Удаленное управление доступом в Интернет (родительский контроль)

Это руководство описывает процесс настройки компьютеров под управлением операционных систем семейства Windows XP, 7 или Linux (Ubuntu) для удаленного управления доступом к сайтам сети Интернет.

Руководство подробно не описывает приемы работы с сервисом Rejector, речь о котором пойдет ниже, оно лишь позволяет настроить компьютер так, чтобы в полной мере использовать его возможности.

Все используемые средства относятся к ряду бесплатного или открытого программного обеспечения.

Введение

Интернет - прекрасное средство для обучения, отдыха или общения с друзьями. Но в сети помимо полезной информации, есть и нежелательная для вашего ребенка. Кроме этого, многочасовое сидение в Интернете может отвлечь от других важных занятий, таких как домашние задания, спорт, сон или общение со сверстниками. Поэтому, необходимо контролировать деятельность ребенка в Интернете.

Существует много разных методов контроля, но не всегда они являются эффективными. Уговоры и воспитательные беседы могут действовать весьма непродолжительное время, ведь нахождение в сети может ребенка увлечь настолько, что он забудет о всех уговорах. А запреты могут негативно сказаться на развитии полезных навыков поиска и обучения в Интернете.

В таких случаях вам помогут специальные программы по ограничению и контролю доступа к сети. С помощью них вы можете оградить вашего ребенка от негативных влияний Интернета, но при этом предоставить свободу действий. Одной из таких средств Система контроля доступа к Интернету Rejector.

Rejector — это централизованный проект для контроля доступа к сети Интернет. Он позволит вам оградить детей и подростков от опасной информации. По сути Rejector — это DNS-сервер с возможностью удаленного им управления.

Как это работает?

• Вы регистрируетесь, добавляете свои IP, настраиваете параметры доступа. Вы можете использовать сервис и без регистрации, но тогда вы не сможете использовать все его возможности.

• Ваши компьютеры настраиваются так, что бы все DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.

• Каждый запрос проверяется на соответствие вашим настройкам, такие как запрещенные категории или сайты, разрешенные или запрещенные сайты, списки закладок или сайты мошенники, и в случае подтверждения блокирования, запрос перенаправляется на страницу запрета.

• Эту страницу вы можете настроить на своё усмотрение.

• Разрешенные запросы, прошедшие проверку, попадают в общий кэш запросов для быстрой выдачи всем клиентам.

Более подробное описание продукта Rejector вы можете найти на официальном сайте rejector.ru

Инструкция по настройке системы

1. Создадим пользователя с обычными правами

Обычно, при установке операционной системы создается пользователь с правами Администратора. Такой пользователь может производить все возможные действия, предоставляемые операционной системой в плоть до удаления самой системы.

Чтобы исключить обратимость всех наших дальнейших действий со стороны пользователя, которого мы берем под контроль, создадим пользователя с ограниченными правами, а Администратору — нам задействуем пароль.

В системе Windows это делается через Панель управления; в Linux создание пользователя доступно через Параметры системы.

2. Настроим сетевое соединение

Rejector — это сервис, который представляет собой, по сути, DNS сервер. Для работы с ним нужно прежде всего настроить сетевое соединение так, что бы DNS запросы посылались на DNS сервера Rejector 95.154.128.32 и 176.9.118.232.

В Windows и Linux это делается по разному.

Windows XP

Подробная инструкция находится по адресу

Windows Vista

Подробная инструкция находится по адресу

Windows 7

Подробная инструкция находится по адресу

Linux

В большинстве операционных систем семейства Linux для настройки сети используется программа Network Manager. Для того, чтобы изменить DNS — сервер, делаем следующее:

1. Нажимаем ПКМ на индикаторе соединения и, в контекстном меню, выбираем пункт Изменить соединение

2. Если вы используете DHCP сервер при подключении к Интернету то, в параметрах IPv4 изменяем Способ настройки на Автоматический (DHCP, только адрес)

3. В поле Серверы DNS вводим два адреса через запятую 95.154.128.32, 176.9.118.232

4. Делаем соединение Доступным для всех пользователей и Автоматически подключаемым

3. Регистрируемся на сайте Rejector

В принципе, с этого можно было и начать. Но теперь, когда одна из сложностей позади, это мы делаем легко и просто. Переходим по ссылке и заполняем простую форму для регистрации.

4. Добавляем управляемую сеть

Зарегистрировавшись на сервисе, мы можем создавать необходимое число сетей или, что, в принципе, одно и тоже — клиентов, которыми мы будем управлять. Сети (Клиенты) идентифицируются на сервисе по их IP-адресу. Поэтому, чтобы управлять доступом в Интернет какого-то компьютера нужно знать его IP-адрес. Пока просто создадим Сеть через Панель управления на сайте Rejector по адресу.

Заполняем форму Добавления сети. Название сети — здесь вы можете указать имя вашего ребенка, если у него свой компьютер и вы хотите его контролировать. Статус — скорее всего, у вас будет Динамический IP-адрес (редкий провайдер выделяет для своих клиентов Статический адрес бесплатно), поэтому выбираем этот переключатель. Идентификатор сети — можно записать латиницей имя, которое вы указали в первом поле.

5. Отправка IP-адреса

Для работы сервиса, ему нужно постоянно «знать» IP-адрес клиента, который может меняется от подключения к подключению (Динамический IP-адрес). Это основная проблема, которая решается в этом руководстве.

