Правильная настройка прокси для прокуратуры и нормальной работы школы. (Алгоритм создания универсальной защиты.)

[DoctorORZ]

Для начало немного из понравившегося источника о сути проблемы. Источник тут.
Как это реализовано у меня.
Первое и самое главное - денег у школы нет. Совсем нет. Поэтому старался использовать только бесплатные (но не свободные) решения.
Изначально построена сеть, выход в инет через роутер. Когда озадачили контентной фильтрацией, то взял машину, поставил на неё http://handycache.ru/ и нетполис. Но не вместо роутера, а рядом с ним. Почему? Потому что учителям и администрации ничего фильтровать не надо. Более того, иногда за одним и тем же ПК может сидеть и учитель и ученик (в разное время). Но хендикэш умеет фильтровать только по имени машины, а не по юзеру (во всяком случае именно моя версия - бесплатная для школ в свое время). Вот потому все административные машины ходят в обход прокси, а ученические - именно через него. Стоит на ученических ПК снести настройки в браузере - и черный вход свободен.
С удовольствием выслушаю ваши варианты защиты, но - описать их мало. Нужно, что бы я ещё смог в них разобраться. И потом оказывать мне (школам) методическую и техническую помощь. Но, сначала всё-таки статью прочитайте

[Denjs]

Как быстрый, простой-и-не-красивый вариант блокировки доступа к черному входу _для_вашего_случая_ предложу сделать следующее:
у вас Шлюз (defaultGateWay) на ученических машинах - какой? на ваш дефолтный роутер, подозреваю. так?

Перенастройте TCP/IP на ученических машинах и перенаправьте их на ваш фильтрующий прокси как на шлюз.
При сносе настроек прокси в браузере - машина будет стучаться в собственны gate и естественно, ничего не выйдет.
Далее своей логичсеской подсети - она ни с кем общаться не сможет (что и не требуется как я понимаю), а вот выйти наружу - только через прокси.
Но не красиво это, имхо, в рамках одной подсети делать разные сетевые настройки. Также - смотрите вашу организацию сети - один у вас сегмент или несколько и т.п. - могут быть тонкости. Или если у вас ip-шники по DHCP раздаются - не уверен что все DHCP-сервера позволяют раздавать разные настройки для шлюза разным машинам.

Как другой не-сильно-красивый вариант - можно настроить iptables на клиентских машинах так, что бы все запросы сгенерированные от имени ученика - блокировать если они направлены на адрес "правильного шлюза". кажется там есть возможность создания правила в зависимости от имени/группы пользователя.
Эффект аналогичный вышеописанному, но при логоне преподавателя - он получит доступ к шлюзу.

Можно менять IP при логоне, что бы при логоне учителя - машина оказывалась в подсети со свободным доступов в инет и "правильным" шлюзом (тоже не красивый имхо вариант).

Как праивльный вариант - надо решать вопрос о правильном прокси и/или реорганизации сети.

[Bizdelnick]

Всё решается единственным способом - настройкой прокси с авторизацией. (Squid? Может, спецы что другое посоветуют, я не очень в теме.) Всё остальное будет куда более муторно и ненадёжно. Для учеников можно прозрачный прокси сделать, а для администрации - с авторизацией.