Если кто то совершил незаконный доступ к охраняемой информации, то он и будет виноват.
Провайдер может быть виноват, если в договоре не предупредил о последствиях взлома сетей.
Подписал договор, что будешь без нарушений использовать интернет?
Чья подпись стоит?

anderson-7, это Вы опять про старую историю с отловом? и зачем? об этом забыли же уже, так и до закрытия темы за офтоп недалеко. Если Вы имеете в виду мой предыдущий пост, то не поняли - о чем речь. Я рассказал о том, как пров получает незаслуженных люлей в связи с тем, что в фильтрации на исключение в принципе невозможно исключить все вредные сайты (а у них договор на контент-фильтрацию, значит типа обязаны). И никто из следящих за "порядком" в нашей стране этого понять не может. ну или не хочет. ну или как всегда выслужился для повышения (такой один у нас тут тоже есть).
ну и наконец забудьте Вы уже об отловах. об ответственности - это тоже лишнее, это и так понятно.

вот по этому вопрос о корректности настройки адресов dns-серверов в настройках сетевых подключений на клиентах »я так понял, возможно простое решение - прописать на клиентах сервант с AD в файле hosts
есть другие решения, более правильные? (и вообще, всё-таки, это важно?) (напомню контекст - гарантированная работа доменных служб и перемещаемых профилей пользователей, в свете того что на клиентских машинах в качестве dns-серверов указан google)

я не знаю куда модераторы смотрят, переписка идет, а к решению поставленной задачи нисколько не приближается, так будет еще год идти...

Тс просто придумал зачем то костыли с иксом, когда ad настраивается на windows. Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. я уже говорил, что из сабжа сделали портянку. дабы юзать свой икс, вам придется познакомиться с freebsd, подключиться по ssh с серверу с иксом и там уже ставить прокси/впн. Мануалов полно. Как вариант, vpn + прозрачный squid с dnsguarding, либо каскад, либо vpn + dns сервер с фильтром. Фильтров трафика по интерфейсу на фрюхе я не знаю. Тем более, не получится фильтровать как вам надо без внесений изменений. И базу в актуальном состоянии держать надо. Опять же, если работает гугловский днс достаточно найти паблик днс и настроить dnsmasq. Вот и все. Vds это виртуальная машина на сервере в датацентре, вам дают рут доступ, место, озу, цпу время по тарифу. firstvds например. про законы тут не надо, это вам на юр. форум

я пять лет назад смотрел программы для фильтрации от вредных сайтов.
очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика.
Достаточно поставить его на шлюзе и все.
Сколько не пытался зайти на какой нибудь вредный сайт, они были заблокированы.
Огромнейший выбор категорий вредности сайтов, придумали даже такое, что в голову не придет.
База фильтра обновляется. Можно вручную редактировать.

malysh!, Спасибо за схему, пригодиться.
На будущее советую ее оформить более красиво.

Теперь по существу
если честно, просто замучился делать из контроллера домена прокси-сервер, то одно не выходит, то другое вылетает (приходит в неработоспособность) »
И правильно сделали что не стали этого делать.

совершенно верно, на этом даже построена моя мысль в этом посте »
Не совсем понимаю в чем смысл для провайдера блокировать чужие DNS.
Им гораздо проще было бы весь Ваш трафик пустить через прокси.
Ну да ладно.

