В определенный момент перед каждым системным администратором встает вопрос фильтрации интернет контента. Особенно актуально этот вопрос стоит в учебных заведениях. Фильтрации по URL и IP в данном случае недостаточно, при таком подходе администратор будет "вечным догоняющим", блокируя нежелательный контент уже после его посещения пользователем. Поэтому наиболее эффективным решением будет установка контент-фильтра.
Контент-фильтр позволяет эффективно блокировать нежелательный контент на основе анализа содержимого веб страниц. Достоинством этого метода является высокая определения нежелательного контента на любых сайтах, возможность блокировать отдельный материал, не блокируя доступ к сайту в целом. Недостатки тоже довольно существенны. Это повышенная нагрузка на сервер, что в случае большого количества активных клиентов может потребовать значительного увеличения вычислительных возможностей сервера. Вторым недостатком можно назвать возможность ложных срабатываний контент фильтра. Так, например, могут быть заблокированы сайты медицинской тематики из-за того, что на странице встретится слово "секс". Этот фактор делает иногда довольно затруднительным составление правил для фильтрации.
На наш взгляд контент-фильтр можно рекомендовать к применению там, где необходимость надежно блокировать нежелательный контент имеет больший приоритет, чем возможная недоступность нужной информации. В первую очередь это учебные заведения, где задача фильтрации контента стоит весьма остро. Для коммерческих структур на первый план выходит требование к доступности информации, поэтому контент-фильтр будет для них не самым лучшим решением. В этом случае более приемлем способ разграничения доступа по URL и IP.
Одним из лучших решений для платформы Linux, и одним из лучших контент-фильтров вообще, является DansGuardian. Он бесплатен для некоммерческого применения, цена лицензий тоже невысока. Для установки контент-фильтра необходим настроенный роутер с прокси-сервером Squid. Мы использовали сервер, настройку которого описали в статье: Linux. Настройка роутера (NAT + DHCP + Squid), все дальнейшие рекомендации мы будем давать применительно к его настройкам и конфигурации.
Для установки DansGuardian выполним в терминале следующую команду:
Теперь откроем конфигурационный файл программы /etc/dansguardian/dansguardian.conf, первое что вы должны сделать, это закомментировать или удалить строку:
Следующий параметр reportinglevel задает уровень фильтрации, он может принимать значения:
Этот режим наиболее подходит для повседневного применения. Для тестирования правил удобно выставлять уровень фильтрации 1 или 2 (это потребует настройки на машине web-сервера). Следующий интересующий нас параметр, это язык HTML шаблона страницы запрета:
Теперь раскомментируем строку указывающую путь к файлу лога:
Укажем сетевой интерфейс и порт на котором DansGuardian будет принимать соединения от клиентов:
Остальные параметры менять не нужно. DansGuardian будет работать на порте 8081, в свою очередь Squid должен использовать порт 3128.
Если вы собираетесь использовать уровни фильтрации 1 и 2 укажите путь к скрипту вывода страницы запрета:
Запускаем DansGuardian:
Для проверки настроим браузер клиентского компьютера на использование прокси-сервера 10.0.0.1:8081
Попробуем посетить сайты с сомнительным контентом. Мы решили набрать в Яндексе поисковый запрос "терроризм" и походить по ссылкам. Фильтр пропустил статью на Википедии, но в то-же время заблокировал статью на стороннем сайте вполне корректного содержания, сыграло роль слишком частое употребление слова "терроризм" в тексте страницы.
