Ростелеком фильтрация для школ как настроить

Проект «Образование» от Ростелекома. Как настроить интернет в школе?

Posted By: admin 13.08.2016

Образовательные и бюджетные организации, зачастую, не имеют штатного связиста, ограничиваясь максимум аутсорсингом системного администратора из местной фирмы. Именно поэтому на таких предприятиях нет никаких схем сетевой и серверной инфраструктуры, инструкций от оборудования и прочих весьма нужных материалов. Все школы в Республике Коми подключены по специальному проекту «Образование». А это значит, что стандартные настройки для модем здесь не помогут.

Что представляет собой такое подключение?

Школы подключены посредством VPN-канала через специальный контент-фильтр (что-то вроде Яндекс.DNS, который фильтрует сомнительные и «взрослые» сайты в сети). Таким образом, протокол PPPoE не используется, авторизация клиентов происходит посредством IP-адресации и DNS. Базовая настройка подразумевает собой прописывание шлюза и на сетевой карте (LAN модема) и, непосредственно, на самом модеме. Т.е. есть и WAN-адресация и LAN-адресация. Если сеть школы серьезней обычного модема, то для работы серверного оборудования школы аналогичные настройки должны быть прописаны на маршрутизаторах Cisco или любых других, используемых в организации. Полный список сетевого оборудования можно посмотреть на этом сайте

[su_quote] ПРИМЕР АДРЕСАЦИИ:

LAN IP 10.11.47.64
LAN МАСКА 255.255.255.224
LAN ШЛЮЗ 10.11.47.65
WAN IP 172.17.101.233
WAN МАСКА 255.255.255.252
WAN ШЛЮЗ 172.17.101.234[/su_quote]

LAN-адресация прописывается в свойствах подключения (на сетевом адаптере) компьютерной техники в Школе.

WAN-адресация прописывается в настройках модема. Обратите внимание, что нужный режим может называться в разных модемах совершенно по разному, хотя суть у них одна.

1. В русских прошивках надо выбирать режим iPoe
2. В зарубежных, как правило, режим называется MER (MAC Encapsulation Routing)

Также в настройках модема рекомендуется отключать DHCP-сервер.

Пример полной настройки на примере модема Dlink 2500.

IP-адрес модема 192.168.1.1

Логин и пароль для входа на модем: admin/admin

Галочку DSL Auto-connect убираем …

Указываем необходимые настройки VPI/VCI …

Выбираем настройку MAC …

Указываем необходимый WAN IP, WAN Mask и Use IP …

Галочки Enable NAT и Enable Firewall убираем …

Указываем LAN IP модема …

Для сохранения настроек нажимаем Save/Reboot

Альтернативный способ?

Если модем поддерживает заливку конфигурации, то все настройки можно «залить» одним файлом. По сути, прошивка — это обычный файл конфигурации, который можно отредактировать текстовым редактором. Пример куска прошивки:

[ eth.ini ] ifadd intf=School_WAN

ifconfig intf=School_WAN dest=School_ATM vlan=default

[ ppprelay.ini ] ifadd intf=bridge

[ dhcspool.ini ] pool add name=LAN_private

Как залить файл конфигурации на примере модема Dlink

В стартовом окне настроек выберите пункт «Расширенные настройки»:

Далее в категории «Система» выбираем пункт «Конфигурация».

Кнопкой «Обзор» ищем на компьютере и выбираем файл конфигурации, который будет загружен.

Какие DNS рекомендуется прописывать?

Для обеспечения бесперебойной работы службы DNS на персональных компьютерах, услуги Контент-фильтрации, компания ОАО «Ростелеком» Коми филиал рекомендует для получения IP-адреса по доменному имени использовать следующие DNS сервера:

Источник

Контентная фильтрация в образовательных учреждениях

Приветствую, %username%

Вот уже несколько лет я работаю в школе, и сейчас в мои обязанности входит поддержка школьной сетевой инфраструктуры. Хочу поделиться с вами своим небольшим опытом по организации контентной фильтрации у нас в школе.

Суть проблемы

В последнее время стало приходить очень много писем от министерства, о том, что нужно организовать контентную фильтрацию в школах, тем самым защитить юных дарований от негативной информации. Каждый раз, читая очередное письмо, как две капли воды похожее на предыдущее, я недоумевал. Было написано что нужно сделать, но не как это сделать. Да, были отсылки на проприетарные продукты но меня и мое руководство данный вариант не особо устраивал.
Разумеется, следом за письмами пожаловал помощник прокурора с целью проверить качество фильтрации. Искал через поисковые системы слова: Скинхеды, Дезоморфин, Кодеин. Конечно же без проблем нашел описание кодеина и дезоморфина в википедии, возмутился и выписал предписание.
Значит, нужно срочно что-то придумать, чтобы как минимум в следующий раз пройти проверку и не получить штраф. Было найдено несколько решений данного вопроса, тем не менее ни одно из них меня не удовлетворило полностью. Во всем есть свои плюсы и минусы, и я пришел к выводу что фильтрация контента должна быть комплексной.