однако всё равно не понял - где регаться, кому и за что платить (точнее, в месяц или как), »
Регистрируйтесь там где посчитаете наиболее удобным и приемлемым по цене.
Правда стоит отметить что обычно цены от 300 руб + если нужен Web GUI, а не чистая консоль то это еще 150 руб в месяц.
Хотя на дорогих тарифах она обычно бесплатная.
Главное будьте готовы к работе с ОС Linux/Unix

всё-таки, хотелось бы как-нибудь не дома, а, например, на стабильно работающем сервисе в тырнете »
Тогда используйте VDS.

anderson-7, прежде чем постить почитайте хотя бы шапку и последние две страницы. У тс шлюз на freebsd

господа ! при всём уважении, Вы читаете посты через строчку, и не те
вот и получается флуд, а не топик
зачем-то завели разговор за ответственность, что как бы и так понятно,
зачем-то завели обсуждение "мстительного прова", только и жаждущего - что отловить наивного юзера, хотя тема в-общем то была не об этом (но надо отдать должное, это привело к расширению возможных решений),
опять же, зачем-то предлагаете решения по фильтрации трафика, хотя тема не о том что её нет, а как раз о том, что она есть, и как её обойти с условиями (но нужно опять же отдать должное, вспомнили ряд решений, которые можно использовать в дополнение к имеющемуся фильтру, в силу его оказывающейся недостаточности),
при этом, нужные посты с вопросами так и остались без Вашего внимания (например, о разрешении имени контроллера домена, и файле hosts)

а "тс", между тем, если нормально читать его посты, старается описывать вопросы предельно ясно,
взять, к примеру, последнее, Тс... Говорит, что 53 порт блочат, и тут же говорит, что на клиентах гугловский днс работает. »
"тс" как раз говорит, что запросы по 53-му порту не блокируются, а перехватываются оборудованием прова, а через google они проходят только в случае прохождения через vpn,
а Вы, извините, просто читали через строчку, или просто не захотели потратить время и понять, зато в чём-то упрекаете
и такого флуда ото всех много, извините за резкость
к примеру, зачем-то обсуждаем этот икс, сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать, в том числе и ssh, но мы тут не будем рекламировать коммерческое решение
опять же, о том что я с его помощью уже сделал - Вы тоже пропустили, зато пишете кошмары
Не совсем понимаю в чем смысл для провайдера блокировать чужие DNS. »да потому что этот netpolice для школ - система dns-контент-фильтрации, поэтому они просто для тех, кому надо, пускают dns-форвардинг со своего оборудования на dns-сервера netpolice (см. картинку (http://www.cair.ru/ru/solutions/kontentnaya-filtraciya/)),
и вот зачем мы и это тоже тут обсудили?
Тс просто придумал зачем то костыли с иксом » и получил за это +1 от Rezor666, и это тоже тут обсудим?

в-общем, здесь и ранее я уже и сам нафлудил на две страницы, за что прошу прощения,
извините, уважаемые форумчане и администрация,
и в чём прав anderson-7, - тему пора закрывать, отчасти нерешённой.

и вот тут (после очередного ликбеза) появилась ещё одна (может, безумная) мысль
о каскадном прокси
последний, вполне конкретный, вопрос
есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется).
так ли это?
а мне нужен только http-трафик на клиентах.
соответственно, мысль заключается в следующем,
что, если для группы "учителя", на шлюзе, задать маршрут на каскадный прокси (или задать использование каскадного прокси)? этим вышестоящим прокси будет анонимайзер, платный/"секурный" (и вопрос опять не о том, будет ли работать этот анонимайзер. если не будет - пущу через vpn, заюзаю vds, или ещё как-нибудь, как мы тут уже обсуждали. и даже не о том, будет ли он "секурный")
значит, можно будет использовать в качестве dns-сервера, в настройках подключения на клиентах, адрес всё того же моего шлюза.
а шлюз, в свою очередь, будет просто форвардить dns-запросы группы "ученики" на вышестоящий dns (провайдера) (и не надо обсуждать - как, он и так это делает)(и даже к терминологии не нужно приставать - оно работает),
а при запросе браузера при обращении "учителя", адрес сайта будет резолвиться не клиентом через шлюз, а через последний прокси - т.е. через анонимайзер
зачем мне это надо? на клиентах не придётся прописывать googledns, и адрес моего контроллера домена также будет разрешаться в моей сети через службу dns.
вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать?
в этой теме уже неоднократно вспоминали о прокси, если вердикт на эту мысль уже прозвучал - значит я этого не понял, извините и ткните, пожалуйста, носом
но только, если можно, как-то подробнее/понятнее