Четко блокируется доступ к "веселым картинкам", даже по вполне невинным запросам, были заблокированы отдельные страницы форума на которых встречался нежелательный контент. Убедившись в работоспособности контент-фильтра перенастроим наш роутер так, чтобы весь HTTP трафик по умолчанию заворачивался на DansGuardian. Для этого открываем /etc/nat и следующим образом изменяем в нем последнюю строку:
Перезагружаем роутер:
Убираем прокси из настроек браузера и проверяем еще раз. Фильтрация работает, но расслабляться рано, фильтр можно легко обойти настроив браузер непосредственно на порт Squid'а, чтобы этого избежать запретим прямые соединения к Squid'у из локальной сети. Для этого в /etc/squid/squid.conf найдем и закомментируем следующую строку:
Перезапускаем Squid:
Теперь самое время перейти к тонкой настройке фильтрации. Как показали наши испытания, DansGuardian "из коробки" неплохо справляется с большей частью нежелательного контента, но есть и исключения. Существуют тематики где фильтр оказался практически неработоспособным. Например, нецензурная брань, мы без труда посетили "официальный сайт символического направления" и несколько аналогичных ресурсов, также без особого труда нашли инструкцию по изготовлению бомбы и рекомендации по выращиванию конопли. Понятно, что это настраивается, чем мы сейчас и займемся.
Все фильтры DansGuardian представляют собой простые текстовые файлы и расположены в /etc/dansguardian/lists, однако каждый раз править их через консоль сервера не очень удобно, гораздо удобнее было бы работать через web-интерфейс. И такая возможность есть, для этого потребуется установить Webmin, утилиту удаленного администрирования сервера, имеющую весьма широкие возможности. В репозиториях Ubuntu Webmin отсутствует, но его можно установить загрузив deb-пакет с сайта разработчиков, либо подключив их репозиторий. Второй путь кажется нам более оптимальным. Добавим в /etc/apt/sources.list строку:
Теперь установим GPG ключ, которым подписаны пакеты в репозитории Webmin, выполним следующие команды из под root'а (для этого запускаем mc с правами суперпользователя -
Теперь обновим список пакетов и приступим к установке:
Доступ через Webmin можно получить с любого ПК набрав в браузере следующий адрес: https://10.0.0.1:10000/
Готовых рекомендаций давать не будем, в каждом конкретном случае существуют свои требования к строгости фильтрации контента. В любом случае DansGuardian дает в руки администратора мощный инструмент, позволяющий гибко, с учетом различных факторов и их значимости фильтровать web-контент передаваемый пользователю.
Дополнительные материалы.
На наш взгляд контент-фильтр можно рекомендовать к применению там, где необходимость надежно блокировать нежелательный контент имеет больший приоритет, чем возможная недоступность нужной информации. В первую очередь это учебные заведения, где задача фильтрации контента стоит весьма остро. Для коммерческих структур на первый план выходит требование к доступности информации, поэтому контент-фильтр будет для них не самым лучшим решением. В этом случае более приемлем способ разграничения доступа по URL и IP.
Одним из лучших решений для платформы Linux, и одним из лучших контент-фильтров вообще, является DansGuardian. Он бесплатен для некоммерческого применения, цена лицензий тоже невысока. Для установки контент-фильтра необходим настроенный роутер с прокси-сервером Squid. Мы использовали сервер, настройку которого описали в статье: Linux. Настройка роутера (NAT + DHCP + Squid), все дальнейшие рекомендации мы будем давать применительно к его настройкам и конфигурации.
Для установки DansGuardian выполним в терминале следующую команду:
sudo apt-get install dansguardianТеперь откроем конфигурационный файл программы /etc/dansguardian/dansguardian.conf, первое что вы должны сделать, это закомментировать или удалить строку:
UNCONFIGURED - ...Следующий параметр reportinglevel задает уровень фильтрации, он может принимать значения:
- -1 - Скрытый режим, страницы не блокируются, но ведется лог,
- 0 - Выводится "Доступ заблокирован",
- 1 - Выводится страница без показа запрещенных фраз,
- 2 - Полный отчет
- 3 - Выводится HTML шаблон страницы запрета.
reportinglevel = 3Этот режим наиболее подходит для повседневного применения. Для тестирования правил удобно выставлять уровень фильтрации 1 или 2 (это потребует настройки на машине web-сервера). Следующий интересующий нас параметр, это язык HTML шаблона страницы запрета:
language = 'russian-koi8-r'Теперь раскомментируем строку указывающую путь к файлу лога:
loglocation = '/var/log/dansguardian/access.log'Укажем сетевой интерфейс и порт на котором DansGuardian будет принимать соединения от клиентов:
filterip = 10.0.0.1filterport = 8081Остальные параметры менять не нужно. DansGuardian будет работать на порте 8081, в свою очередь Squid должен использовать порт 3128.
