Iskolai tűzfal szabályok

Hálózatok egyéb

Sziasztok!

Nemrég nálunk a rendszergazda a szórakozással kapcsolatos oldalakat egyesével blokkolás helyett IP tartományok blokkolásával kezdte szűrni. Kiderült, hogy a többi között ezek a címek vannak kifejezetten droppolva:
- 104.0.0.0/8
- 134.0.0.0/8
- 174.0.0.0/8

Ebbe természetesen beleesik a stackoverflow, illetve az msdn is, ami egy számítástechnikára kihegyezett intézményben aggályos.
Vélemények? Ötletek a megkerülésre VPN-en kívül?

  • 4032 megtekintés

( thxer v | 2015. 10. 01., cs – 10:27 )

Seggberúgni a rendszergazdát nem megoldás?
Ha blokkolni akar valamit csináljon saját DNS szervert, ahol az adott domainek egy belső oldalra irányítanak(pl. ez az oldal blokkolva van), a kifelé menő DNS kéréseket pedig tiltsa le.

Ez egy picit kevés, mi a helyzet akkor ha a dns szerver-t nem húzom le dhcp-vel, hanem localhostra állítom,
aminek a forwardere, valami saját szerver ami TCP/443-on figyel.

Ez nem a szakmaiságról szól, itt gyerkőcökről beszélünk iskola révén, mondták valszeg' emberünknek tiltsa ezt és ezt, ő meg gyors megoldással, beleszarok módon ki-drop-polta a visszakapott IP tartományt /8-ra biztos ami ziher :D A célját elérte, és már tudott tovább CounterStrike-ozni :D

Amelyik gyerkőc meg megkerüli, azzal is tanul, és az sosem baj!

Majd mondják megint rendszergazdánknak, hogy "kö az msdn is", akkor majd szűkíti, vagy akkor már megnézi a squid.conf-ot is :)

( kroozo v | 2015. 10. 01., cs – 10:36 )

elmagyarázni neki, hogy a /8 egy "kicsit" túllövés?

( mrceeka v | 2015. 10. 01., cs – 10:45 )

Beszélni vele és elmondani neki az észlelt problémákat?

Üdv,
Marci

( agostonl | 2015. 10. 01., cs – 11:47 )

Azért bátor a gyerek. Én ilyet csinálnék, lefejeznének.
Vagy nem bátor, hanem vak, vagy hogy? :)

Ha ennyire szigorkodni akar, akkor fordítva ül a lovon. Nem mit tiltunk, hanem mit engedünk... ja, hogy az kúrv@ sok melóval fog járni, legalább egy évig.

"Értem én, hogy villanyos autó, de mi hajtja?"

Ezzel a lendülettel használhat sima webproxy-t is, még telepíteni se kell. Ez is csak addig működik, amíg valami miatt bele nem néz a logokba, és nem tiltja /8-al az ősszes IP-t amit a glype whois rekordjaiban talál :D De egyébként iskola révén szerintem nem tudnak a gyerkőcök telepíteni jogosultság miatt.

Ok. ( értetlenkedek még picit :) ) de akkor minek telepíteni bármit is? www.webproxy.*
Ha meg tiltva van, akkor a saját VM-emre minek qlype.
root joggal húzok egy openvpn-t TCP/443-on a VM-hez
(ezt nem próbáltam még, hogy simán keresztűl mászik-e squid-en, mi más proxyt használunk erre,
de gondolom ha nincs sslbump, tcp szinten átengedi..talán..de az eredeti témát tekintve szerintem a 443 csak kapott egy ACCEPT-et)
, letolom a kliensnek default route-ot és dns-t, és már a VM-ről lépek ki a netre, minden nyitva.

Viszont tartanám magam az eredeti gondolatomhoz pár sorral feljebb, ez egy iskola,
ilyet nem fognak a lurkók csinálni, ha pedig próbálkozik, glype-al, saját VM-el, csinálja. Azzal is tanul.

Portok nemnagyon vannak tiltva, saját laptop openvpn-je lazán kimászik saját VPS-re. Többi gépre viszont nem biztos, hogy fel kéne pakolgatni openvpn-t, ezért is írtam ki a témába. Squidről annyit, hogy 1-2 évvel ezelőtt volt az, hogy a blokkolt oldalak a saját access denied-jét dobták, de ahol elérhető volt a https azzal átment. Most már droppolva vannak azokba az irányokba, de nem tudom, hogy még mindig squiddel-e.

hehe ...
ez + hogy ez ???
mekkora egy fos ez + :):):)
legalább virtualizélva fut a vindóz ???
... ja + tantermi local proxy, A-ról natol C-re //mindenszart szűrni, logolni helyben// + fehérlistát a tanoncnak oszt azt + ossza be ...
:):):)
_____________________
www.pingvinpasztor.hu

( SCOPE | 2015. 10. 02., p – 00:39 )

Én is adminkodtam pár évig egy iskolában, szóval nagyjából tudom, hogy miről van szó.

