Методические рекомендации по настройке контент-фильтрации на прокси сервере для различных операционных систем, основанных на ядре Linux



Pdf просмотр
страница1/3
Дата24.11.2016
Размер3.9 Mb.
Просмотров779
Скачиваний0
ТипМетодические рекомендации
  1   2   3

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ
Методические рекомендации по настройке контент-фильтрации на прокси-
сервере для различных операционных систем, основанных на ядре Linux
(ALT Linux, Ubuntu, OpenSuse)
Коновалов Д.В.
Булгаков Е.В.
2011 г.

Перечень модулей
Введение
4
1.
Способы организации контент-фильтрации .
5 1.1.
Настройка контент-фильтрации локально на каждом персональном компьютере.
5 1.2.
Организация контент-фильтрации в сети с контролируемым доступом в сеть Интернет.
9
2.
Организация локальной сети школы.
12 2.1.
Организация локальной сети с контролируемым доступом в сеть интерне, на основе ALT Linux.
12 2.1.1. Организация локальной сети с контролируемым доступом в сеть интерне, на основе ALT Linux. Настройки на локальной машине.
15 2.2.
Организация локальной сети с контролируемым доступом в сеть
Интернет, на основе Ubuntu.
18 2.2.1. Организация локальной сети с контролируемым доступом в сеть
Интернет, на основе Ubuntu. Настройки на локальной машине.
25 2.3.
Организация локальной сети с контролируемым доступом в сеть интернет, на основе OpenSuse.
28 2.3.1. Организация локальной сети с контролируемым доступом в сеть
Интернет, на основе OpenSuse. Настройки на локальной машине.
35
3.
Установка и настройка программного обеспечения для организации
контент-фильтрации.
38 3.1.1. Установка и настройка прокси-сервера squid в ALT Linux Школьный сервер 5.0 38 3.1.2. Установка и настройка прокси-сервера squid в Ubuntu.
41 3.1.3. Установка и настройка прокси-сервера squid OpenSuse.
44 3.1.4. Настройки на локальной машине на примере браузера Mozilla Firefox.
49 3.2.
Установка и настройка контент-фильтра на основе NetPolice в ALT Linux
Школьный сервер 5.0 50 3.3.
Установка и настройка контент-фильтра на основе DansGuardian.
54 3.3.1 Установка и настройка контент-фильтра на основе DansGuardian в ALT
Linux Школьный сервер 5.0 54 3.3.2. Установка и настройка контент-фильтра на основе DansGuardian в Ubuntu. 56 3.4.
Установка и настройка контент-фильтра на основе Redirector (Rejik).
59 3.4.1. Установка и настройка контент-фильтра на основе Redirector (Rejik) в
ALT Linux Школьный сервер 5.0 59 3.4.2. Установка и настройка контент-фильтра на основе Redirector (Rejik) в
OpenSuse.
61
4.
Организация электронного журнала работы пользователей в сети Интернет
на основе SARG и Light Squid.
63 2

4.1.
Организация электронного журнала работы пользователей в сети
Интернет на основе SARG в ALT Linux.
63 4.2.
Организация электронного журнала работы пользователей в сети
Интернет на основе SARG в Ubuntu.
66 4.3.
Организация электронного журнала работы пользователей в сети
Интернет на основе Light Squid в OpenSuse.
68
Заключение.
72
Литература.
73 3

Введение.
В свете предоставления образовательным учреждениям высокоскоростного доступа к сети Интернет и участившихся проверок надзорных органов актуальным является организация контролируемого доступа учащихся и сотрудников школы к ресурсам всемирной паутины, а также фильтрации нежелательного контента.
С одной стороны - необходимо предоставить учащимся и сотрудникам школы доступ к ресурсам всемирной паутины, с другой стороны нам нужны только те ресурсы, которые отвечают образовательным задачам учебного заведения. Решений данной проблемы может быть несколько:
1. Заключить договор с провайдером на предоставление услуги контентной фильтрации - такой вариант не всегда доступен, так как не все провайдеры предоставляют такую услугу, да и где гарантии того, что фильтрация будет отвечать требованиям школы. В большинстве случаев образовательные учреждения не могут влиять на списки по которым ведется фильтрация, что не совсем удобно для работы.
2. Самостоятельно организовать контент-фильтрацию В этом случае ответственность целиком ложиться на плечи образовательного учреждения, но появляется возможность самостоятельно контролировать списки разрешенных и запрещенных ресурсов.
Рассмотрим способы организации контент-фильтрации более подробно на примере трех наиболее популярных в образовательных учреждениях Алтайского края дистрибутивах, основанных на ядре Linux: ALT Linux, Ubuntu, OpenSuse.
4