Если вы собираетесь использовать уровни фильтрации 1 и 2 укажите путь к скрипту вывода страницы запрета:
accessdeniedaddress = 'http://10.0.0.1/cgi-bin/dans.pl'Запускаем DansGuardian:
sudo /etc/init.d/dansguardian startДля проверки настроим браузер клиентского компьютера на использование прокси-сервера 10.0.0.1:8081
Попробуем посетить сайты с сомнительным контентом. Мы решили набрать в Яндексе поисковый запрос "терроризм" и походить по ссылкам. Фильтр пропустил статью на Википедии, но в то-же время заблокировал статью на стороннем сайте вполне корректного содержания, сыграло роль слишком частое употребление слова "терроризм" в тексте страницы.Четко блокируется доступ к "веселым картинкам", даже по вполне невинным запросам, были заблокированы отдельные страницы форума на которых встречался нежелательный контент. Убедившись в работоспособности контент-фильтра перенастроим наш роутер так, чтобы весь HTTP трафик по умолчанию заворачивался на DansGuardian. Для этого открываем /etc/nat и следующим образом изменяем в нем последнюю строку:# Заворачиваем http на проксиiptables -t nat -A PREROUTING -i
eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to
10.0.0.1:8081Перезагружаем роутер:
sudo rebootУбираем прокси из настроек браузера и проверяем еще раз. Фильтрация работает, но расслабляться рано, фильтр можно легко обойти настроив браузер непосредственно на порт Squid'а, чтобы этого избежать запретим прямые соединения к Squid'у из локальной сети. Для этого в /etc/squid/squid.conf найдем и закомментируем следующую строку:
#http_access allow localnetПерезапускаем Squid:
sudo /etc/init.d/squid restartТеперь самое время перейти к тонкой настройке фильтрации. Как показали наши испытания, DansGuardian "из коробки" неплохо справляется с большей частью нежелательного контента, но есть и исключения. Существуют тематики где фильтр оказался практически неработоспособным. Например, нецензурная брань, мы без труда посетили "официальный сайт символического направления" и несколько аналогичных ресурсов, также без особого труда нашли инструкцию по изготовлению бомбы и рекомендации по выращиванию конопли. Понятно, что это настраивается, чем мы сейчас и займемся.
Все фильтры DansGuardian представляют собой простые текстовые файлы и расположены в /etc/dansguardian/lists, однако каждый раз править их через консоль сервера не очень удобно, гораздо удобнее было бы работать через web-интерфейс. И такая возможность есть, для этого потребуется установить Webmin, утилиту удаленного администрирования сервера, имеющую весьма широкие возможности. В репозиториях Ubuntu Webmin отсутствует, но его можно установить загрузив deb-пакет с сайта разработчиков, либо подключив их репозиторий. Второй путь кажется нам более оптимальным. Добавим в /etc/apt/sources.list строку:
deb http://download.webmin.com/download/repository sarge contribТеперь установим GPG ключ, которым подписаны пакеты в репозитории Webmin, выполним следующие команды из под root'а (для этого запускаем mc с правами суперпользователя -
sudo mc - и сворачиваем его Ctrl+O):cd /rootwget http://www.webmin.com/jcameron-key.ascapt-key add jcameron-key.ascТеперь обновим список пакетов и приступим к установке:
apt-get updateapt-get install webminДоступ через Webmin можно получить с любого ПК набрав в браузере следующий адрес: https://10.0.0.1:10000/
В настройках Webmin - Webmin Configuration переключаем язык интерфейса на русский и, в целях безопасности, через Управление доступом по IP разрешаем доступ только с машины администратора. Также на закладке Порт и адрес можно ограничить доступ к Webmin только через внутренний интерфейс.
Для управления DansGuardian нам нужен соответствующий модуль для Webmin, скачать его можно с сайта разработчиков, на момент написания статьи актуальной была версия 0.7.0beta1. Установим его через закладку Модули Webmin, теперь он будет доступен в разделе Службы.