Как это должно быть в идеале

Вариант №1

Министерство образования нанимает группу разработчиков, и те пишут продукт, который позволит без лишних затрат организовать сетевую инфраструктуру в школе и распространяет его по образовательным учреждениям бесплатно. Разумеется, должна вестись постоянная поддержка продукта и улучшение функционала, плюс учитывать мнение и пожелание конечных пользователей.

Вариант №2

Организовать сообщество людей, которое будет разрабатывать на базе UNIX-подобной операционной системы интернет-шлюз с удобной графической оболочкой и необходимым функционалом.

К сожалению, в жизни все по другому. По сути, школы представлены сами себе, а у министерства явно не в приоритете помочь школам в данном вопросе. Предвидя реплики типа: «в школе есть системный администратор, вот пусть этим и занимается», по своему личному опыту знаю, что в некоторых школах ставка системный администратор вообще не предусмотрена. В моем случае, я просто специалист по кабинету информатики.

Что можно использовать

Интернет-цензор

Бесплатный интернет-фильтр для детей. К сожалению, он только под Windows и нет возможности централизованного управления для всех компьютеров в сети. Это решение больше подойдет для небольшой группы компьютеров. При установке просит придумать пароль и указать электронную почту для восстановления пароля и отправки уведомлений.

Личный опыт: На нескольких компьютерах, через некоторое время после установки программа сообщала что она повреждена и просила переустановку. После переустановки работала пару дней, и все повторялось. Что интересно, фильтрация по прежнему работала. Также были случаи, когда пользователь просто забывал пароль, и при нажатии на кнопку «Восстановить пароль» программа сообщала, что интернет отсутствует и соответственно узнать/восстановить пароль через электронную почту не выйдет. Удалить без знания пароля и вреда для системы лично у меня не вышло.

SkyDNS

Российский облачный интернет-сервис, предоставляющий услуги контент-фильтрации. Вся суть в замене DNS-серверов компьютера на предоставленный DNS-сервер компании. Можно указать вручную, или установить программу-клиент с официального сайта, которая сделает все сама, плюс прямо из программы можно выбрать категории фильтрации. Клиент только для ОС Windows. Если клиент не использовать, необходим внешний статический IP-адрес и вручную сделать привязку в личном кабинете на сайте.

Личный опыт: В целом, сервис довольно неплохой. Имеются черные и белые списки сайтов, статистика, можно включить переадресацию всех поисковых систем на безопасный поиск самого сервиса. За небольшую плату в год, можно настроить страницу блокировки и включить режим работы только по белому списку сайтов, который включает в себя несколько тысяч адресов безопасных сайтов.

Как вариант, можно использовать другие безопасные DNS-серверы, например от Яндекс:

DNS1: 77.88.8.7
DNS2: 77.88.8.3

P.S. Логичней всего DNS-сервер указывать на роутере, или в настройках DHCP-сервера, если таковой используется.

UserGate Proxy & Firewall

Представляет собой интернет-шлюз, который устанавливается на отдельный компьютер под управлением Windows. В комплекте идет трехъядерный антивирус, межсетевой экран, контент-фильтр, контроль и мониторинг пользователей и еще пару полезных плюшек.

Личный опыт: Изначально я считал плохой идеей держать компьютер под управлением Windows для таких задач, но тем не менее данный продукт проработал у нас более года. За это время, частенько падал интернет, были различные глюки и приходилось делать рестарт системы. Учитывая, что доступ к этому компьютеру был не только у меня, находились умельцы посидеть за этим компьютеров и притащить туда вирусы.
Финал настал, когда фирма каждый раз выпуская новую версию просила доплатить за обновление. Более того, за лицензию на контент-фильтр Entensys URL Filtering надо было приобретать отдельно, и причем каждый год.

KinderGate
Контент-фильтр, разработан компанией Entensys, как и UserGate. Есть клиенты под основые ОС, фильтрация по содержимому сайта, фильтр по категориям, родительский контроль, безопасный поиск, контроль загрузки файлов, поддерживает кластеризацию и фильтрацию HTTPS-протокола. Стоимость составляет 490 рублей на компьютер в год.