1. Способы организации контент-фильтрации.
Рассмотрим какие же способы организации контент-фильтрации доступны образовательным учреждениям:
1. Локально на каждом персональном компьютере.
2. Программа-фильтр устанавливается на компьютере, контролирующему доступ в сеть
Интернет всех персональных компьютеров школы, входящих в локальную сеть образовательного учреждения.
Первый способ, несомненно, очень трудоемок и усложняет процесс администрирования программы контент-фильтрации, так как контролировать список доступа к ресурсам необходимо на каждом ПК. В большинстве случаев такую фильтрацию может отключить пользователь самостоятельно, владеющий минимальными навыками работы с ПК.
(Рис.1. Схема локальной сети образовательного учреждения без использования контролируемого доступа в сеть Интернет)
1.1. Настройка контент-фильтрации локально на каждом персональном
компьютере
Рассмотрим более подробно настройку контент-фильтрации на локальном компьютере школьной сети. В качестве фильтра остановимся на NetPolice DNS, как наиболее доступном и простом в установке. В данном случае важно, чтобы настройки сети компьютер получал автоматически (DHCP).
1. Настройка в Ubuntu:

Воспользуемся апплетом, расположенном на верхней панели рабочего стола.
(Или Система — Параметры — Сетевые соединения). Щелчком правой кнопки мыши вызываем меню. Выбираем пункт «Изменить»:
5

(Рис.2. Апплет для настройки сети в Ubuntu)

Выбираем сетевой интерфейс и нажимаем кнопку «Изменить»:
(Рис.3. Изменение настроек сети в Ubuntu)

Выбираем вкладку «Параметры IPv4» и в разделе «Профиль» -
«Автоматически (DHCP, только адрес)» и указываем в строке «Серверы DNS» -
81.176.72.82:
6
Апплет для работы с сетью

(Рис.4. Подключение контент-фильтра NetPolice DNS на локальной машине в
Ubuntu)

Сохраняем настройки и перезагружаем персональный компьютер, чтобы изменения вступили в силу.

Поверяем работу фильтрации при помощи браузера:
(Рис.5. Проверка работы контент-фильтра NetPolice DNS в Ubuntu)
7

2. Настройка подключения контент-фильтра NetPolice DNS выглядит аналогично:
(Рис.6. Подключение контент-фильтра NetPolice DNS на локальной машине в ALT Linux)
Отличительной особенностью дистрибутивов Linux является то, что из любого дистрибутива можно сделать серверный и наоборот. Поэтому все настройки контент- фильтрации для серверного дистрибутива применимы и к локальным компьютерам школьной сети. Единственным отличием версии для Desktop в нашем случае — это наличие одного сетевого интерфейса и в настройках браузера, вместо ip-адреса сервера, нужно будет указать
127.0.0.1 или localhost:
8

(Рис.7. Пример настройки браузера Mozilla Firefox на локальном компьютере)
Надстройку контент-фильтрации на сервере мы рассмотрим ниже.
1.2. Организация контент-фильтрации в сети с контролируемым доступом в сеть
Интернет

Второй способ требует от системного администратора более высокого уровня квалификации, так как он подразумевает администрирование школьного сервера. Но при таком способе организации контроля доступа к ресурсам сети Интернет ни одна машина не может миновать программу-фильтр, установленную на сервере. Также контролировать список доступных или запрещенных ресурсов нужно в единственном числе.
9