В первую очередь правильно сконфигурируем модуль, настройки доступны по ссылке Настройка модуля слева вверху. Нам потребуется изменить настройку Full path to DG binary на /usr/sbin/dansguardian.
Из всего многообразия настроек нас интересуют в основном две: настройка доступа к интернет и настройка списков. Настройка доступа производится через закладку View/Edit System-Wide Lists, она содержит черный список IP адресов и список исключений. Первый содержит перечень адресов которым запрещен веб-доступ, для второго списка фильтрация не производится. Есть смысл включить в него машины преподавателей или иных сотрудников, которым требуется неограниченный доступ.
Закладка View/Edit A Filter Group's Lists содержит разрешающие и запрещающие списки фраз, заголовков страниц, URL, расширений файлов и т.п. За что отвечает тот или иной список вполне понятно из названия, каждый список содержит описание и примеры записей, так что разобраться и добавить свои правила не представляет особого труда.
Но не обошлось и без ложки дегтя, а именно с составлением списка русскоязычных фраз. Основная проблема здесь кириллические кодировки, добавленная в "неправильной" кодировке фраза просто не сработает. Методом проб и ошибок мы нашли наиболее оптимальный способ: через оснастку Прочее - Менеджер файлов скачиваем на ПК любой список с русскоязычными фразами, например /etc/dansguardian/lists/phraselists/pornography/weighted_russian и открыв его любым текстовым редактором (мы рекомендуем AkelPad) добавляем необходимые фразы, строки имеют формат <абв><40>, где цифра указывает на "степень нетерпимости", чем она больше, тем меньшее количество раз слово должно встретиться на странице для ее блокировки. После чего закачиваем файл обратно на сервер. После любых изменений в фильтрах не забываем перезагрузить их, нажав на ссылку Reload DG Groups в правом верхнем углу.
Для управления DansGuardian нам нужен соответствующий модуль для Webmin, скачать его можно с сайта разработчиков, на момент написания статьи актуальной была версия 0.7.0beta1. Установим его через закладку Модули Webmin, теперь он будет доступен в разделе Службы.
В первую очередь правильно сконфигурируем модуль, настройки доступны по ссылке Настройка модуля слева вверху. Нам потребуется изменить настройку Full path to DG binary на /usr/sbin/dansguardian.Из всего многообразия настроек нас интересуют в основном две: настройка доступа к интернет и настройка списков. Настройка доступа производится через закладку View/Edit System-Wide Lists, она содержит черный список IP адресов и список исключений. Первый содержит перечень адресов которым запрещен веб-доступ, для второго списка фильтрация не производится. Есть смысл включить в него машины преподавателей или иных сотрудников, которым требуется неограниченный доступ.
Закладка View/Edit A Filter Group's Lists содержит разрешающие и запрещающие списки фраз, заголовков страниц, URL, расширений файлов и т.п. За что отвечает тот или иной список вполне понятно из названия, каждый список содержит описание и примеры записей, так что разобраться и добавить свои правила не представляет особого труда.
Но не обошлось и без ложки дегтя, а именно с составлением списка русскоязычных фраз. Основная проблема здесь кириллические кодировки, добавленная в "неправильной" кодировке фраза просто не сработает. Методом проб и ошибок мы нашли наиболее оптимальный способ: через оснастку Прочее - Менеджер файлов скачиваем на ПК любой список с русскоязычными фразами, например /etc/dansguardian/lists/phraselists/pornography/weighted_russian и открыв его любым текстовым редактором (мы рекомендуем AkelPad) добавляем необходимые фразы, строки имеют формат <абв><40>, где цифра указывает на "степень нетерпимости", чем она больше, тем меньшее количество раз слово должно встретиться на странице для ее блокировки. После чего закачиваем файл обратно на сервер. После любых изменений в фильтрах не забываем перезагрузить их, нажав на ссылку Reload DG Groups в правом верхнем углу.