Личный опыт: Данное ПО очень активно рекламируют в образовательных учреждениях. Наша школа данный продукт не заказывала, ввиду большой конечной стоимости. В соседних школах и детских садах были куплены 1-2 лицензии, говорят стал медленнее работать интернет и очень частые срабатывания, а значит поиск в интернете стал в разы больше. Видимо работает по принципу лучше пере, чем недо.

Интернет Контроль Сервер
Интернет-шлюз, разработанный на базе FreeBSD. Имеет внушительный функционал. В комплекте идут контентная фильтрация, категории трафика SkyDNS, модуль DLP и IP-телефонии, встроенный антивирус, учет трафика и контроль доступа, прокси-сервер, защита корпоративной сети, почта, FTP, Web и Jabber сервер. Явные преимущества этого решения в том, что можно бесплатно использовать полнофункциональную версию на 8 пользователей.

Источник

Зачем школам фильтр от Ростелекома?

На самом деле, зачем? Если придет проверка от прокуратуры, то если в школе не будет жесткой фильтрации(а если будет, то инет будет подлагивать), или фильтра по белым спискам, всё равно школу накажут. И высказывания типа «Интернет же с фильтром от провайдера», ни к чему не приведут.

Сделал как-то трассировку до школьного сайта. Получилось 30 шагов, из дома 10. Т.е. запросы идут по лабиринтам из серверов Ростелекома.

Ответов на этот вопрос у меня два. Первый это прямолинейное выполнение задания правительства. Второе, распил денег выданных опять же правительством на оснащение школ интернетом.

За год приходит много тестов или онлайн уроков от разных федеральных и не только организаций. В отличии от Ростелекома эти организации не гнушаются использовать Youtube или Google тесты, ничего лучшего же нет. А ты в школе думай, как подключить несколько классов или компьютеров в компьютерном классе к интернету в обход блокировки Ростелекома.

В одном из писем даже было написано, что для доступа нужно позвонить в Ростелеком и договориться с ними о временном снятии блокировки. Только вот письмо Ростелекому или не направили, или там попросту забили на эту просьбу, потому, что, когда я позвонил в местное отделение, они слышали об этом в первый раз. Пообещали, конечно, связаться с вышестоящим начальством, но это обещанием и осталось. Как был закрыт Ютуб, так и остался. А отчёт о проведённых мероприятиях школа должна отправить.

Постоянно требуют мониторить соцсети своих учеников. Каким образом? Снова через VPN. Вот и непонятно, зачем тогда фильтр, если его надо постоянно обходить?

Источник

Система контентной фильтрации

«Центр информационных технологий» является оператором Системы контентной фильтрации (СКФ) для образовательных учреждений г.о. Тольятти. Система контентной фильтрации предназначена для ограниченния доступа образовательных учреждений к веб-ресурсам сети Интернет, содержащим информацию, несовместимую с задачами образования и воспитания.

Описание и возможности системы

Система контентной фильтрации представляет собой программно-аппаратный комплекс, который состоит из прокси-серверов, расположенных в учреждениях образования, и центрального управляющего сервера, расположенного в «Центре информационных технологий».

Сервер контентной фильтрации учреждения (или коммуникационный сервер) также выполняет функцию маршрутизатора локальной сети, межсетевого экрана, преобразования адресов NAT, может выполнять функции DHCP и DNS сервера.

Основные возможности системы фильтрации:

• фильтрация с использованием безопасных DNS-серверов;
• фильтрация HTTP/HTTPS-запросов с использованием централизованно обновляемых «чёрных» списков ресурсов;
• фильтрация HTTP/HTTPS-запросов с использованием «белых» списков ресурсов – что не разрешено, то запрещено;
• фильтрация на основе анализа содержимого текста веб-страниц;
• гибкая настройка фильтрации: применение различных правил для групп пользователей, исключение пользователей из фильтрации;
• ведение журнала обращений к веб-сайтам;
• сбор статистики о сетевом трафике, проходящем через сервер.

Более подробную информацию смотрите в инструкции.

Как подключиться

Подключение муниципальных общеобразовательных учреждений к системе контентной фильтрации осуществляется на безвозмездной основе, после заключения договора «Безвозмездного обслуживания коммуникационного сервера». Если у вашей организации изменились реквизиты, просим заключить дополнительное соглашение к договору.

Подключение других образовательных учреждений (коледжи, техникумы) осуществляется на коммерческой основе. За дополнительной информацией обращайтесь по телефонам, указанным на странице контакты (системные администраторы или отдел технического сопровождения).