(Рис.8. Схема локальной сети образовательного учреждения с использованием контролируемого доступа в сеть Интернет)
Рассмотрим второй способ более подробно. Такой способ позволяет обеспечить доступ в сеть Интернет всех сотрудников и учащихся образовательного учреждения через один общий канал.
В соответствии с требованиями надзорных органов руководители многих образовательных учреждений пришли к выводу о том, что необходима:
1. организация разграничения прав доступа к ресурсам сети Интернет для различных групп пользователей локальной сети образовательного учреждения;
2. фильтрация трафика на основе «черных» и «белых» списков;
3. ведение электронного журнала работы пользователей в сети Интернет, доступного через веб-интерфейс, создаваемого автоматически на основе отчета о работе прокси- сервера.
"Белые списки" - подразумевают перечень ресурсов, доступ к которым разрешен.
Несомненно, что "Белые списки" для образовательного учреждения должны содержать только те ресурсы, которые отвечают образовательным задачам школы.
"Черные списки" - подразумевают перечень ресурсов доступ к которым запрещен.
Какое-же программное обеспечение выбрать для организации контролируемого доступа в сеть интернет? Интернет изобилует предложениями о программах, для фильтрации трафика, но в большинстве своем это коммерческие решения, требующие покупки дорогостоящих лицензий. Также такое ПО предполагает установку на ОС Windows, что в свете перехода образовательных учреждений на СПО не совсем актуально.
Но зачем же покупать то, что и так уже есть у школы? А именно:
1. Дистрибутивы Linux — распространяются свободно и их можно скачать с сайта производителя.
2. Прокси-сервер squid (предустановлен в большинстве серверных дистрибутивов).
10

3. Программы для фильтрации трафика: NetPolice, Redirector, DansGuardian. Эти программы способны обеспечить различный уровень доступа пользователей, фильтрацию контента, а также позволяют организовать фильтрацию на основе "черных" и "белых списков".
4. Генератор отчетов работы прокси-сервера SARG (Squid Analysis Report Generator) - позволяют создавать электронный журнал работы пользователей в сети Интернет автоматически.
Таким образом образовательные учреждения имеют полный набор средств и инструментов, для организации контент-фильтрации на основе свободно распространяемого программного обеспечения.
11

2. Организация локальной сети школы.
После того как мы определились с программным обеспечением для организации контент-фильтрации и принципом организации локальной сети, перейдем к более детальному рассмотрению организации школьной образовательной сети с контролируемым доступом в сеть Интернет.
Одной из основных проблем на данном этапе является конфигурирование самого сервера, выбор параметров. На самом деле, для обслуживания сравнительно небольшой сети
(10-15 компьютеров), вполне подойдет обыкновенный школьный ПК с параметрами: процессор от 233 МГц, от 128 Мб ОЗУ.
Единственное условие для нашей конфигурации - это наличие 2-х сетевых интерфейсов. Первый предназначен для установления соединения с сетью Интернет, второй - для работы с локальной сетью школы.
(Рис. 9. Конфигурирование школьного сервера)
Соответственно первому сетевому интерфейсу присваиваются настройки, полученные образовательным учреждением от провайдера. Второму — параметры локальной сети образовательного учреждения. При такой организации между локальной сетью и сетью
Интернет будет стоять система, контролирующая весь входящий и исходящий трафик.
Сетевые интерфейсы настраиваются при установке дистрибутива (рекомендуемый вариант). Либо после установки, что не намного сложнее. Однако для каждого из вышеперечисленных дистрибутивов наблюдается своя специфика.
2.1. Организация локальной сети с контролируемым доступом в сеть интерне, на основе
ALT Linux.
Как уже было отмечено выше сетевые интерфейсы. При работе с ALT Linux
Школьный сервер 5.0 настраиваются при установке дистрибутива (рекомендуемый вариант).
Либо после установки, например при помощи центра управления системой, доступного через веб-интерфейс (https://ip сервера:8080).
Определимся с IP-адресами. В нашем случае настройки для выхода в сеть интернет, полученные от провайдера: IP-адрес для сервера 192.168.0.4, DNS-сервер 80.247.96.65.
12