сложность освоения freebsd и прочую ерунду, а между тем, там не надо ничего знать »
Извините, но в этом Вы очень сильно заблуждаетесь.
Открою Вам маленький секрет.
ИКС - переделанный клон Pfsense который кстати поддерживается гораздо лучше.
А так как я являюсь одним из любителей этого самого Pfsense то скажу сразу что шаг влево или в право = работа с консолью.
Это Вы поймете при столкновении с проблемами, возможно что как раз когда будите настраивать каскадный прокси т.к самый оптимальный вариант это сделать его на ИКС.

так ли это? »
Да, последний прокси сервер отвечает за DNS запросы.

этим вышестоящим прокси будет анонимайзер, платный/"секурный" »
Тут скорее всего у Вас будет потеря в скорости.
Обычно прокси сервера или не быстрые или на них сидит не один человек.
По этому VDS надежнее.

dns-запросы группы "ученики" на вышестоящий dns (провайдера) »
Все верно.

вопрос - эта мысль жизнеспособна? такая конструкция осуществима/будет работать? »
Должна :)

То вы хотите сами фильтровать трафик для учеников, то уже пускать их через днс провайдера... Ставьте на компы учителей Tor. Иначе в любом случае придется работать с консолью.

Lonely_Mouse, ну может, хватит?
я никогда и не хотел его сам фильтровать, и даже объяснял - почему, как Вы не поймёте, ну он сам фильтруется, почитайте уже шапку. ну поймите, это dns-фильтрация, она сама работает, достаточно просто настроить обычное подключение к Интернету через ADSL-роутер. "компов учителей" у меня нет, и они не нужны - вход, определение прав доступа происходит по политикам, и Тор - не работает, ну почитайте уже тему

Rezor666, для того, чтобы для учителей работал такой резольвинг, который мы обсудили, обязательно необходимо, чтобы в строке "Прокси-сервер:" в браузере был прописан прокси (или адрес файла автонастройки) ?
просто сейчас всё работает просто при запуске утилиты, которая от шлюза (в комплекте)

в браузере был прописан прокси (или адрес файла автонастройки) ? »
В вашем случае - да.
Если бы все получали интернет от прокси тогда можно было бы использовать прозрачный прокси, а так надо указывать через GPO.
Хотя можно извратиться и в squid указать клиентов которые будут идти в обход каскадной прокси.

1) я пять лет назад смотрел программы для фильтрации от вредных сайтов.
очень мне понравился антивирус FortiClient, а точнее его модуль фильтрации трафика.
Достаточно поставить его на шлюзе и все.... »

Это не так. FortiClient тягает базы и настройки с родительского фаервола Fortinet. FortiClient это средство NAC: усиление контроля состояния клиента + идентификация пользователя + антивредонос

2) Всем живущим в 20м веке, утверждающим, что:
- "определить можно только по протоколу и порту ...";
- "Анонимайзеры не просматриваемы ..";
- "SSL - не позволяет идентифицировать зашифрованное приложение"

читайте про Next Generation Firewall (NGFW).
http://blog.trinitygroup.ru/2013/10/next-generation-firewall-next.html

CheckPoint, Fortinet, Palo Alto Networks, Stonesoft - все эти девайсы, на раз: "наковыряют" полную информацию о ваших приложениях и покажут все соединения с анонимайзерами.

Вот например дашборд Palo Alto

http://img-fotki.yandex.ru/get/9309/59880015.0/0_af94e_cf28cad3_orig

Уважаемый kim-aa.
Какое отношение Ваше сообщение имеет к посту ТС?