Готовых рекомендаций давать не будем, в каждом конкретном случае существуют свои требования к строгости фильтрации контента. В любом случае DansGuardian дает в руки администратора мощный инструмент, позволяющий гибко, с учетом различных факторов и их значимости фильтровать web-контент передаваемый пользователю.
Дополнительные материалы.
о как! вот спасибки! так значит надо сквид заделать :)
кстате я тут с virtualbox и wine сегодня разобрался :) получилось забавно однако :))))) подключил репозитарий вина и заделал новое вино и всё стало красиво :)
вот вопрос у меня на 9.10 некая фигня типа как на телефона Т9 тоесть когда я переключаюсь оно подчёркивает и не вводит дальше... чё это такое за гадость?
>когда я переключаюсь оно подчёркивает и не вводит дальше... чё это такое за гадость?
Не совсем понял, поподробнее объясните...
есть вопросы. очень нужна подмога :(
как можно связаться с вами?
моё мыло ad0s1a@mail.ru
Огромное спасибо за инструкцию!!!
Практически всё получилось, но вот результат не обрадовал...
Два нюанса выплыли ещё до "тонких" настроек.
1. На машине с W'XP Prof (лицензия, IE8) интернет вообще перестал грузиться :( Может "не хочет" он работать через 8081, куда мы его завернули? Фиг знает, но факт остается фактом.
2. С "линуксоидных" машин инет грузится, все Ваши картинки подтверждаются, но вот попытка загрузить элементарный Rambler.ru привела к ... "Advert blocked"... Что это такое вообще не пойму...
P.S. Экспериментировал так - поставил два системника рядом, на одном (NAT+DHSP+Squid), на другом (NAT+DHSP+Squid+DansGuardian+Webmin). Оба подключил к Интернету (каждому свои IP), на клиентских машинах - автоматическое присвоение IP от DHCP. Ну, а дальше просто "перебрасывал" кабель из одной "выходной" сетевой в "выходную" сетевую другого блока. Вот как-то так...
Ну оччччень хочется втопырить DansGuardian... :)))
1. Проверьте настройки брандмауэра, можете попробовать перевесить DansGuardian на 8080.
2. Скорее всего это реакция на рекламу, подобным образом при тестировании у нас иногда блокировались крупные новостные сайты. В этом случае проще всего добавить такой сайт в список разрешенных.
1. Перевёл DansGuardian на 8080 - заработало.
2. В файле /etc/dansguardian/list/blacklists/ads/domains нашёл и удалил строку "rambler.ru". Теперь работает.
Спасибо за ответ!
Для себя делаю вывод: сделать можно много чего, главное убедить себя в том, что руки растут оттуда, откуда им и следует расти :)
Теперь попробуем повозиться с "тонкими" настройками :)
Подскажите после установки Webmin в вкладках по управлению DansGuardia , не все вкладки активные , нужные не активны , что сделать ?
Смотрите опцию Full path to DG binary в настройках. По умолчанию там: /sbin/dansguardian, тогда как в Ubuntu бинарник реально находится в /usr/sbin/dansguardian.
Спасибо с этим разобрался .
Подскажите как смотреть список открытых сайтов и с каких машин данный сайт открывается ?
И как смотреть список сайтов на который заходили с определенного ПК ?
Да еще хочу спросить как перезагружать DansGuardian из Webmin вкладка Загрузка и завершение работы системы ставил галочку около dansguardian и далее кнопку restart но так не перезагружается . перезагружаю из камандной сторки /etc/init.d/dansguardian stop - start что крайне не удобно .
>Да еще хочу спросить как перезагружать DansGuardian из Webmin
Правый верхний угол на страничке DG - Stop & Restart DG
>И как смотреть список сайтов
Через анализ логов DG
при попытке перезагрузить выдается следующие сообщение
Restarting DansGuardian: * Restarting DansGuardian:
...fail!
