Приехал на работу утром, коллеги жалуются - инета нет, проверяю состояние сервера - места в /var свободного 0Мб из-за этого прокси не работает,
ну удалил зеркало, освободил место, запустил прокси и что вы думаете!? Вот теперь vkontakte.ru и odnoklassniki.ru блокируются фильтром NetPolice.

Блокируется на самом деле далеко не все, к примеру поиском в Яндексе можно полно всего найти, но, по-крайней мере при попытке перейти на найденную страницу НетПолис отрабатывает.

Как обычно понаделал всего подряд, терь не пойму, что заставило работать этот фильтр, так ведь ещё и логин/пароль не спрашивает, как было указано в squid.conf. Жесть вобщем, но лучше чем ничего

:) Гыгы... а не вспомните, что именно заставило его работать? А что конкретно в squid.conf меняли? Буду очень благодарен.

Ну вобщем посмотрел я повнимательнее squid.conf... во первых все изменения, которые я туда так тщательно вносил, касаемые NetPolice, те, что касаются аутентификации при попытке выхода в инет и т.п. успешно куда-то делись - бог с ними, я его забэкапил, вобщем все видимо заработало из-за строчки dns_nameservers 87.176.72.82 81.176.72.83, про которую Виктор написал: лучше так чем никак.

Сергей Паранюшкин писал(а):

Сергей Паранюшкин писал(а):

В squid.conf dns_nameservers 87.176.72.82 81.176.72.83 без  Example: и знака комментария, т.е. в отдельной строке

dns_nameservers 87.176.72.82 81.176.72.83

Viktor писал(а):

Все, что начинается с # является комментарием (описанием параметров). Менять это не надо. Просто добавить, например первой, строку

dns_nameservers 87.176.72.82 81.176.72.83

В яндексе ввел в строку поиска "порно" страниц, как вы понимаете, полно найдено,
ну после 60-й страницы сайты начали открываться... на любой вкус :-( короче надо дансгардиан заводить.

Видимо NetPolic не успевает адреса сайтов, не связанных с целями образования, фиксировать.

Viktor писал(а):

Доброе время суток. Сегодня лаборант сказала что дети как то оказались "в контакте" Сначала не понял, а затем выяснилось - всё гораздо проще, если опера втроенная в Альт Линукс 502 мастер использует прокси, то konkueror - нет! И ему всё равно, что я в Центре управления системой прописал адрес прокси сервера и порт - он посылает запрос напрямую!

Вывод: необходимо как то заблокировать все входящие соединения кроме прокси... Не подскажите как это можно быстро сделать без особых ухищрений? Спасибо.

Julia Dronova (administrator) писал(а):

На мой взгляд задача состоит в том, что бы заставить клиента пойти только через прокси... или на сервере не пропускать никого, только через прокси, но это по моему сложнее....??

Да есть сообразительные детки..... Вы предлагатете удалить конквеер и настроить мазилу и оперу?

На мой взгляд задача состоит в том, что бы заставить клиента пойти только через прокси... или на сервере не пропускать никого, только через прокси, но это по моему сложнее....??

У фильтрации сайтов по черным спискам нет будущего, уж очень быстро эти сайты обновляются и существует множество обходных путей. Попробуйте спросить у Яндекса "Как зайти в контакт мимо фильтра?" - сотни тысяч рекомендаций. Контентная фильтрация ничуть не лучше из-за смысловой неоднозначности и очень большой нагрузки на сервер. Пробовали мы и фильтрацию по белым спискам, несколько сотен сайтов и уже невозможно уследить за ссылками, которые могут завести бог знает куда. Так что сделали для себя вывод, фильтр - это для проверяющих (лишь бы он был). А для детей - по умолчанию доступ в интернет закрыт, открывается только под контролем учителя. Да и воспитание здесь играет не последнюю роль. 

Андрей Шарабаров писал(а):

> У меня это следующим образом подействовало: все кто пытается в интернет выйти без прокси получают в ответ ошибку

Вы свои адреса и интерфейсы прописывали?

> Так что сделали для себя вывод, фильтр - это для проверяющих (лишь бы он был). А для детей - по умолчанию доступ в интернет закрыт, открывается только под контролем учителя. Да и воспитание здесь играет не последнюю роль. 

Вряд ли поможет.

Viktor писал(а):

Извините, не совсем понятно куда я должен прописать строку iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.0.1:3128 ?

У меня следующие интерфейсы:

eth1 - внешний 192,168,1,1 - DSL модем
eth0 - 192,168,20,1 - внутренний DHCP DNS школа - используется прокси сервер и почта
eth2 - 192,168,0,3 - внутренний DNS - село, используется как прокси и шлюз для исходящего сигнала спутникового интернета

Да и вот ещё что, заметил, что при выходе в интернет через прокси не спрашивает логин и пароль, а фильтрация напоминает как если бы я на внешнем интерфейсе просто прописал DNS net police. А ведь фильтровать нужно вроде только учеников, учителей трогать нельзя. Я правильно понимаю, что всё что я проделывал выше не работает?

На наличие различных цифр в роли my_student вообще не реагирует, для интереса все удалил - всё равно фильтрует вконтакте и порно различное... что то я уже совсем ничего не понимаю... где то что  упустил?