, в том числе и по плохим русским словам (K9-web protection фильтрует только латиницу) , но , опять же , не тестировал.

мое мнение- для школу самое то, даже если и lite. ставишь на виндовые машины и забываешь про них.

граждане коллеги :)

давайте определимся:

1.от изделий микрософта хочешь или нет, но надо отказываться - факт

2.надо развивать линукс - факт, процесс идет, "лед тронулся" - вот и netpolice выложил версию под линукс ;)

3.есть тенденция навязать нам определенные конторки типа netpolice, которые нарекаются "федеральным контент фильтром". что может быть хуже, чем навязывание монополиста , который свалить может в любую минуту или навязать условия... тем более,что есть альтернативы в виде "режика" и т.п.которые на мой взгяд менее ущербны ;)

4. большинство фильтров завязаны на фильтрации через сквид. и поправте если я не правильно понял, этот прокси не должен быть анонимным... и не будет поддерживать https, почту и много других сервисов... короче уйма недостатков

фильтрация через скид, это скорее выкрутас по безвыходности, но это не нормально

5. использование dns от нетполиса не панацея... их днс не понимает локальных адресов и фильтрует только по одной категории "порнушка" и вы не можете ее редактировать.

6. поддержка идет только по альт линуксу, который по статистике не самый любимый дистр ))  хотелось бы не ущемлять ветку дебиана и других линуксов.

7.как вам подумать над фаерволами типа shorewall? там если не ошибаюсь при работающем ipset можно делать "черные списки" больших размеров и создавать несколько наборов ip - а значит можно было бы делать категоризацию - несколько blacklist'ов... правда эта прога не имеет gui да и мало кто знает, что это за зверь :)

честно говоря, даже в iptables толком разобраться сложно, а тут наверное еще сложнее :)

может быть кто еще предложит способы фильтрации??

Я вижу смысл в итоге не в фильтрации ресурсов, а в организации своего Веб-портала, как опытной зоны для учеников и организации Веб-порталов меж школами. Тогда мы (школы) сами сможем организовать своё защщённое Веб-пространство без ожиданий очередных хаотических идей свыше (правительство) ...

Сергей Степанов писал(а):

Фильтрация контента с политиками доступа и есть по сути проксирование. Будет это squid или какой-то другой сервер не важно. Squid не обязан быть анонимным - зависит от настроек. Про " https, почту и много других сервисов..." вообще не понял.

Вряд ли возможна ориентация на дистр разработчики которого где-то там далеко и спросить с них не получится.

Не настолько сложно как кажется. Проблема скорее в другом: мало кто понимает как работает tcp/ip. Остальное синтаксис цепочек. Хотя да, у iptables он не самый простой.

iptables - это пакетный фильтр встроенный в ядро. Менять его на что-то другое значит патчить и пересобирать ядро. Многие т.н. системы фильтрации для линукс это лишь оболочки для построения правил iptables.

> 6. поддержка идет только по альт линуксу, который по статистике не самый любимый дистр ))  хотелось бы не ущемлять ветку дебиана и других линуксов.

По читателям этого сайта:

OS                   : Уник. {UA,IP}, %
----------------------------------------
Windows              : 71.7 +- 2.2
----------------------------------------
Generic Linux        :  5.0 +- 0.6
ALT (не ПСПО)        :  4.1 +- 0.5
Ubuntu               :  3.9 +- 0.5
Phone                :  3.4 +- 0.5
ALT (ПСПО)           :  3.2 +- 0.5
?                    :  2.8 +- 0.4
RedHat/Fedora        :  2.2 +- 0.4
SuSE                 :  0.8 +- 0.2
Debian               :  0.8 +- 0.2
Mandriva             :  0.6 +- 0.2
Mac OS               :  0.4 +- 0.2
Gentoo               :  0.4 +- 0.2
*BSD                 :  0.2 +- 0.1
SunOS                : <0.1(CL=90%)
-----------------------------------
                     :  ~100

Желающие могут воспроизвести самостоятельно.

UPD: желающие могут поделиться воспроизводимой методикой измерения любви к парт^Wдистрибутивам GNU/Linux.

testuser , не путайте любовь и статистику ;)

(в порядке ОФФа)

Сервер от альтлинукса, еще не смотрел по одной только причине что альт еще нормальный дистрибутив не выпустила ИМХО и врядли это когда либо произойдет. Более удобным считаю наулинукс 5.4 (100% совместим с redhat)где при желание можно сделать и белый (черный) лист. организавать доступ в интернет по логину и паролю (для школы, это то что доктор прописал), имеется так же локальный сайт, админишь сервер через OfficeMaster. В целом очень интересный сервер...

все не перечислишь аот ссылка кому интересно naulinux.ru