Диапазон IP-адресов для компьютеров локальной сети школы 192.168.56.0/24.
(Рис. 10. Настройка внешнего сетевого интерфейса для работы в сети Интернет)
(Рис.11. Настройка внутреннего сетевого интерфейса для работы в локальной сети образовательного учреждения)
13

После настройки сетевых интересов необходимо проверить имеет ли сервер доступ в сеть Интернет и локальную сеть образовательного учреждения. Для этого воспользуемся командой ping:
(Рис. 12. Проверка доступа сервера к сети Интернет и локальной сети школы)
Следующая задача - определиться в каком режиме будет работать сервер: роутер или шлюз.

Роутер. В этом режиме перенаправление пакетов между сетевыми интерфейсами происходит без трансляции сетевых адресов.

Шлюз. В этом режиме будет настроена трансляция сетевых адресов (NAT) при перенаправлении пакетов на внешние интерфейсы. Использование этого режима имеет смысл, если у вас настроен по крайней мере один внешний и один внутренний интерфейс.
В режиме шлюза клиенты смогут беспрепятственно выходить в сеть Интернет, достаточно прописать соответствующие сетевые настройки. Поэтому такой вариант нас не устраивает, так как наша задача выпускать только тех пользователей, которым мы разрешим и только по установленным нами правилам.
Поэтому настраиваем работу сервера в режиме роутер (Брандмауэр -> Внешние сети):
14

(Рис. 13. Настройка работы сервер в режиме «роутер»)
В этом же разделе мы можем указать и внешние сети, и закрыть доступ к тем портам, по которым доступ к нашему серверу нежелателен.
2.1.1. Организация локальной сети с контролируемым доступом в сеть интерне, на
основе ALT Linux. Настройки на локальной машине.
Произведя предварительную настройку школьного сервера приступим к настройке локальных машин локальной сети школы.
Первое, что нужно настроить - это сетевой интерфейс ПК. В нашем случае 192.168.0.2
— это внешний адрес для выхода в сеть Интернет, предоставленный провайдером,
192.168.56.2 - это ip-адрес сетевого адаптера школьного сервера для работы в локальной сети школы.
Таким образом ip-адреса на ПК в локальной сети должны быть из диапазона
192.168.56.3 - 192.168.56.254. Но такое количество адресов слишком велико для небольшой школьной сети, поэтому можно ограничиться количеством ПК в сети с учетом перспективы дальнейшего роста.
IP-адрес шлюза, в нашем случае, - ip-адрес школьного сервера (192.168.56.2).
15

(Рис. 14. Сведения о соединении на персональном компьютере в локальной сети школы)
Произвести настройки сетевого интерфейса на ПК в локальной сети можно также при помощи ЦУС (центра управления системы).
(Рис. 15. Настройка подключения к локальной сети школы на локальном компьютере)
16

Настройки можно ввести как в ручную, так и получить их при помощи dhcp, при условии, что сервер dhcp настроен и функционирует в школьной сети.
(Рис. 16. Настройка DHCP-сервера при помощи панели управления)
Проверить работоспособность соединения можно при помощи команды ping (ping
192.168.56.2).
(Рис. 17. Проверка соединения в локальной сети школы)
Также имеет смысл закрепить выданные адреса за определенными ПК, на случай, если будут применяться программы, использующие обмен данными по ip (например iTALC).
(Рис. 18. Закрепление IP-адреса за персональным компьютером в локальной сети школы при помощи панели управления сервером )
17