Для подключения образовательное учреждение должно выполнить ряд требований:

1. Определить помещение для размещения коммуникационного оборудования с наличием электрической розетки 220В с заземлением.

2. Обеспечить подводку в выбранное помещение кабелей для подключения к существующим сегментам локальной сети и кабелей всех выделенных линий, использующихся для доступа в Интернет.

3. Подготовить исправный системный блок на роль коммуникационного сервера с характеристиками не хуже:

3.1. Срок эксплуатации – не более 3 лет;

3.2. Процессор Intel Pentium Core 2 Duo и выше или аналог;

3.3. Объем оперативной памяти от 1GB;

3.4. Объём жесткого диска от 80GB. Внимание! Все имеющиеся данные с жесткого диска будут удалены при инсталляции сервера!;

3.5. Установленные (имеющиеся в наличии) в компьютере как минимум два сетевых адаптера (по одному на каждое подключение – интернет и сегмент локальной сети).

4. Сообщить в ЦИТ сведения об имеющейся в ОУ локальной сети, сервисах, функционирующих в ней, контактные данные ответственного за информатизацию в ОУ и осуществляющей техническое обслуживание организации;

5. Предоставить в ЦИТ для настройки подготовленный системный блок (п. 3.), модемы, посредством которых осуществляется доступ в Интернет и информацию об их настройке (копию последних договоров с провайдерами с указанием сетевых параметров). Первичная настройка коммуникационного сервера и коммуникационного оборудования производится безвозмездно, организация работы в дальнейшем – в соответствии с договорными обязательствами.

6. Забрать из ЦИТ после настройки (п. 5.) системный блок, выполняющий роль сервера и коммуникационной оборудование;
7. Разместить в помещении, определенном в п. 1. и произвести коммутацию следующего оборудования:

7.1. Настроенный системный блок;

7.4. Источник бесперебойного питания, от которого будет питаться сервер и коммуникационное оборудование (при необходимости с многоместным удлинителем, подключенным к ИБП);

7.6. Настроенный модем или маршрутизатор;

7.7. Центральный коммутатор (при наличии);

7.8. Другое (по согласованию с ЦИТ).

8. В случае отсутствия закрепления за учреждением постоянного (статического) IP-адреса Интернет, необходимо обратиться к провайдеру для получения такового.

Нормативные акты

• Классификатор информации, распространение которой запрещено в соответствии с законодательством Российской Федерации
• Классификатор информации, несовместимой с задачами образования и воспитания учащихся
• Регламент работы учащихся, учителей (преподавателей) и сотрудников образовательных учреждений Самарской области в сети Интернет
• Типовая должностная инструкция администратора «точки доступа к сети Интернет» в образовательном учреждении
• Типовые правила использования сети интернет в образовательном учреждении Самарской области
• Федеральный закон №436 «О защите детей от информации, причиняющей вред их здоровью и развитию»
• Методические и справочные материалы
• Правила подключения общеобразовательных учреждений к единой системе контент-фильтрации доступа к сети Интернет, реализованной Министерством образования и науки Российской Федерации

Подача заявок на програмное сопровождение сервера

Заявки на сопровождение сервера (внесение сайтов в список фильтрации, изменение настроек сервера) должны соотвествовать следующим требованиям, указанным в Приложении 5 к договору.

Примечание. Работы, связанные с техническим обслуживанием сервера (диагностика, ремонт, замена компонентов системного блока) не входят в договор «Безвозмездного обслуживания коммуникационного сервера», и оплачиваются согласно прейскуранту, либо выполняются сторонней организацией.

Настройка роутера Ростелеком Fast 2804

1. Зайти веб-браузером на адрес роутера. Адрес по умолчанию http://192.168.1.1, логин/пароль admin:admin.
2. Открыть «Дополнительные настройки -> Интерфейс 2-го уровня -> ETH интерфейс«. Нажать «Добавить». Выбрать порт ETH — eth0.

1. Открыть «Дополнительные настройки -> WAN сервис» Выбрать интерфейс eth0 в качестве WAN интерфейса.

Выбрать тип WAN-сервиса PPPoE.

Ввести имя пользователя и пароль для PPPoE соединения (пароль выдает Ростелком при подключении)

1. Открыть «Дополнительные настройки -> LAN«. Адрес роутера в локальной сети должен быть: 192.168.1.1, начальный адрес DHCP 192.168.1.100.

1. Открыть «Дополнительные настройки -> NAT -> DMZ-хост«. Ввести IP-адрес хоста DMZ 192.168.1.2 (это адрес внешнего интерфеса сервера фильтрации).

Источник