1) Egyet értek az első komenttel, ha drop-olni akar, akkor tegye otthon, a saját, vagy családtagjai gépéről érkező csomagokat dobálhatja ahova akarja, de egy iskolában ez nem megy.
2) Aki ehhez így áll hozzá, az vagy nem alkalmas adminnak, vagy fogalma sincs az internet (íratlan) alaptörvényéről: "Amit nem tilos, azt megengedjük!"
3) Egy idő után már maga alatt fogja vágni a fát, mert szépen kitilt olyan tartományokat is, ami pl a microsofté, de aggályos tartalom is elérhető rajta.
Ez esetben hogyan fog pl windows-t fissíteni?

Vagy pl ha van egy aggályos videó a youtube-on, akkor kitiltom a Google egész tartományát, Gmail-t keresőt, mindent ?
Erre ott van pl a Squid+Squidguard, url blacklisták, mind HTTP, és HTTPS portokat tessék szűrni, bumpolni, Igen httpS-t is!

Aki komoly admin, az veszi a fáradtságot arra, hogy az iskolai szűréséről szóló 2013. évi CCXLV. törvény ezen mondatát elolvassa:
"A köznevelési intézmény – ideértve a 7. § (4) bekezdése szerint alapított intézményt is – köteles a gyermekek, tanulók számára hozzáférhető, internet-hozzáféréssel rendelkező számítógépeket a gyermekek, tanulók védelmét lehetővé tevő, könnyen telepíthető és használható, magyar nyelvű szoftverrel ellátni a gyermekek és tanulók harmonikus lelki, testi és értelmi fejlődése védelmének érdekében.”

Elérhető jópár windowsos szoftver, ami mind ez a "könnyen telepíthető" kategória,
ha központit akar, akkor squid még belehúzható a "könnyen telepíthetőbe", de az iptables (és társai) nem.
Portokat lehet tiltani, csak a 80, 443, -at engedni (szűrőn keresztül), de ip tartományokat tiltani nem.
Tudom, hogy kézzel lehetetlen azt a több 10ezer címet karban tartani, erre ott vannak az interneten a nyilvános és a fizetős tiltólisták (pl urlblacklist.com), lehet automatizálni, emelett még létezik kulcsszavas szűrés is.
Igen, a httpS bumpolása sokaknak visszataszító, igen, ez is megszeg egy internetes szabályt, de miért is kötelező bárkinek is a munkahelyhén/iskolában a privát e-mail címét használnia?
Használja az iskolait, az nem lesz bumpolva!
Az iskola biztosít(son) számára e-mail címet, amióta a Sulinet használható internet kapcsolatot ad minden iskoláknak azóta csak a lustaság tart(hat) vissza a saját e-mail szervertől!

Nálunk emelett még tiltva volt a fészbuk, youtube és társai munkanap reggel 8 és 12 óra között,
és a kollégiumban este 8-tól másnap reggel 7-ig a teljes internet hozzáférés.
Természetesen voltak akiknek ez nem tetszett, de el lett nekik magyarázva:
Délelőtt tessék tanítani, nem youtub videókat tolni a projektoron,
este pedig tessék aludni, nem éjfélkor nyafogni a nevelőnek, hogy nem vagy fáradt!

Trey tuti nyakoncsapna ha leirnam, szoval inkabb annyit mondok nagyon sok felmenoje csuklott volna.

Nem veletlen nem is voltam kollegiumban soha.
Nekem ne mondja meg valami jottment, aki elvezi, hogy hatalmi pozicioban van (mert ez nem mas), hogy mikor nezhetek meg valamit a neten, mikor aludjak etc etc.

--

"You can hide a semi truck in 300 lines of code"

> Délelőtt tessék tanítani, nem youtub videókat tolni a projektoron,

Pedig a kettő nem zárja ki egymást. YT-n sem csak cicásvideók vannak, én vetítettem már _oktatáshoz_ netes videót. Igaz, hogy az az óra délután volt, szóval tulajdonképpen belefértem volna a 8-12 szabályba. :)

> Az iskola biztosít(son) számára e-mail címet
+1
bár nagyon sok vidéki iskolában vagy a tudás, vagy a pénz hiányzik egy saját domainre, s még a titkárság/igazgató is gmaillel tolja, mint hivatalos kommunikáció. Ez azért eléggé gáz.

