OT: prosim o radu - blokovani stranek (proxy/rodicovsky zamek)

Dodo Racek dodoracek na gmail.com
Úterý Březen 16 13:42:32 CET 2021 

Jednoduche a ani rychle riesenie neexistuje, je to beh na velmi dlhu trat..

Odlozte riesenie o niekolko dni a vyuzite ich na popremyslanie a hladanie
rieseni, vratane rozhovorv s detmi.. Z rozculenia a okamziteho riesenia
budete konat skratovo.

SILNO zalezi na tom, aky vek maju deti, ako chcu prekonat obmedzenia
rodicov a co pouzivaju ucitelia.
Ucenie nie len on-line hodina, teda Meet, WebEx, Zoom, ... a ine
konferencne a podobne  riesenia, ale aj ucebne materialy, ktore ucitelia
zverejnuju rozne a deti si maju na ne priebezne klikat a pouzivat pri uceni.
- web skoly
- edupage
- moodys
- bezkriedy
- youtube
- odkazy na rozne stranky inych ucitelov vo vsetkych (ne)moznych formatoch
- odkazy na socialne siete
- odkladacie sluzby typu ulozto a pod.
- produkty a riesenia Google
- produkty a riesenia Microsoft
- produkty a riesenia Cisco
- atd.... (este vela dalsich znamejsich aj neznamych moznosti )

Ak vam deti chodia do jednej skoly, tak sa aspon trosku okruh pozadovanych
zdrojov pre uceni zuzi, ak na rozdielne (zakladna, stredna,...), moze byt
hodne siroky.

Bez zozbierania tychto zdrojov dat, ktore pouzivaju ucitelia je navrh
riesenia nemozny, alebo bude nefunkcny.
Rychle a afektovane riesenie moze viest k tomu, ze deti sa vam mozu
vyskierat, ze sa nemozu ucit, alebo pripojenie na "ucenie" im nefunguje...
Co ste pravdepodobne prave absolvovali.

Vynutenie proxy nemusi pomoct, kedze napr. cast mobilnych aplikacii
ignoruje systemove nastavenie proxy na telefone a chodi napriamo, bez
moznosti to zmenit. Niektore sa nespustia, niektore zdanlivo funguju, ale
niektore ich moduly, alebo casti nepojdu.
Ak vynutite proxy, odstavite cast mobilnych aplikacii ( niektore mozu byt
pouzivane ako sucast vyucovania, alebo ako zdroj uloh poobede, ako domace
ulohy )

Ak maju Android telefony, skuste pozriet aplikaciu Family Link od Googlu,
daju sa z rodicovskeho konta blokovat aplikacie, nastavovat casy a pod. pre
deti, v nejakom rozsahu, v zavislosti od veku dietata.
To by vam trochu pomohlo v rieseni pouzivani ich telefonov.

Ak pouzivaju PC - teda ine OS, ako android, CIASTOCNE obmedzenia mozete
dosiahnut
- DNS filtraciou ( vytvorit vlastny DNS server, na nom nastavit, co ma byt
spracovane lokalne ako blacklist, teda zamedzenie resolvingu a zbytok
preposielany vonku na internetove DNS servery)
- Firewall - nastavenia zakaznaych domen moze to byt podobny zonznam, ako
pre DNS, vratane casovych intervalov, kedy sa aky rozsah obmedzeni uplatni.
Uz len ked nastavite napr zahadzovanie paketov, ktore maju nedovolene
kombinacie priznakov, cast aplikacii prestane fungovat.
- Firewall nemusi byt ako externe zariadenie, moze bezat na tom istom PC,
na ktorom dieta robi. pravidla mozu byt takmer rovnake.
- Ak PC pouzivaju iba deti, daju sa nastavit aj lokalne skratky, napr.
blacklist DNS premiestnit do hostov na PC
- Ak PC pouziva viacero osob v domacnosti ( a napr. aj sucasne, napr. cez
rdesktop a pod. ), tak take riesenie nie je mozne.

Vhodne je aj rozdelit siete pre jednotlive deti, alebo spocitavat data na
vsetkych zariadeniach, ktore dieta pouziva. Ak zdielaju zariadenie, musi
byt ratanie riesenie per prihlaseny uzivatel. Ak to tak nespravite, rychlo
zacnu pouzivat "cudzie" zariadenia a vyhovarat sa navzajom na "toho
druheho".

- proxy je jedno z najhorsich ( a uz roky prezitych) rieseni - ked budu
trochu sikovnejsi, tak vam vsetky obmedzenia na proxy budu obchadzat https
pripojeniami na verejne proxy servery a odtial uz kdekolvek bez vasho
vedomia, alebo moznosti ovplyvnenia. Uplne si zrusite moznost monitoringu a
kontroly.
Zoznam verejnych proxy serverov je rozsiahly a velmi premenlivy, nedokazete
ho rozumne udrziavat v realnom case.

Obmedzenie portov na http, https  urezete pristup deti na mnozstvo
aplikacii, ktore potrebuju k vyucovaniu, nie iba tie, co maju na hranie.

Pri vybere riesenia si dajte pozor na riesenia, priktorych problem
nevyriesite, iba ho skryjete pred sebou a deti budu fungovat trochu
upravene, ako rieka pod ladom. Vyhnete sa tak neprijemnym prekvapeniam po
case zdanliveho kludu z "pseudo-uspesneho" riesenia.

