Здравствуйте!
В предыдущей части мы рассмотрели схему локальной сети с перечнем используемого оборудования для фильтрации контента. Далее будет уточнение по всем пунктам.
Для перехода к информации в этой части, Вам необходимо иметь при себе схему вашей ЛВС организации, чтобы понимать, как использовать контент-фильтр уже в рамках вашей структуры.
Советую такие схемы реализовывать с помощью соответствующих сервисов, хотя бы тех, которые позволяют вставлять изображения из базы по тематике компьютерных сетей, чтобы легче ориентироваться в схеме не тратя время на ручное рисование или скачивание ненужных изображений. Вид схемы должен быть понятен не только Вам, но и другим людям, возможно, это может понадобиться при реконструкции/модернизации ЛВС.
Все названия производителей и разработчиков я буду упоминать, только в целях достижения цели и никак больше.
Повторюсь на счет моего материала – я информирую только о том, что сам тестировал и предоставляю примеры.
В остальном, могу посоветовать Вам - «do your own research!»
Для организации фильтрации понадобиться:
1. Роутер марки Zyxel Keenetic (*модель Lite III или Extra II) – данный роутеры имею вшитую поддержку интернет фильтрации за счет подключения учетных записей сторонних сервисов прямо в прошивку роутера. Иными словами, в данных роутерах можно подключить фильтрацию через Yandex.DNS или SkyDNS
2. Роутер марки TP-LINK (*модель TL-WR841N) – вместо этого роутера можно взять любой другой, главное чтобы он также легко настраивался и не был перегружен лишними функциями.
3. Неуправляемые коммутаторы (*TP-Link TL-SG105 и TP-LINK TL-SF1024D) – вместо этих свитчей можно взять другие, но я бы советовал именно в металлическом корпусе из-за прочности, теплоотдачи и их проще прикрутить в необходимое место, например в коммутационный шкаф.
* Протестированные устройства годами
Схема, приведенная ниже создана на базе предыдущей, но только вместо назначения устройств мы будем указывать их сетевые адреса и тип сети.
Расшифровка схемы (без ухода в терминологию):
LAN – Локальная сеть;
WAN – Глобальная сеть;
WLAN – Беспроводная сеть;
Switch – Коммутатор;
192.168.0.0 – Первая сеть;
192.168.0.1 – Первый шлюз на главном роутере;
192.168.1.0 – Вторая сеть;
192.168.1.1 – Второй шлюз на роутере учебного класса;
255.255.255.0 (префикс /24) – Маска подсети для всех маршрутизаторов и внутренних локальных узлов/хостов;
192.168.1.5 – 192.168.1.14 - 10 ученических устройств (узлов, интерфейсов) на витой паре 8P8C;
192.168.1.x – прочие адреса для беспроводных подключений;
Уточнение по ЛВС:
Все параметры сети указанные выше устанавливаются «по умолчанию» и если в вашей организации есть доступ в Глобальную сеть и осуществлена возможность передачи данных внутри вашей сети, значит у Вас уже всё настроено.
Административный роутер с сетевым адресом шлюза «192.168.0.1» принимает на глобальный интерфейс IP-адрес «10.1.1.1» от провайдера и осуществляет транспортировку информационных пакетов по сети «192.168.0.0» благодаря чему в данной сети хостам доступен выход в глобальную сеть. В данную сеть входят хосты с адресами «192.168.0.1 – 192.168.0.254» (192.168.0.0 и 192.168.0.255 занимать нельзя)
Ученический роутер с сетевым адресом шлюза «192.168.1.1» принимает на глобальный интерфейс IP-адрес «192.168.0.254» от главного роутера и осуществляет транспортировку информационных пакетов во второй сети «192.168.1.0» благодаря чему в данной сети хостам доступен выход в глобальную сеть. В данную сеть входят хосты с адресами «192.168.1.1 – 192.168.1.254» (192.168.1.0 и 192.168.1.255 занимать нельзя)
Доступ в WWW со всех маршрутизаторов (и их клиентам) доступен посредством NAT, данная технология активна «по умолчанию».
Маска подсети 255.255.255.0 (/24) устанавливается «по умолчанию» во всех стандартных роутерах, что дает нам в каждой сети (№1 и №2) по 254 возможных подключений на каждую сеть. Если в вашей сети необходимо больше интерфейсов (узлов, хостов), то следует увеличить возможное количество сетевых подключений, но тогда нужно изменить маску подсети централизовано (например, на 255.255.254.0 (/23) и так далее), сами же IP-адреса роутеров и узлов могут быть такими же.
В данной схеме мы не рассматриваем настойку связи между сегментами сети №1 «192.168.0.0» и № 2 «192.168.1.0», так как сеть №1 административная, а сеть №2 учебная.
Краткая инструкция для тех, кто уже всё знает и умеет и сам себе режиссер:
1. Инсталлируем провод провайдера в WAN роутера с поддержкой SkyDNS;
2. Регистрируем в настройках роутера необходимые адреса в таблице устройств активных подключений, которые будем блокировать, например IP-адрес роутера №2;
3. Во вкладке SkyDNS вводим данные аккаунта и применяем фильтр «Основной» хостам из списка зарегистрированных адресов;
* Лицензия SkyDNS платная, но дешевая. Можно зарегистрировать на «левые» данные и пользоваться полмесяца, просто меняя данные аккаунта в соответствующей вкладке.
4. Далее на самом сайте SkyDNS заходим в личный кабинет во вкладку «Фильтр»;
5. Жмем слева «Установки для школ»;
6. Если на детских устройствах есть доступ в Ютуб, то ставим галку "Использовать безопасный режим для YouTube";
6. Обязательно ставим «Блокировать неизвестные сайты»;
7. Остальные галки в строке «Прочие сайты» на свой вкус, но обязательно вырубаем еще «Поисковые системы» и всякий мусор типа «Доски объявлений»;
8. Если у Вас подготовлен список разрешенных сайтов, то максимальная безопасность от фильтрации будет, если вы выберете пункт «Работать только по белому списку», далее переходим в белый список и вписываем все адреса разом, через функцию копировать-вставить в «Редактировать список»;
9. Перезагружаем роутер в горячую или холодную, но только после всех настроек, когда у вас все необходимые IP-адреса выбраны в роутере под фильтр «Основной», а аккаунт SkyDNS активен;
10. Всё, теперь роутер №2 информатики будет под фильтром, а список доступных адресов редактируется через сайт;
11. В роутере во вкладке SkyDNS оставляем опцию для всех неизвестных адресов фильтр «Без фильтрации», тогда новые устройства и даже старые незарегистрированные «по умолчанию» не будут фильтроваться;
12. Данный способ фильтрации был проверен на практике: мною, прокуратурой и тем более учениками;
13. К сожалению, очевидным минусом данного метода является понижение скорости соединения с глобальной сетью из-за фильтрации через DNS, но только для узлов с фильтром.
Внимание!
Описание порядка подключения и внутренних настроек роутеров будет в следующей части, так как там очень много скриншотов вперемешку с текстом. Следующая часть рассчитана на того, кто не понял по «Краткая инструкция».
Телега: @JuniorITman
