Junior IT man. Контент-фильтр. Часть 2⁠⁠

Здравствуйте!

В предыдущей части мы рассмотрели схему локальной сети с перечнем используемого оборудования для фильтрации контента. Далее будет уточнение по всем пунктам.

Для перехода к информации в этой части, Вам необходимо иметь при себе схему вашей ЛВС организации, чтобы понимать, как использовать контент-фильтр уже в рамках вашей структуры.

Советую такие схемы реализовывать с помощью соответствующих сервисов, хотя бы тех, которые позволяют вставлять изображения из базы по тематике компьютерных сетей, чтобы легче ориентироваться в схеме не тратя время на ручное рисование или скачивание ненужных изображений. Вид схемы должен быть понятен не только Вам, но и другим людям, возможно, это может понадобиться при реконструкции/модернизации ЛВС.

Все названия производителей и разработчиков я буду упоминать, только в целях достижения цели и никак больше.

Повторюсь на счет моего материала – я информирую только о том, что сам тестировал и предоставляю примеры.

В остальном, могу посоветовать Вам - «do your own research!»

Для организации фильтрации понадобиться:

1. Роутер марки Zyxel Keenetic (*модель Lite III или Extra II) – данный роутеры имею вшитую поддержку интернет фильтрации за счет подключения учетных записей сторонних сервисов прямо в прошивку роутера. Иными словами, в данных роутерах можно подключить фильтрацию через Yandex.DNS или SkyDNS

2. Роутер марки TP-LINK (*модель TL-WR841N) – вместо этого роутера можно взять любой другой, главное чтобы он также легко настраивался и не был перегружен лишними функциями.

3. Неуправляемые коммутаторы (*TP-Link TL-SG105 и TP-LINK TL-SF1024D) – вместо этих свитчей можно взять другие, но я бы советовал именно в металлическом корпусе из-за прочности, теплоотдачи и их проще прикрутить в необходимое место, например в коммутационный шкаф.

* Протестированные устройства годами

Схема, приведенная ниже создана на базе предыдущей, но только вместо назначения устройств мы будем указывать их сетевые адреса и тип сети.

Расшифровка схемы (без ухода в терминологию):

LAN – Локальная сеть;

WAN – Глобальная сеть;

WLAN – Беспроводная сеть;

Switch – Коммутатор;

192.168.0.0 – Первая сеть;

192.168.0.1 – Первый шлюз на главном роутере;

192.168.1.0 – Вторая сеть;

192.168.1.1 – Второй шлюз на роутере учебного класса;

255.255.255.0 (префикс /24) – Маска подсети для всех маршрутизаторов и внутренних локальных узлов/хостов;

192.168.1.5 – 192.168.1.14 - 10 ученических устройств (узлов, интерфейсов) на витой паре 8P8C;

192.168.1.x – прочие адреса для беспроводных подключений;

Уточнение по ЛВС:

Все параметры сети указанные выше устанавливаются «по умолчанию» и если в вашей организации есть доступ в Глобальную сеть и осуществлена возможность передачи данных внутри вашей сети, значит у Вас уже всё настроено.

Административный роутер с сетевым адресом шлюза «192.168.0.1» принимает на глобальный интерфейс IP-адрес «10.1.1.1» от провайдера и осуществляет транспортировку информационных пакетов по сети «192.168.0.0» благодаря чему в данной сети хостам доступен выход в глобальную сеть. В данную сеть входят хосты с адресами «192.168.0.1 – 192.168.0.254» (192.168.0.0 и 192.168.0.255 занимать нельзя)

Ученический роутер с сетевым адресом шлюза «192.168.1.1» принимает на глобальный интерфейс IP-адрес «192.168.0.254» от главного роутера и осуществляет транспортировку информационных пакетов во второй сети «192.168.1.0» благодаря чему в данной сети хостам доступен выход в глобальную сеть. В данную сеть входят хосты с адресами «192.168.1.1 – 192.168.1.254» (192.168.1.0 и 192.168.1.255 занимать нельзя)

Доступ в WWW со всех маршрутизаторов (и их клиентам) доступен посредством NAT, данная технология активна «по умолчанию».

Маска подсети 255.255.255.0 (/24) устанавливается «по умолчанию» во всех стандартных роутерах, что дает нам в каждой сети (№1 и №2) по 254 возможных подключений на каждую сеть. Если в вашей сети необходимо больше интерфейсов (узлов, хостов), то следует увеличить возможное количество сетевых подключений, но тогда нужно изменить маску подсети централизовано (например, на 255.255.254.0 (/23) и так далее), сами же IP-адреса роутеров и узлов могут быть такими же.

В данной схеме мы не рассматриваем настойку связи между сегментами сети №1 «192.168.0.0» и № 2 «192.168.1.0», так как сеть №1 административная, а сеть №2 учебная.

Краткая инструкция для тех, кто уже всё знает и умеет и сам себе режиссер:

1. Инсталлируем провод провайдера в WAN роутера с поддержкой SkyDNS;

2. Регистрируем в настройках роутера необходимые адреса в таблице устройств активных подключений, которые будем блокировать, например IP-адрес роутера №2;

3. Во вкладке SkyDNS вводим данные аккаунта и применяем фильтр «Основной» хостам из списка зарегистрированных адресов;

* Лицензия SkyDNS платная, но дешевая. Можно зарегистрировать на «левые» данные и пользоваться полмесяца, просто меняя данные аккаунта в соответствующей вкладке.

4. Далее на самом сайте SkyDNS заходим в личный кабинет во вкладку «Фильтр»;

5. Жмем слева «Установки для школ»;

6. Если на детских устройствах есть доступ в Ютуб, то ставим галку "Использовать безопасный режим для YouTube";

6. Обязательно ставим «Блокировать неизвестные сайты»;

7. Остальные галки в строке «Прочие сайты» на свой вкус, но обязательно вырубаем еще «Поисковые системы» и всякий мусор типа «Доски объявлений»;

8. Если у Вас подготовлен список разрешенных сайтов, то максимальная безопасность от фильтрации будет, если вы выберете пункт «Работать только по белому списку», далее переходим в белый список и вписываем все адреса разом, через функцию копировать-вставить в «Редактировать список»;

9. Перезагружаем роутер в горячую или холодную, но только после всех настроек, когда у вас все необходимые IP-адреса выбраны в роутере под фильтр «Основной», а аккаунт SkyDNS активен;

10. Всё, теперь роутер №2 информатики будет под фильтром, а список доступных адресов редактируется через сайт;

11. В роутере во вкладке SkyDNS оставляем опцию для всех неизвестных адресов фильтр «Без фильтрации», тогда новые устройства и даже старые незарегистрированные «по умолчанию» не будут фильтроваться;

12. Данный способ фильтрации был проверен на практике: мною, прокуратурой и тем более учениками;

13. К сожалению, очевидным минусом данного метода является понижение скорости соединения с глобальной сетью из-за фильтрации через DNS, но только для узлов с фильтром.

Внимание!

Описание порядка подключения и внутренних настроек роутеров будет в следующей части, так как там очень много скриншотов вперемешку с текстом. Следующая часть рассчитана на того, кто не понял по «Краткая инструкция».

Телега: @JuniorITman