вобщем закалибался я со школьным интернетом, контент фильтр что был в комплекте "Первая Помощ 1.0", нихрена не фильтрует:
http://img217.imageshack.us/img217/2293/42703174zj3.jpg
:D тянут всё что могут пока препод/библиотекарь не видит, щас поставил для эксперимента edubuntu, чтоб всё что попало не устанавливали. далее думаю каждому делать отдельный акк и выдавать по запросу.
вобщем вопрос такой:
1) нужно отключить доступ ко всем сайтам и разрешить только на те что в белом списке, белый список есть, в нём большое количество сайтов на образовательные ресурсы.
2) чем лучше смотреть логи работы/трафика и прочего? желательно WebUI интерфейс.

SQUID+SAMS+SQUIDGUARD
решение для FreeBSd ,но в прочем и для любого *nix
http://www.lissyara.su/?id=1026

Спасибо, только что пришёл, буду читать. ещё решил сисадминс.ру и русский форум ubuntu проспрашивать. А без прокси есть решения? доступ в интернет идёт по шлюзу + DHCP чтоб на каждом IP не прописывать.

запрети на шлюзе все адреса кроме определенных

мб просто файрволл заюзать?
чтобы блокировал все исходящие, кроме разрешенных..

Если никсы, - в ipfv:
ipfv add <номер правила> deny ip from any to any

Этой коммандой запрещаем любой обмен трафика между любыми ай-пи. Далее добавляем правила со следующим порядковым номером и allow.
Таким образом пускаем их куда-то.
если серв виндовый - ИМХО проще проксю/фаерволл юзать.

бля, не сдержалсо
Cthulchu - что за никсы? Не знаешь ничего - молчи и читай маны
Не ipfv а ipfw, и это только для FreeBSD
Покажи мне что напишет твоя ось при выполнении твоей же команды

если серв виндовый - ИМХО проще проксю/фаерволл юзать.
а если никсовый то бежатьзакрывглаза ?


Короче - не будь клоуном и не старайся ответить где попало не будучи уверенным в своем ответе

вобщем поставил Squid версии 2.6 и SAMS - пока разбираюсь на рабочем компе. да ещё подумываю на счёт webmin.
на шлюзе фаер поставить не могу, там серв на винде с KM-школой и ещё всякая школьная лабуда стоит - ес что не так будет у училок трагедия будет :D , яб впёхал керио с кряком (имхо по мне удобней), но нельзя изза проверок, а фришные - какието отстойные.

поэтому решил на тачках поставить никсу и каждому по учётке с разным доступом на инет.

squid.opennet.ru можно ещё почитать. Если учёт трафа по юзерам и т.д. не нужен, то можно одними acl`ами обойтись:

acl allow_sites dstdomain "полный путь до файла с хорошими сайтами"
acl deny_sites dst 0.0.0.0/0.0.0.0
http_access allow allow_sites
http_access deny deny_sites

Ky3bMu4, спасибо, учту.
ещё попробовал "HOWTO: Install Dansguardian on a single desktop AND for a network" - http://ubuntuforums.org/showthread.php?t=207008&prev= - понравилось плавность настроек конфига, но при правке/раскоментировании дефолтных настроек, после рестарта ошибки выдавало и дальше никуда не пускало, завтра опять поковыряюсь. есть ещё парочку вопросов по настройке, если не разберусь сам - спрошу тут.


ADD:
sudo /etc/init.d/dansguardian restart
Restarting DansGuardian: * Restarting DansGuardian: Error reading file: /etc/dansguardian/blacklists/ads/domains
Error reading file: /etc/dansguardian/blacklists/ads/domains
Error opening file:/etc/dansguardian/blacklists/ads/domains
Error opening bannedsitelist
Error opening filter list:/etc/dansguardian/dansguardianf1.conf
Error reading filter group conf file(s).
Error parsing the dansguardian.conf file or other DansGuardian configuration files

ls -la /etc/dansguardian/blacklists/ads/

вроде бы настроил, косяк был в том что нескачал blacklists, далее настроил логирование запросов с поисковиков - для последующей фильтрации запросов и сайтов.

и думаю последний вопрос: создал несколько тестовых пользователей в системе, DansGuardian при блокировке не выводит имя пользователя
- USER- содержит имя пользователя если известно.
что подправить чтоб выводило текущий id?

В тему школьного интернета.
Сегодня помогал со школьными компьютерами и нарвался на очень непонятную для себя вещь.
Школа подключена к сети по федеральной программе, в ADSL модеме (он же шлюз) забит адрес из сети 10.*.*.* т.е. нет своего внешнего адреса.
Внешний IP - шлюз находится где то в Москве и записан на управление образования.
Контент-фильтр из пакета "Первая помощь" не используется т.к. у федералов есть свой контент фильтр для всех школ подключенных по данной системе.
Это все так для справки ))

Теперь к сути. Находясь в школе мне срочно понадобилось зайти на ресурсы своей домашней сети недоступные из вне. Для этого я с помощью putty создал динамический тоннель на домашний debian сервер и выставил в настройках portable firefoxa сокс-проксик 127.0.0.1:порт putty. Все нормально заработало и сделав свои дела, я забыл что подключен через ssh-tunnel и полез в обычный интернет.
И вдруг блымс.... сообщение соединение заблокировано контент-фильтром, после чего выползает страничка яндекса "Может вы искали - Есть ли жизнь на Марсе?"

И вот теперь сижу разбираюсь - каким образом федеральный контент-фильтр мог отфильтровать данные пересылаемые через ssh-tunnel.
Насколько я знаю openssh использует шифрование по умолчанию.
И не требуется как-то отдельно включать его.

DNS запросы не заворачиваются в тоннель