Tanterem DNS szűrése

Segédprogramok

Az iskolai gépteremben jelenleg Veyon van telepítve kulcsfájl-hitelesítéssel szépen teszi a dolgát. Van DNS szűrő/website blocker is hozzá, az azonban fizetős. Tudnátok ajánlani ingyenes alternatívát a géptermi weboldal blokkoláshoz?

Köszönöm!

Szerk.: A lényeg kimaradt. Szóval jeleleg egy HP-switch látja el a routing feladatokat és egy ip tartomány alatt vannak a gépek. Úgy kellene megoldani, hogy a tanári gépről tudjam managelni a szűrést és a tanári gép persze ne legyen szűrve. Ha mindezt GUI-n vezérelve lehetne megtenni, az már nagyon szép lenne.

  • 849 megtekintés

( zslaszlo v | 2021. 12. 14., k – 09:52 )

Az ilyen open dns és társai például hatékonyak, meg minden, de jó lenne, ha nem kellene minden egyes gépet állítanom, hanem ilyen központi management jelleggel tudnám állítani a szűrést. Van ilyen?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Bocsi, nem írtam, hogy win only a környezet. Ehhez kellene egy linuxos gép, vagy egy raspberry. Docker megy win alatt? Tud kapcsolódni direkt a hálózathoz?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Jó is lenne, de az ócska régi gépen nincs a biosban virtualizáció támogatás és így nem fut a docker.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

( debtamas88 | 2021. 12. 15., sze – 08:59 )

Szia!

Ha nincs valamilyen "szerver" amin lehetne virtualizálni linuxot, akkor már csak ilyen "NGFW -nek nevezett dobozos megoldás ami mindent tud - jöhetne szóba", viszont ennek az ára + éves licencei nem ez a kategória.

Az általad említett/használt Veyon megoldás egyszeri 400 EUR licencel ( Permanent license ) - képes erre, ha erre nincs keret akkor a kérdés tárgytalan.

Találtam egy raspberry-pi B-t. Szerintem az lesz a szerver. Azon mehet a pi-hole és ez lesz a megoldás. Vagy a tanári gépen kellene virtualizálni egy kis szervert és azon futtatni a dns szűrést. Csak ugye minden gépnek meg kell mondani, hogy ezt használják alapértelmezett resolvnak. Jól gondolom?

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Ha olyan alkalmazást használok, ami maga kezeli a DNS-t, az vajon kikerüli ezt a blokkolást?

ha nagyon netezni akarnék az iskolából, otthon összegyűjtöm azoknak a hostneveknek a listáját, amiket szoktam nézgetni, mellépakolom az IP címeket, oszt kézíccsókolom a DNS-alapú szűrésnek.

Emlékeztető: iskoláról van szó, a diákoknak korlátlan szabadideje van ezekre a trükkökre. Saját példából mondom :D

Tudom én is, hogy mindent ki lehet cselezni. Csupán egy egyszerű managelhető szűrést szerettem volna beállítani. Semmi több.

“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”

― Philip K. Dick

Mehet rá akár a pi-hole akár az adguard, az legyen az alapértelmezett dns server. Az egész iskolát ki tudja szolgálni. dhcp-vel is.
Ad szépen reklám és pornó szűrést is. 

Aki ezt megkerüli az megsérti az iskolai szabályzatot, end of story.

Még egy olyat lehet csinálni, hogy a kimenő routeren kifelé csak a rasbperry-t engedni cél 53-as portra, esetleg redirectelni a pi-re a belülről jövő egyéb kérést. 
Ez persze a DoH-t nem fogja meg de elég jó plusz biztonsági faktor.

zászló, zászló, szív

( fezo | 2021. 12. 15., sze – 12:44 )

:) a mai világban, mikor a gyereknek jobb telefonja van mint a tanárnak mi szükség van erre? Ha nem megy a PC-n előveszi a mobilját és megnézi azon.

Érdemesebb lenne elgondolkodni, hogyan kössük le a csemeték figyelmét, hogy ne is jusson eszükbe egyébbel foglalkozni. Nálam a 12 év suli meg az 5 év egyetem alatt erre 2 tanár volt képes.

Minden hulla a Mount Everesten valamikor egy nagyon motivált ember volt.

Hát igen, az iskolai hálózat tiltás mint olyan akkor ha van mobiltelefon és mobilnet, akkor már kevesebbet ér.
Kérdés, hogy hogyan lehet nagyobb létszámnak a figyelmét fenntartani?

Ennél mélyebbre vezető kérdés: biztos hogy egyben célszerű a nagyobb létszámot számítógépes gyakorlaton oktatni? Bontva nem lenne hatékonyabb?
Persze a bontás sem feltétlen olyan, mint a barátom sorkatonai informatika oktatásánál volt ("minden második honvéd lépjen előre").
Megjegyzem, nálunk a technikumban annó matek és fizika órán kísérleteztek egy bontással: "álljon fel az aki felsőoktatásba akar továbbmenni?"

Tiltás: ha például egy Mikrotik router adná a DNS-t, akkor
  1. port 53 átmenő tiltása
  2. nincs felettes DNS konfigolva
  3. lokál DNS-be az oktatáshoz szükséges domaineket. Azaz egyfajta "whitelist".

Persze még mindig van olyan hogy DNS over HTTPs. Ennek tiltásáról egy szál itt olvasható.
Ennél komolyabb, amikor Squid proxyban van whitelist. De ez már mélyebbre vezet.