сменить мак-айпи

Если свичи нормальные - DHCP Option 82. Если как обычно китайские мыльницы - городить собственно фильтрацию по ip-mac на уровне шлюза.

Китайские конечно, какие же еще... А городить в чем? В squid ?

Ну тащемта, китайцы тоже делают L2/L2+/L3 нормальные свичи (DCN, ZTE, Huawei, Dlink в частности).

Делать в айпитейблсе по -m mac.

Порезать все на vlanны ? в каждом vlan своя подсеть а для каждой подсети свой набор правил на squid ?

тогда и смена маков не страшна

всякие попытки сменить mac-ip приводили бы к отсутствию доступа к интернету

Белый список.
Но если подменить mac и ip на учительские, всё равно не сработает, с тупыми свитчами ничего не сделаешь

Эх, вот это и угнетает. Я так и думал что прыгнуть выше головы не выйдет. Последний вариант это рулить в самой винде правами, но она тоже Home и не дает душе развернутся ((

Ограниченный аккаунт и пароль на биос разве недостаточно?

См. выше - если у него китайские пятипортовые мыльницы по 3 доллара, то ни вланы, ни опцию 82 не запилишь.

Ну, в принципе.. для нормальных людей достаточно, но как знать )

squid с авторизацией? Это я собственно добавляя к описанному выше.

Разные физически сети помогут.

Тоже хотел такое написать, но потом понял что это скорее всего будет дороже чем заменить на vlan-ы

Что мешает к учителям из серверной отдельный кабель кинуть?

А смысл? Все равно сеть одна и тупые свичи. Я так понял что нужно нужные маки завернуть на прокси, остальные выпустить напрямую, остальное (кроме указанных) подропать. Верно?

Маки меняются легко

Возложим на учителей контроль за учетками. Кроме всего если в iptables будет явно указано выпускать только конкретные маки, а остальное отсекать то пусть пробуют в принципе

Ловить пациентов по МАКу: https://forum.pfsense.org/index.php?topic=41036.msg232111#msg232111

https://opensourceenterprise.wordpress.com/2013/03/11/secure-your-network-usi...

Угнетать по трафику: https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-P...

Угнетать по скорости: https://doc.pfsense.org/index.php/Limiters https://guglio.xyz/pfsense-2-3-limiters-and-squid-bugfix/

Почитаю! Спасибо! Хорошая штука pfsense, думал даже его внедрять но на этом же серваке нужен QEMU

А какое железо на серваке? Если позволяет, то можно поставить мой любимый вариант - Proxmox на железку, а в нем нужные виртуалки, в том числе и pfSense в роли шлюза.

Ну так себе, третий сорт не брак. i3/16/1Tb WD Black

если i3 не первого поколения, а поновее, то норм. Я на i3 типа сэнди или иви бриджа успешно гонял на проксмоксе шлюз из pfSense, файлового хранилища на самбе и ещё что-то.

Но самба там обслуживала совсем небольшой офис. Под школу файлопомоище такое, по возможности, лучше на отдельной железке типа такой же по конфе.

И самое главное - либо софтрейд создать, либо бекап виртуалки (для pfSense достаточно его xml конфиг сохранять).

Дело обретает новый смысл. Однозначно буду пробовать! По поводу бекапа, не знаю, винт точно еще один мне не купят. Попользую fsarchiver или ddrescue на свой носитель

Для учителей можно VPN сделать, поверх «угнетаемой» сетки с ученическими компами.

всякие попытки сменить mac-ip приводили бы к отсутствию доступа к интернету

Ограничить в правах аккаунты? Через фаервол пускать в инторнет по белым листам?

Вариантов выбирай - не хочу! Спасибо всем!

Извините, что ломаю вам картину мира, но мне кажется, что школьников, которые догадаются обойти даже примитивную защиту - единицы. И то, делать это они будут, вероятно, из принципа, потому что сейчас почти у большинства подростков есть смартфон, а у кого-то и планшетный компьютер - легкий доступ к запрещенному контенту у них есть. Просто ограничьте в Windows все, что связано со сменой настроек - этого будет достаточно. Не стоит так сильно переживать, что остается потенциальная возможность взлома.Если доводить вашу логику до абсурда - не забудьте прибить компьютеры и кабеля гвоздями к полу - школьники могут их разобрать или подменить, а в серверную поставьте стальную дверь с сигнализацией - вдруг дети туда ворвутся и сбросят настройки роутера.

ErV, не слушайте. Это анонимус-школьник пишет, опасается жёстких санкций ))

https://interface31.ru/tech_it/2011/03/shkolnyj-router-podvodim-itogi-1.html

То что там у школьников смарфтоны и планшеты это их дело. Я должен отвечать за своих баранов.

Плюсану! Даже в голову не пришло, а ведь простое решение.

Блин вот обидка то а. Из последнего pfSense выпилили Dansguardian. Кому он там мешал??

офигеть. 16 ГБ озу на борту и боятся ставить виртуализацию. что за народ пошел?

вот помню какой-то русский сделал линукс-дискету для раздачи интернета через диал-ап. так мы в школе эту дискету берегли, раз в неделю заходили в интернет, майл.ру почту проверить. было это в 97году. и работала дискета на пентиумммх, память кажется 8Мб была.

Пффф, нашли что вспомнить где-то в теже времена был вариант qnx с гуйней браузером и т.д. на одной дискете.