> Nálunk emelett még tiltva volt a fészbuk, youtube és társai munkanap reggel 8 és 12 óra között,
> és a kollégiumban este 8-tól másnap reggel 7-ig a teljes internet hozzáférés.
> Természetesen voltak akiknek ez nem tetszett, de el lett nekik magyarázva:
> Délelőtt tessék tanítani, nem youtub videókat tolni a projektoron,
> este pedig tessék aludni, nem éjfélkor nyafogni a nevelőnek, hogy nem vagy fáradt!

Középiskolai kollégiumomban, az utolsó évben (2012-ben végeztem) vezették be ezt, csak azt hiszem 11, vagy éjfélkor kapcsolt le a WiFi. Meg az iskolaépületben reggel nem volt WiFi a hallgatóságnak, csak az iskolai laptopokon.

Sok értelmét már akkor sem láttam, mert az évfolyam felének már akkor is a zsebében volt a mobilinternet - azóta ez gondolom még magasabb arány. Ha órán Facebookozni akarok, akkor fogok is - s erre nem az a megoldás, hogy letiltjuk a WiFit, meg elvesszük a gyerek telefonját.

Az esti dologgal meg nem értek egyet, egyáltalán. Azért, mert szerinted (meg néhány nevelő szerint) az a normális, hogy a gyerek délután tanul, este alszik - ez számomra olyan mértékű „ráerőltetés”, amit nem tudok elfogadni.

Na, mindegy.
--
blogom

>> Az iskola biztosít(son) számára e-mail címet
> +1

Minek az? Nálunk az egyetemen volt, tippelj, hányan használták. :D A neptunon/elearningen keresztül érkező levelek oda mentek, ahova kérted őket, az iskolai címre csak és kizárólag a minden reggel kiküldött hírlevél spam érkezett.

Imho az ember egynél több mailboxot nem tud hatékonyan használni (de legalábbis semmiképpen sem hatékonyabb n>1, mint n=1), ne is erőltessük. :)

Az igazsághoz azért az is hozzátartozik, hogy a kollégium házirendje előírja a 10 órakori villanyoltást,
ami az alvószobákban a konnektorok központi áramtalanítását is jelenti.
(A kötözködők kedvéért: egy másodlagos világítás elérhető marad, nehogy éjjel a wc felé menet hasra essenek)
Az internet szolgáltatás viszont nem wifin, hanem fix asztali gépeken van, amik a társalgóban vannak, ott nem kapcsol le az áram.
Az, hogy a telefonján mobilinternet van és azon lóg az éjjel, az nem a rendszergazda sara, ha emiatt másnap fáradt lesz és nem tud teljesíteni az a saját fegyelmezetlenségén múlik.
(meg egy kicsit a szülőn is, hogy vásárol-e neki vagy sem mobilinternetet, ami internet az iskolai tanulmányokhoz kell, az biztosítva van, de ami ezen felüli, az korlátozások között működik)
És az is egy másik téma, hogy a tanár az óra elején kiteteti-e tanári asztalra a mobilokat, vagy sem, vagy csak dolgozatnál, ez sem az informatika feleőssége.

Az e-mail használata pedig tényleg valós kérés, az, hogy a vezetőség és a tanárok az iskolai rendszert használják és nem egy ingyenes szolgáltatóét, az elkerülhetetlen, mert csak így lehet garantálni, hogy a levél biztosan megérkezzék. Tarthatatlan volt hogy pl.: a freemail hibáiból folyton elmaradtak a levelek, vagy csak napokkal később érkeztek meg
Meg ez nem egyetem, vices is lenne, ha akár az elte, akár a bme squidet nyomatna a hálózatán,
egy középiskolában nem neptun van, ott a gyerek az órán személyesen kap értesítést a dolgokról, nem e-mailben.

A youtúb pl.: nyelvórán valóban hasznos, hiszen nagyon jó anyagokat lehet rajta találni, és ennek levetítése lehetséges, csak másképp, 2-3 órával előtte szól, a technikus lementi pendrájvra, majd azzal megy be. (ez a pendrájv inkább a hiányos wifi miatt kellett)

( zeller | 2015. 10. 03., szo – 01:30 )

L3-ban L7-et szűrni fölöttébb hibás megközelítés. Szerintem...