Сами разработчики сервиса предлагают программу Rejector Agent, которая отправляет IP-адрес клиента на сервер. Но, эта программа не может работать автономно. Поэтому мы воспользуемся другой предоставленной возможностью. А именно — обновление с помощью HTTP-запроса (описание по ссылке).

Чтобы производить обновление сведений Клиента посредством HTTP-запроса в фоновом режиме, нам понадобится программа Curl. Эта программа способна отправлять забросы по протоколу HTTP в Интернет через командную строку. Параметры к этой программе мы зададим в скрипте; для Windows это будет bash-файл для Linux — sh.

Программа Curl распространяется свободно и имеет версию для Windows, поэтому мы будем использовать ее в обоих средах. Для Windows последнюю версию программы можно скачать по ссылке. Чтобы установить, достаточно распаковать содержимое поолученного архива в папку C:\WINDOWS\SYSTEM32 (это упростит запуск программы). В операционной системе семейства Linux она, скорее всего, уже будет установлена.

6. Скрипт регулярного обновления IP-адреса

На сайте предлагается следующий HTTP-запрос http://username:password@updates.rejector.ru/ni...,
который обновит значение IP адреса. Мы будем подставлять его в качестве параметра для программы curl.

Запрос на обновление адреса должен отправляться с того компьютера, который мы хотим контролировать. Из-за того что текстовый терминал обрабатывает команды особым образом, текст запроса пришлось немного изменить. Текст сценария для Windows и Linux приведен ниже.

Для Windows

:loop
curl "http://login%%40mail-server.com:password@updates.rejector.ru/nic/update?hostname=net-name"
# Делаем задержку в 300 секунд
ping -n 300 127.0.0.1 > NUL
echo 111
goto loop

Где login%%40mail-server.com — ваш почтовый ящик, с помощью которого регистрировались на Rejector (знак @ заменен на %%40); password — пароль; net-name — имя сети на сервисе Rejector.Поместите текст скрипта в обычный текстовый файл, замените расширение на .bat и вы получите исполняемый сценарий.

Для Linux

#! /usr/bin/sh
while true; do curl -u login@mail-server.com:password "http://updates.rejector.ru/nic/update?hostname=... sleep 300; done;

Здесь все аналогично записи для Windows. Запишите этот текст в текстовый файл с расширением sh.

Оба скрипта содержат пароль аккаунта Rejector в открытом виде, поэтому необходимо скрыть их содержимое от просмотра для обычного пользователя. В Linux и Windows это реализовано по разному

Linux

Для того, чтобы запретить просмотр и редактирование созданного нами этого необходимо изменить владельца и группу файла на root и запретить всем, кроме владельца, доступ к файлу. Если вы владеете навыками работы в командной строке, то вам нужно перейти с помощью команды cd в каталог с файлом скрипта и выполнить команду chown root:root skcript.sh и chmod 700 script.sh. ,Чтобы сделать то же самое в графической оболочке, нужно сначала запустить файловый менеджер с правами администратора, найти файл скрипта и изменить Права, используя контекстное меню.

Windows

Не вдаваясь в то как можно изменить права доступа к файлу подобно в Linux, применил следующее решение. Преобразуем наш исполняемый файл в EXE-файл, чтобы скрыть его содержимое. Для этой цели воспользуемся бесплатной программой <font size="2">Bat To Exe Converter. Предлагаю скачать ее русифицированную версию по ссылке или на официальном сайте программы. Программа не требует пояснений в работе. На входе ставим наш bat-файл на выходе получаем exe-файл.</font>

7. Ставим на автоматический запуск

Осталось сделать последний шаг. Сделаем автоматический запуск программы вместе с запуском системы. В Linux и Windows это делается по разному.

Windows

Заходим в систему от имени Администратора и перемещаем наш исполняемый файл .exe в папку PogramFiles. В домашнем каталоге пользователя находим папку Главное меню, в ней Программы, Автозапуск куда и помещаем ярлык от нашей программы (это можно сделать путем перетаскивания самой программы с зажатой клавишей Shift). Готово.

Linux

Поместим исполняемый файл в папку /usr/bin. Отредактируем файл запуска локальных приложений системы /etc/rc.local, добавив в нем строчку перед exit 0.

/usr/bin/script.sh

где script.sh — имя нашего файла.

На этом настройка системы закончена. Можно заходить на сервис Rejector и настраивать режим работы сети.

хм. на сервере прописать днс адреса и все? IP статический

Да, если ваш IP-адрес сервера статический, то достаточно прописать в параметрах DNS адреса. Вот только не знаю, что будет если клиент, который стоит за этим сервером, вручную пропишет свои значения DNS-сервера.

Как это будет работать в домене (вин-домене)?

Поясню к вопросу? DNS-сервер на контроллере домена, естественно, должен быть первым в списке DNS-серверов у клиентов (вручную я всем проставлю или через DHCP раздам - значения не имеет). Однако ж, перенаправление DNS-запроса на внешнюю сеть (в Интернет) через шлюз и т.п. выпустит запрашивающего куда угодно.

Все DNS-резалки хороши, если сеть только защищённой должна быть. А если нет-, то все прибамбасы тзлишни, достаточно на шлюзе прописать DNS-сервер любого из "благотетелей народных, защитников детей от ужасов интернета".

Михаил Цалевич писал(а):