DansGuardian 2.10.1.1
Built with: '--mandir=/usr/share/man/' '--enable-clamav=yes' '--enable-clamd=yes' '--with-proxyuser=dansguardian' '--with-proxygroup=dansguardian' '--prefix=/usr' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--enable-icap=yes' '--enable-commandline=yes' '--enable-trickledm=yes' '--enable-email=yes' '--enable-ntlm=yes' 'CXX=g++' 'CXXFLAGS=-g -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS=' 'CC=cc' 'CFLAGS=-g -O2'
если нажимать стоп - потом стар то все перезагружается ( правда сначала переправил пути
/etc/init.d/dansguardian start )
Здравствуйте.
уже очень долго бьюсь над проблемой, с DansGuardian неДОгружаются некоторые сайты напимер rambler.ru (удалил его из блеклист и добавил в ексепшен) он загружается но еще минуты 2 показывает "ожидание ответа..." модно на это закрыть глаза но , когда ищеш чтото в гоогле то многие странички также зависают на половине , или загружаются и ждут чегото , пробовал отключить все блек листы и всю базу , эффекта нет , пологаю что-то в настройках dansguardian.conf , устанивливал с нуля на разных компах на работе и дома эффект тотже , страничка открывается и потом долго думает , или долго думает а потом открывается, помогите пожалуйста , неужели не у кого нет такой проблемы ??
>rehash
>killall -9 dansguardian
>dansguardian
методом научного тыка выяснил что держало rambler.ru
dansguardianf1 >> blockdownloads = on
только теперь не грузятся "формы выбора на support.asus.com"
ужас
танци с бубном подолжаются asus.com заработал
добавил в exeptionextensionlist >> .js .js:0
А можно ли настроить DG так, чтобы ещё на режиме поиска сайтов по запросу происходила фильтрация.
Например, ввожу я в поисковик одно из самых коротких русских слов из трёх букв и получаю кучу существующих сайтов... :( Дальше то они конечно не открываются (я ещё и DNS-ы прописал в resolv.conf, принадлежащие конторе NetPolice - 81.176.72.82, 81.176.72.83), но первое впечатление конечно портится... Вот бы сразу всей ентой гадости отсечь хвост по самую шею :)))
Александр - Стоп-старт, через рестарт почему то не работает.
jon - по умолчанию DG рубит загрузку практически всего, поэтому тут два варианта - сайт или машину в белый лист, либо долго и мучительно настраивайте фильтры. А так у вас типичная клиническая картина, скрипт сайта ждет подгрузки скрипта, счетчика и т.п. который заблокирован - как минимум "вечно" крутящийся индикатор загрузки, иногда недогрузившиеся страницы. Как вариант включите замену заблокированных элементов заглушкой gif 1*1, для этого укажите:
usecustombannedimage = 1
Ablamer - к сожалению нет, плюс не всегда фильтруется кэш поисковика. Здесь, на мой взгляд нужно копать в сторону предоставляемых поисковиком функций безопасного поиска, во всяком случае DG позволяет принудительно активировать такую функцию для Google.
> DG позволяет принудительно активировать такую функцию для Google.
А можно чуть по-подробнее :))) Проще приучать пользоваться "приручённым" Google, чем наблюдать нелицеприятную картину.
В каком "месте" DG это делается?
ммда, у меня офис на 100 машин, всем все надо , но начальство приказало порезать "мешающеи работе сайты", всё больше склоняюсь к мысли что DG мне не подходит, думаю ставить squidguard и переодически снимать статистику например LightSquid тех "плохих" сайтов на которых лазают мои юзеры, добавляя ее в бан
Вам проще, ищете готовые списки (например на сайте Смарт-софта есть) и организуете URL фильтрацию, потом смотрите кто еще куда лазит и добавляете. DG больше подходит для школ и т.п. где лучше перебдеть, чем недобдеть.
Я поставил все это дело связал. начинаю выходить с компа который в сети, соответственно доступ закрыт. захожу в exeptionsiplist вроде бы прописываю каким ip можно выходить... после реестарта выход открыт...
Подскажите как сопоставить пользователей в фильтре ... может их надо создавать??? или как.
А то у меня ничего не фильтрует
Не совсем понятно, что вы имеете в виду. Если авторизация на роутере не производится (а в нашем примере это так), то фильтровать по пользователям вы не сможете, только по IP. Также непонятно насчет вашего примера, после рестарта открылся выход всем машинам, а не только прописанной?
