Dotaz: Linux na siti, omezeni internetu

Síť táhnout přes server, tedy server musí mít dvě síťovky. Tzn, že z routeru půjde síťovka do serveru a ze serveru půjde druhá síťovka do switche, do kterého jsou pak zapojeni všichni klienti (počítače). Na klientských PC se nastaví brána jako IP serveru.

Pokud by jsi síť netáhl přes server a bylo vše k routeru zapojeno paralelně a změnil jsi jen bránu na klientských PC, tak nic nebrání uživatelům si jí změnit (obzvláště pokud by bylo umožněno připojení vlastích PC - notebooků apod.).

Na serveru pak povolíš ip_forward + nastavíš maškarádu na natování (eth0 do switche, eth1 do routeru):

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Tím půjde na klientských PC internet přes server a můžeš si začít dál hrát.

První věcí by bylo, zakázat přístup ven na jakékoli porty a nechat jen přístup na http a https (port 80 a 443). Tím se žáci dostanou jen na web a nebudou třeba moci rozesílat spam apod. Toto se dělá pomocí programu iptables.

Další krok by byl, rozjet transparentní proxy server, hodně se používá squid. Na něm pak lze filtrovat přístup na webové stránky. Lze třeba zakázat přístup na všechny stránky, které obsahují slova jako sex, porn, porno, lesbian apod. Prostě vše, co si zvolíš. Můžeš používat regexpy apod. Také lze zakázat stažení souborů s koncovkou exe aj. aby si děti netahaly nějaké programy z netu a nedělaly bordel na PC.

Pokud si chceš hrát dál, můžeš tam na něm rozjet i dns server s podporou dnssec, což je trivialita a vyhneš se tak problémům u ISP a budeš mít lepší jistotu bezpečí, odezvy budou samozřejmě také lepší.

A tak dále a tak dále :)

OpenDNS

Takoveto veci umi. staci si tam vytvorit ucet a u PC pak nastavit natvrdo DNS na adresy co opendns uvadeji.

Lze v uctu nastavit blokaci porna komplexne i konkretnich i "non porn" stranek.

U stanic bez omezeni pouzijete IP adresy DNS od providera.