Deti podla veku zvycajne nehraju velke mnozsto hier, ale skupina deti hrava
cca menej ako 5 hier. Skuste posledovat, ktore hry hravaju, postup, ako sa
k nim preklikavaju,  a v prvom kroku mozete zakazat na firewalle par adries
hernych serverov, pripadne hernych portalov, cez ktore chodia na herne
servery.
Dajte si napr. tyzden pozorovania, zbierania udajov. Pozbierajte data z
vasho routra, firewalu, zoberte databazy navstivenych stranoch z web
browserov jednotlivych uzivatelov ( kym sa nenaucia pouzivat tejny rezim)
loguhte si DNS requesty podla zdrojovej IP. Povenujte sa analyze a ukazte
vysledky detom, ze tie data mate a viete kam zasiahnut, aby to pocitili.
Takymto 20% usilim dosiahnete 80% efekt.

Na vacsi efekt by ste si museli vyclenit viac casu - radovo mesiace a
nastudovat mnozstva veci.
Niektore nevyriesite nikdy - napr. ak ucitel odkaze na portal s videami a
serialmi ( nemusi to byt youtube ) a bude od nich ziadat sledovanie napr.
nejakych epizod kvoli uceniu jazykov. Na takych portaloch sa najdu rozne
fily a serialy, aj take, ku ktorym by ste deti nechceli pustit. A budete sa
musiet rozhodnut, ci sa dieta bude ucit, alebo mu to zakazete
( riesit s ucitelmi na pozadi, ze poziadavky a odkazy vedu niekam, kde je
to s vychovou otazne mozete, ale nemusite uspet, ani ked to budete riesit s
vedenim skoly, alebo so zriadovatelom skoly. )

Deti mozu pouzivat popri hre, v ktorej je prenos hlasu paralelne aj dalsie
kanaly na chatovanie a pod (Discord, WhatApp, Messenger, a minimalne
desiatky dalsich... ) kde si dohaduju strategie proti superom mimo
komunikacneho kanalu hry)
A zvazte aj socialnu izolaciu deti, ak im pozakazujete prilis vela a
nasledne mozne psychycke problemy.

Aj v ramci hier si vyberaju herne servery, ktore prevadzkuje hocikto,
kludne aj niektore z deti na svojom PC a dynamickej verejnej IP adrese,
toto je velmi tazke ustrazit. Ak zakzete jeden, presunu sa inde.

Riesenie typu "zakazem vsetko, okrem par povolenych" je najbezpecnejsie,
ale k takemuto rieseniu musite mat zoznam toho, co musi fungovat a teda co
musi byt povolene. Taky zoznam, z uvedenych informacii, nemate. Zbierat ho
budete najmenej 2 mesiace, podla toho, aki kreativni su ucitelia a uplny
nebude nikdy, ani po x rokoch, ked dieta opusti skolu a pojde inde.
A okrem toho sa poziadavky, ako aj schopnosti deti budu vyvyjat s ich
vekom. Ak budete prilis striktny, tak sa mozu napr. dohodnut so susedom a
chodit cez ich WiFi, kde nemate ziadny dosah.

Existuju riesenia, ktore robia packet inspection, ale cenovo to nie je na
doma, pouziva sa to v organizaciach, alebo  skolach.


Dodo








ut 16. 3. 2021 o 9:29 Jindrich Fucik <fulda na seznam.cz> napísal(a):

> Já bych tedy na tom stroji s linuxem spustil squid, tomu bych nastavil
> co se smí a co se nesmí. na routeru bych zakázal http/https ven
> generálně pro všechno mimo ten squid. Do DHCP přidal řádek pro
> automatickou proxy a pro jistotu nastavil proxy ručně.
> Pro mnohé overkill, ale já to tak dělal už několikrát, tak mi to přijde
> jako dobré.
> Ještě se to dá vylepšit o to, že se na AP udělají dvě SSID, jedna se
> složitým heslem pro tátu a druhá se známým heslem pro děti. Dětská má
> provozní dobu od 7:45 do 19:30.
>
> Dne 15.3.2021 v 21:45 sam.hw napsal(a):
> > Zdravim,
> >
> > potreboval bych poradit, jak nejjednoduseji (tedy nejrychleji - at to uz
> zitra funguje)
> > blokovat pristup na net, vyjma neklik povolenych stranek.
> > mam tu k dispozici zvlast stroj s linuxem, kde bych popripade mohl
> nahodit nejaky filtrovaci proxy,
> > jen na tplinku nemuzu najit, jak presmerovat veskere requesty (ty stroje
> bych dal na separe router),
> > at zas nezdruji sebe a zenu.
> >
> > synove jsou uz jak utrzeni z retezu, neustale v prubehu vyucovani hraji
> online hry.
> > nesoustredi se, neposloucahji vyuku, nepisou si poznamky.
> > uz nepomahaji zadne hrozby, restrikce. pocitace jim vypnout nemuzu,
> jelikoz skola ...
> > dnes jsem zkousel rodicovsky zamek na routru, pridal google, wiki a par
> stranek, co pouzivaji.
> > ale to jsem kazdych 10 minut resil padajici spojeni, nebo nenacetlo
> obsah stranky ve virtualni tride.
> > google class nejede, pokud jsem nepovolil youtube (a to tam netaha zadna
> videa!) ...
> > skoncilo to tak, ze jsem jim zas musel vsechno povolit (jinak bych zas
> ja neudelal nic do prace)
> >
> > budu vdecny za jakykoliv napad, za sdileni praktickych zkusenosti ...
> > bohuzel jsem v casovem pressu, to clovek se v problematice tak rychle
> nezorientuje (jak jsem zjistil - diky gugle a jeho provazanych domen)
> >
> > :)
> >
> > --------------------------
> >    Sam
> > --------------------------
> >
> > _______________________________________________
> > HW-list mailing list  -  sponsored by www.HW.cz
> > Hw-list na list.hw.cz
> > http://list.hw.cz/mailman/listinfo/hw-list
> >
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20210316/038ec293/attachment.html>

Další informace o konferenci Hw-list