Спасибо все работает.
Но возникла следующая проблема.
Если использовать правило: iptables -t nat -A PREROUTING -i eth0 -d ! 10.10.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.10.10.2:8081 коннект фильтрует,но перестает писать IP адреса клиентов в access.log squid(везде 10.10.10.2).
Если правило : iptables -t nat -A PREROUTING -i eth0 -d ! 10.10.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.10.10.1:3128
IР клиентов пишет, коннект не фильтрует.
etho - интерфейс локальной сети.
Как решить?
C уважением Владимир
В данном случае никак. Давайте разберемся, почему так происходит.
Первое правило направляет все запросы на DG, который в свою очередь передает запросы Squid'у. Соответственно в логах Squid'а будет фигурировать единственный клиент - DG.
Во втором случае вы направляете все запросы непосредственно на порт Squid'а, минуя DG, в таком случае фильтрация, по вполне понятным причинам, проводиться не будет.
Как быть? В данном случае более логичным будет использовать логи DG, которые, кстати, более детальны.
Добрый день . Ситуация следующая :
Есть ZyWALL 70W EE
Высокопроизводительный межсетевой экран с двумя WAN-интерфейсами и демилитаризованной зоной . Настроен на работу с основным и резервным каналом , раздает пользователям DNCP , прописывает себя в качестве шлюза и в качестве DNS . на каждую конкретную машину по MAC выдает определенный IP . для определенны групп адресов созданы свои правила доступа в интернет с определенными ограничениями по контент фильтрации .
Сейчас потребовалось контролировать трафик по пользователям , вот думаю если в настройках браузера прописывать прокси сервер , и уже с него формировать отчеты , такое возможно и как это реализовать ?
Можно поставить между ZyWALL 70W EE и сетью роутер с прозрачным прокси, если еще поднять на нем DHCP, то для пользователей вообще все пройдет незаметно. Прописывать прокси вручную мы не советуем, во первых трудоемко, во вторых - легко обходится пользователем.
Отличная статья!
Всё получилось (хоть с линуксом всего месяц вожусь)
Хотелось бы ёще в продолжении настроек этого сервера увидеть статью о том, как ко всему этому привязать антивирь ClamAV. Чтоб кэш сквида сканировал и http запросы.
Спасибо.
Сори, возник вопрос.
если ставлю прокси на клиенте руками то фильтр пашет.
если убираю то фильтр не пашет и пропускает всё
ткните носом в каком направлении рыть :(
в чём кроется проблема?
P.s.: уже всё облазил :(((((
наружу смотрит карта eth1 - 172.30.2.254
внутрь смотрит крата eth0 - 172.30.4.254
Вот, что внутри файла: /etc/nat
#!/bin/sh
# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward
# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
# Включаем NAT
iptables -t nat -A POSTROUTING -o eth1 -s 172.30.4.0/24 -j MASQUERADE
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth1 -o eth1 -j REJECT
# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 -d 172.30.4.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 172.30.4.254:8081
>Сори, возник вопрос.
>если ставлю прокси на клиенте руками то фильтр пашет.
>если убираю то фильтр не пашет и пропускает всё
Сервер перезагружали? Перезагрузите, все должно заработать.
Также в последней строке ошибка.
PREROUTING -i eth1 -d 172.30.4.0/24 пропущен ! перед или после -d (если старый iptables). Должно быть PREROUTING -i eth1 ! -d 172.30.4.0/24
Отлично, настройка по вашим инструкциям позволила сделать почти идеальный роутер! Ну мой взгляд не хватает лишь нескольких заключительных штрихов:
1. почта, что-нибудь бесплатное и простое в установке и настройке! На данный момент используется kerio, но он не бесплатный, и не такой уж и простой.
2. vpn-сервер, для того что бы можно было удаленно заходить в сеть, что на мой взгляд всеж безопаснее чем просто проброс портов!
