Το Στέκι των Πληροφορικών

Ανοίγω αυτό το θέμα για να συζητήσουμε πως μπορεί να γίνει υποχρεωτική η χρήση του proxy από τους υπολογιστές του σχολείου μας.
Μέχρι στιγμής αυτά που έχω βρεί είναι: 

• Αν έχουμε πρόσβαση στο router μπορούμε να τον ρυθμίσουμε με τέτοιο τρόπο ώστε να δέχεται εξερχόμενες συνδέσεις μόνο απο την ip του proxy server. Έτσι όσοι χρησιμοποιούν proxy θα συνδέονται κανονικά, όσοι δεν χρησιμοποιούν θα μπλοκάρονται. Αν ο proxy server μας λειτουργεί και σαν ltsp server(συνήθως έτσι γίνεται) τότε με τους thin clients θα έχουμε πρόβλημα και θα πρέπει να τους μπλοκάρουμε με άλλο τρόπο. Επίσης πολύ συχνά δεν έχουμε πρόσβαση στο router.
  Αυτή η μέθοδος μας επιτρέπει να "μπλοκάρουμε" όλα τα μηχανήματα που θα μπουν στο δίκτυο (thin, fat, linux, windows, mac κτλ κτλ)
•     Χρήση transparent proxy
      Υποχρεώνουμε όλη την κίνηση του δικτύου να περνάει από συγκεκριμένο υπολογιστή. Εκεί εγκαθιστούμε τον proxy που "εν αγνοία" των clients φιλτράρει τα πακέτα. Είναι καλή λύση που δεν χρειάζεται καμία ρύθμιση στους clients. Έχει κάποια μειονεκτήματα: http://wiki.squid-cache.org/SquidFaq/InterceptionProxy (η πρώτη παράγραφος) που δεν είναι ιδιαίτερα σημαντικά αλλά πρέπει να τα λάβουμε υπόψη. Αν γίνει με 2 κάρτες δικτύου δεν μπορεί να παρακαμφθεί. Αν γίνει με 1 κάρτα δικτύου θα μπορούσε κάποιο μηχάνημα του δικτύου μας να βάλει άλλη IP και να συνδεθεί κατευθείαν στο router
• Βάζουμε τον proxy "κανονικά" και με τη δύναμη του διαχειριστή, υποχρεώνουμε τους clients να χρησιμοποιούν τον proxy. Σχετικά απλή λύση, σε thin, fat clients και σε linux workstations μπορεί να δουλέψει. Για windows clients δουλεύει αρκεί να μην έιναι διαχειριστές και όλοι οι χρήστες.

Έχει κάποιος/α εμπειρία στο θέμα αυτό;
Ποια η γνώμη σας;

εμείς χρησιμοποιούμε στο εργαστήριό μας εδώ και χρόνια πρόξυ, αξιοποιώντας έναν παμπάλαιο υπολογιστή στον οποίο έχουμε φορτώσει λινουξάκι. όλα λειτουργούν πολύ καλά!!

Αυτό που ήθελα να ρωτήσω είναι:
Πως αποτρέπεις τους μαθητές/ριες από το να παρακάμψουν τον πρόξυ;

δεν τους αποτρέπεις... απλά δεν μπορούν να τον παρακάμψουν, εκτός αν χρησιμοποιούν portable εφαρμογές.

Με portable εφαρμογή μπορεί να δηλώσει κάποιος δικό του proxy.
Αλλά αν του έχεις gateway = τον proxy server, δεν μπορεί να βγει στο Internet αν δεν είναι διαχειριστής. Οπότε χωρίς να το έχω πολυψάξει, αυτή η τακτική (του να πειράζουμε το default gateway των clients) μου ακούγεται καλύτερη...
Και μία κάρτα να έχει ο proxy server, μπορεί άνετα να έχει δύο IP, ώστε να παίζει σε transparent proxy mode ακόμα και εντός του ίδιου subnet.