Это не так. »
Что не так? Я говорил об антивирусе 5-летней давности бесплатной версии.
Он тогда не не имел всех прибамбасов, тем более в бесплатной версии. А обновления для баз фильтра тогда скачивал точно так же, как антивирусные базы.
Мне тогда только грозило, если например компания накроется, то мой фильтр продолжал бы работать но уже без обновления баз вредоносных сайтов..

Уважаемый kim-aa.
Какое отношение Ваше сообщение имеет к посту ТС? »
К самому посту - никакого. Собственно, автор поста, и так более или менее все описал. В том числе и одно из решений.
Сообщение больше адресовалось к активным участникам флуда, т.к. ИМХО, если флудишь, то хотя бы технически грамотно ("Пусть не в рифму, за-то про войну!").
Так же, следует обратить внимание, что фильтрация подменой DNS - это по бедности провайдера.
В настоящий момент существует куча технических решений осуществляющих тематическую URL-фильтрацию.
-----------------------

anderson-7, ОК
Нужно было более подробно упомянуть условия использования. Из контекста ответа это было не понятно.
С бесплатной версией дела не имел, за сим, - комментировать не могу.
-----------------------

есть разнящиеся статьи/отзывы, где говорят, что при использовании/каскадировании прокси разрешение dns-имени при http запросе браузера - задача последнего прокси в каскаде (или просто прокси, если он используется).
так ли это? »

Да, это так. Единственное, вся адресация к промежуточным прокси должна быть по IP.
Исключения, конечно возможны, т. к. никто не запрещает при реализации прокси пробовать осуществить URL-фильтрацию ПЕРЕД передачей запроса вышестоящему прокси. Но это больше к реализации механизма правил фильтрации относится.


Честно говоря, на вашем бы месте я бы реализовал свой кеширующий DNS - сервер по защищенному каналу ползающий на родительский DNS за границу. Тогда шифрованного трафика будет самый мизер. А "нужным" людям достаточно прописать правильный DNS :)

Да, забыл, однако.

DNSCurv или DNSCrypt попробуйте

http://www.dnscurve.org/
http://www.opendns.com/technology/dnscrypt/

опять я, и сразу по существу, господа
ищу спеца,
который бы :
- нанял дешевый vds (и указал бы реквизиты для его последующей оплаты), со статическим "белым" ip, и скоростью сетевого подключения не менее 10 Mбит/сек
- на vds поставил бы прокси, с авторизацией по одному-единственному аккаунту (для исключения доступа сторонних лиц) (и сообщил бы этот аккаунт)
- задал бы этому vds резолвить свои dns-запросы через gooooooooogle

все предложения - в PM [OFF]

модеры и админы forum.oszone.net загонят меня в навечный бан, но мне реально нужно то, о чем я прошу
так что - уж извините

мысль проста - я буду использовать его как вышестоящий прокси для группы "учителя"
весь остальной контекст - см. выше

господа !
последний, таки надеюсь, вопрос
по существу
вопрос избит, и много раз обсужден
но все же, может кто-то подскажет что-то конкретное, и по существу

нужен прокси под WinSrv 2008R2
который бы
- был бесплатный или стоил немного
- наименьшим образом интегрировался в систему, от него требуется только обработка http-трафика (web-сёрфинг)
- мог бы авторизовать (для самого себя) пользователей на основе сведений из AD
- мог бы сотрудничать с AD - пропускать или не пропускать через себя трафик, в зависимости от принадлежности пользователя к определенной группе в AD
- мог бы использовать вышестоящий прокси, и направлять http-запросы пользователей на него

механизм использования прост:
в локальной сети будет два прокси, один из них - для "учителей", он будет перенаправлять их http-запросы на вышестоящий прокси (анонимайзер)
определять принадлежность пользователя к группе "учителя" он будет через AD
трафик всех пользователей, не принадлежащих группе "учителя", должен игнорироваться

заранее спасибо за понимание, и терпимость к задаванию избитых вопросов,
с уважением, я

malysh!, Попробуйте squid