3. ну и может быть простые примеры ограничений по объему и по времени для клиентов, которые ходят через роутер в интернет, пусть даже и без авторизации, пусть даже по IP. В более или менее нормальных организациях у простых пользователей все равно нет прав на смену IP на рабочих станциях, так что для начала этого вполне хватит.
Здравствуйте!
Хотелось бы статейку о том, как установить и настроить SquidGuard с подробностями.
Заранее спасибо.
С уважением, Роман.
Добрый день! Работаю в школе администратором. По вашим статьям настроил роутер, но есть большая проблема. Под ubuntu 10.04 dansguardian не работает с utf-8 кодировкой. Поэтому пролазят все сайты с кодировкой в utf. Вариант с созданием 3 файлов в разной кодировке слов utf windows-1251 koi тоже не заработал, полностью игнорируется. Может кто-то подскажет выход из положения?
Вы файлы как создавали? Создайте лучше один, прямо в ubuntu (будет utf8) затем конвертируйте командой:
iconv -f UTF-8 -t WINDOWS-1251 name1 > name2
И не забудьте подключить эти файлы через /etc/dansguardian/weightedphraselist
Почему не блокируется сайт http://www.goodspice.ru/?
Пробовал все варианты . НЕ БЛОКИРУЕТСЯ! Находка для прокуратуры! Так и не заработал фильтр в кодировке utf-8. Наверное что-то нужно настроить в конфигурационном файле dansguardian.
ДОбрый день! Подскажите, а может dansguardian перенаправлять запросы от всех поисковых систем (google.com, mail.ru) на безопасную search.icensor.ru ? C уважением, Кабанов Андрей.
По первому вопросу читайте здесь: http://interface31.ru/tech_it/2010/10/dansguardian-slozhnosti-filtracii-russkoyazychnogo-kontenta.html
По второму. Проще заблокировать другие поисковики, оставив нужный поиском по умолчанию, либо редиректить на него все обращения к другим поисковикам.
Вопрос к Уварову А.С.
Всё получилось, кроме последнего. Не удается блокировать обход фильтра путём настройки браузера клиента непосредственно на порт Squid'а. Закомментировал в /etc/squid/squid.conf строку:
#http_access allow localnet
Перезапускал Squid:
sudo /etc/init.d/squid restart,
перегружал сервер. Ничего не помогает.
Подскажите, пожалуйста в чём может быть дело?
Проверяйте конфиг сквида. Данная строка разрешает доступ клиентам определенным как "локальная сеть" опцией acl localnet src.
Весь день лазил по конфигу сквида. Ничего не нашёл. Есть там, правда строки, вписанные ранее sams-ом. Может стоит их закомментировать?
Залейте конфиг куда нибудь на файлообменник, я посмотрю.
Могу только выслать на e-mail, если сообщите свой адрес.
Мой e-mail: ***@mail.ru.
Добрый день!
Раскомментировал в urlregexplist поиск по GOOGLE, но в безопасный режим не переключился. Я так понимаю, что в поиске по изображениям должно автоматически добавиться safe=vss? Может еще где-то надо что-то включить?
С уважением, Андрей Кабанов.
Сразу не скажу, сейчас времени нет, на выходных посмотрю.
Доброго времени суток а можно скриншот либо описание добавления IP адресов в данные списки
Banned IP list
Exception IP list
пробовал добовлять в Exception(фильтр на запрет срабатывает)
Респект за статью. Давно искал подобный инструмент.
Настроил браузер клиентского компьютера на использование прокси-сервера 10.0.0.1:8081.
Если в /etc/squid3/squid.conf
http_port 3128 transparent
http_access allow all
Через прокси 8081 работает.
Если любые запреты в /etc/squid3/squid.conf
http_port 3128 transparent
acl comp1 arp 01:02:03:04:05:07
acl comp2 arp 01:02:03:04:05:08
http_access allow comp1
http_access allow comp2
http_access deny all
Через прокси 8081 не работает.
Ругается, что squid запретил.
И правильно делает, что не пускает. В схеме с DG, все запросы от клиентских ПК принимает DG, squid принимает запросы от DG, через localhost. Все запреты в squid.conf в таком случае бессмысленны.