Υπηρεσία επιλεκτικής πρόσβασης σταθμών εργασίας στο διαδίκτυο

Συχνά, για ένα σχολικό εργαστήριο υπάρχει η ανάγκη να ελέγχονται οι διευθύνσεις στις οποίες θα έχουν πρόσβαση οι ΗΥ του.

Στο ΚΕΠΛΗΝΕΤ Δ. Θεσσαλονίκης ακολουθώντας τις οδηγίες τεχνικών εγχειριδίων επιτύχαμε την υπηρεσία αυτή.

Για το φιλτράρισμα των σελίδων του διαδικτύου καθώς και φιλτράρισμα ftp υπηρεσιών προτείνουμε την εξής λύση:

1. Εγκατάσταση Windows Server 2003 σε έναν ΗΥ. Ο ΗΥ πρέπει να έχει δύο κάρτες δικτύου από τις οποίες η μία θα δέχεται internet από το router και η δεύτερη θα δίνει φιλτραρισμένο internet στο εσωτερικό δίκτυο.
2. Εγκατάσταση υπηρεσίας DHCP στον Windows Server 2003. Απαιτείται, εφόσον ο router δεν θα μοιράζει πλέον διευθύνσεις.Για τα παρακάτω, τον ΗΥ με Windows Server 2003 ονομάζουμε server.
3. Στον server εγκαθιστούμε τον IIS και την υπηρεσία DNS
4. Στις ρυθμίσεις δικτύου της κάρτας δικτύου που θα δίνει internet στο εσωτερικό δίκτυο ορίζουμε:IP: 192.168.0.1
   subnet-mask: 255.255.255.0
   dns-server: 127.0.0.1
5. Στις ρυθμίσεις δικτύου της κάρτας δικτύου που παίρνει internet από το router δίνουμε συγκεκριμένη IP π.χ. 10.x.y.z
6. Στον server εγκαθιστούμε το squid στη θέση: C:\squid
7. Ρυθμίζουμε το squid για να γίνει η διασύνδεση (bridge) των δύο καρτών δικτύου. Προσθέτουμε στο αρχείο squid.conf τις γραμμές:
   
   acl localnet src 127.0.0.1 (η IP της μίας κάρτας)
   acl localnet src 10.x.y.z/24 (η IP της άλλης κάρτας)
8. Στο command prompt εκτελούμετις εξής εντολές, οι οποίες ρυθμίζουν ότι το squid θα ξεκινάει αυτόματα με την έναρξη του server:
   squid.exe – z
   squid – i
9. Ρυθμίσεις σε ΚΑΘΕ browser του server, ώστε να φιλτράρεται η πρόσβαση στο διαδίκτυο και από το server:
   Θέτουμε «Χειροκίνητη ρύθμιση» proxy στην ΙΡ του μηχανήματος και βάζουμε τη θύρα 3128.
10. Φτιάχνουμε στο squid την λίστα επιτρεπτών διευθύνσεων ως εξής: στη θέση C:\squid\etc δημιουργούμε ένα αρχείο squid–allow.acl που περιέχει τις ιστοσελίδες που επιτρέπουμε, βάζοντας μια ιστοσελίδα ανά γραμμή
11. Στο squid.conf εισάγουμε τις ακόλουθες γραμμές:acl allowed_pages url_regex -i “C:\squid\etc\squid-allow.acl”
    http_access allow allowed_pages

Ρυθμίσεις στους σταθμούς εργασίας:

1. Σε ΚΑΘΕ browser επιλέγουμε ‘Χρήση διακομιστή μεσολάβησης’ με IP 10.x.y.z (του σέρβερ) και θύρα 3128.

Η συνδεσμολογία του server

Το καλώδιο που ξεκινά από το router και οδηγεί το internet στο switch (και από κει σε όλους τους ΗΥ) συνδέεται στην κάρτα δικτύου του server η οποία έχει τον αριθμό 10.x.y.z.

Από την κάρτα με αριθμό 192.168.0.1 ξεκινά ένα άλλο καλώδιο δικτύου το οποίο καταλήγει στο switch. Με τη συνδεσμολογία αυτή όλοι οι σταθμοί εργασίας βλέπουν internet και μόνο τις διευθύνσεις που επιτρέπει το φίλτρο του squid.

Περιορισμοί της προτεινόμενης υπηρεσίας επιλεκτικής πρόσβασης στο διαδίκτυο

1. Αν για οποιοδήποτε λόγο με το ξεκίνημα του server δεν ξεκινήσει η υπηρεσία squid τότε η πρόσβαση των σταθμών εργασίας προς οποιαδήποτε ιστοσελίδα του διαδικτύου δεν είναι ελεύθερη.
2. Αν για κάποιο λόγο η υπηρεσία squid είναι σταματημένη τότε δεν θα υπάρχει καθόλου πρόσβαση σε οποιαδήποτε ιστοσελίδα. Σε αυτήν την περίπτωση πρέπει να ξεκινήσει υπηρεσία squid είτε από τις Υπηρεσίες (Services) του server είτε επαναλαμβάνοντας το βήμα 8 των ρυθμίσεων.
3. Όταν ο server παραμένει κλειστός τότε δεν υπάρχει καθόλου πρόσβαση σε καμία σελίδα του Διαδικτύου για κανέναν σταθμό εργασίας.
4. Αν σταματήσει η παρεμβολή του μηχανήματος-φίλτρου δηλαδή συνδεθεί καλώδιο από το router απευθείας πάνω στο switch τότε όλα τα μηχανήματα που συνδέονται πάνω στο switch θα έχουν internet.
5. Οποιοδήποτε άλλο μηχάνημα συνδεθεί πάνω στο router έχει internet.
6. Αν ο browser κάποιου σταθμού εργασίας ρυθμιστεί «Χωρίς proxy» τότε ο εν λόγω ΗΥ θα μπει στο internet. Συνεπώς οι χρήστες των σταθμών εργασίας δεν θα πρέπει να έχουν δυνατότητα να επέμβουν πάνω στις ρυθμίσεις Internet.
7. Τα προγράμματα αλληλογραφίας λειτουργούν παρά την εκτέλεση του squid. Συνεπώς, συνιστάται η απεγκατάσταση όλων των προγραμμάτων αλληλογραφίας από όλους τους σταθμούς εργασίας. Ωστόσο, δεν δημιουργείται πρόβλημα από ανάγνωση mail μέσω σελίδων web-mail διότι οι αντίστοιχες σελίδες δεν θα είναι επιτρεπτές.

Τεχνική λύση: Θεοδοσοπούλου Μαρία

Επιμέλεια κειμένου: Κερκίρη Τάνια