А что за бытовые роутеры в классных комнатах? Если я правильно понимаю, докупить что-нибудь - это фантастика?

В школе вообще что либо докупить - фантастика

ErV

В школе вообще что либо докупить - фантастика

А что за школа, если не секрет? В каком городе?

И да, какие именно у вас бытовые роутеры? Может есть более простое решение вопроса, нежели поднимать сервер под столь простую задачу?

Заранее всем благодарен за конструктивные ответы!

Обучитесь и купите (можно с внедрением) Cisco ASA 5506X и выше с модулем FirePower для ограничения контента. Можно купить два таких МЭ, чтобы обеспечить отказоустойчивость+коммутатор для связи МЭ. Пользователи подтягиваются через ActiveDirectory, и в зависимости от членства в группах получают доступ к ограниченному контенту, в том числе https. BYOD также решается.

1)Как сделать так, чтобы ученические ПК ходили ТОЛЬКО через прокси

Выведи ученические ПК отдельным vlan на коммутаторах, а в сети используй только один IP для шлюза/proxy. Можно вывести ученическую сеть неуправляемыми коммутаторами в отдельный интерфейс межсетевого экрана.

3)Бухгалтерии и на Wi-Fi роутеры отрезать всякие вк

Все это решается МЭ. Wi-Fi роутеры можешь использовать как AP, а можешь развязаться по L3.

2)Администрации и учительским ПК оставить полный доступ напрямую

Куда доступ? В сеть управления или в ЖЖ?

ErV

В школе вообще что либо докупить - фантастика

А если еще топологию сети опишите, будет совсем здорово. Ибо я присоединяюсь к предложению порезать все на VLAN-ы. А в центр всего этого безобразия поставить какой-нибудь MikroTik hEX lite, который отлично все порежет и отфильтрует. На сколько я знаю, VLAN-ы даже бытовые роутеры сейчас поддерживают, те же ZyXEL Keenetic так точно. Но не зная, что у вас за железо там, догадаться сложно.

andrew667

Обучитесь и купите (можно с внедрением) Cisco ASA 5506X и выше с модулем FirePower для ограничения контента. Можно купить два таких МЭ, чтобы обеспечить отказоустойчивость+коммутатор для связи МЭ.

Да вы шутник. Так школьная администрация и выдала ему на покупку 50 000 руб. Догнала и еще выдала, да.

Да вы шутник. Так школьная администрация и выдала ему на покупку 50 000 руб. Догнала и еще выдала, да.

Какие тут шутки? Ах да, решение еще должно быть сертифицировано. Тем более для гос. учреждения. Можно сэкономить на firepower, используя фильтрацию контента от оператора связи. А вот политики нарезать лучше на МЭ или комбинированном маршрутизаторе.

andrew667

Какие тут шутки? Ах да, решение еще должно быть сертифицировано. Тем более для гос. учреждения. Можно сэкономить на firepower, используя фильтрацию контента от оператора связи. А вот политики нарезать лучше на МЭ или комбинированном маршрутизаторе.

Мне тоже нравятся сферические кони в вакууме.

Есть еще такая «штука» как планирование и гос. закупки. Хреновину за 50к купить, даже при наличии денег, быстро не получиться.
Конечно есть обходные пути (разбивка на части до 10к), они всегда были, но для этого надо обладать «определенными навыками» которых явно у ТС нет. Правда даже при наличии «навыков» если «всплывет» «прилетит» очень не иллюзорно всем участникам по цепочке.

Есть еще такая «штука» как планирование и гос. закупки. Хреновину за 50к купить, даже при наличии денег, быстро не получиться. Конечно есть обходные пути (разбивка на части до 10к), они всегда были, но для этого надо обладать «определенными навыками» которых явно у ТС нет. Правда даже при наличии «навыков» если «всплывет» «прилетит» очень не иллюзорно всем участникам по цепочке.

К чему ты пишешь про коммерческие моменты? В шапке про это ничего не сказано. Уверен, что «хреновина», даже если появится бесплатно, ляжет на полку, потому что ее надо уметь настроить. Если для вас 50K - большие деньги, то можете дальше не продолжать. Подготовка специалиста стоит куда дороже. Бесплатный сыр сам знаешь где бывает.
P.S. Есть еще платные школы, детские сады и др. Посмотри сколько в них стоит обучение.

А смысл?

Воткнуть еще одну сетевуху в сервер со squid и разбить сети. Цена вопроса PCI-E сетевухи - ниачом.

Это если по быстрому разделить учителей/учеников. По умному - это свичи нормальные нужны, но на это денег нет, как я понимаю

Зачем велосипеды?

Знаю школу, где директор купил полный комплект Ubiquiti (UniFi Security Gateway Pro, точки), кроме EdgeSwitch (управляемые туполинки вместо них), и не парился.

К чему ты пишешь про коммерческие моменты?

Я не про деньги а про планирование. Поясню:
1. вот сейчас 2017-й год, т.е. запланировать покупку можно только на 2018-й (исключения возможны, но это требует кучи согласований и без особой заинтересованности на это не идут, вобщем опять про «навыки»)
2. Просто так пойти и купить тоже нельзя, нужно организовывать конкурс.
Вот такая вот «удобная» штука.
Но при учете что это школа, думаю самое простое организовать родителей скинуться и «подарить».
ЗЫ Насчет коммерческих школ согласен. Этим гораздо проще.