2.2. Организация локальной сети с контролируемым доступом в сеть Интернет, на
основе Ubuntu.
В качестве серверного дистрибутива выберем Ubuntu, версию для Desktop, памятуя о том, что любой дистрибутив Linux можно превратить в сервер и наоборот. (на момент написания актуальная версия Ubuntu 11.04). Требования к серверу мы оставляем те же.
Основное условие — это наличие 2-х сетевых интерфейсов. В процессе установки система запросит указать основной сетевой интерфейс и задать параметры сети. Указываем параметры, которые предоставил нам провайдер. Второму сетевому интерфейсу задаем параметры локальной сети школы. Если Вы этого не сделали на этапе установки — не беда, настроим их при помощи стандартных инструментов.
(Рис.19. Апплет для настройки сети в Ubuntu)
Воспользуемся апплетом, расположенном на верхней панели рабочего стола. (Или
Система — Параметры — Сетевые соединения). Щелчком правой кнопки мыши вызываем меню. Выбираем пункт «Изменить»:
(Рис. 20. Изменение настроек сети в Ubuntu)
Пусть в нашем случае интерфейс eth0 — предназначен для подключения к сети
Интернет, eth1 — подключение к локальной сети школы. Выбираем соответствующий сетевой интерфейс и нажимаем кнопку «Изменить». Выбираем вкладку «Параметры IPv4».
Профиль — Вручную (если провайдер предоставил нам статичный ip-адрес, иначе можно выбрать «Автоматически (DHCP) и компьютер получит адрес автоматически»). В разделе адреса нажимаем кнопку добавить и вводим параметры подключения к сети Интернет. После проведения манипуляций по вводу параметров сети нажимаем кнопку «Сохранить».
18
Апплет для работы с сетью

(Рис. 21. Настройка сетевого интерфейса eth0)
Сетевому интерфейсу eth1 присваиваем параметры локальной сети школы:
(Рис. 22. Настройка сетевого интерфейса eth1)
19

Для проверки доступа к сети Интернет и к локальной сети школы воспользуемся уже знакомой нам командой ping:
(Рис.23. Проверка настроек сети)
Для того чтобы «раздать Интернет» на компьютеры локальной сети школы произведем следующие действия:
1. Разрешим направление пакетов. Чтобы сделать это, отредактируем /etc/sysctl.conf.
Откроем файл при помощи текстового редактора gedit: sudo gedit /etc/sysctl.conf
2. Раскомментируем строку net.ipv4.ip_forward=1 и сохраним изменения.
3. Добавим правило для firewal: sudo iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE
4. Чтобы настройки iptables работали после перезагрузки сохраняем настройки в файл:
iptables-save > /etc/iptables.up.rules
5. И добавляем в конец файла /etc/network/interfaces строку pre-up iptables-restore <
/etc/iptables.up.rules . Для этого воспользуемся уже знакомой нам командой: sudo
gedit /etc/network/interfaces
6. Также нам понадобиться пакет dnsmasq для раздачи пакетов по сети: sudo apt-get
install dnsmasq
Теперь наш сервер готов для «раздачи Интернет» на компьютеры локальной сети школы. Однако имеет смысл произвести еще кое-какие настройки, для более удобной и комфортной работы.
К сожалению встроенного веб-интерфейса для управления сервером Ubuntu не имеет, однако есть замечательная разработка для администрирования серверов на базе Linux —
Webmin.
Webmin — это программный комплекс, позволяющий администрировать операционную систему через веб-интерфейс, в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров.
Используя любой браузер, администратор сервера может создавать новые учётные записи пользователей, почтовые ящики, изменять настройки служб и сервисов, например: веб-
20
сервера Apache, DNS. Однако, в некоторых случаях необходимо знание операционной системы и редактирование конфигурационных файлов вручную. Кроме того, не все возможности операционной системы и не все программы можно конфигурировать через интерфейс Webmin.
Итак установим Webmin. Запускаем приложение «Терминал» (Приложения —
Стандартные — Терминал). Ходим в систему с правами суперпользователя root:
1. Вводим команду sudo -i.
2. Вводим пароль суперпользователя root.
3. Получаем ключ для подключения к репозиторию:

Переходим в домашнюю директорию суперпользователя root: cd /root

Скачиваем ключ: wget
http://www.webmin.com/jcameron-key.asc

Добавляем скаченный ключ к общему списку ключей системы: apt-key add
jcameron-key.asc
4. Добавляем источник приложений для установки webmin. Это можно сделать как при помощи менеджера пакетов Synaptic, так и путем редактирования файла
/etc/apt/sources.list. Для этого воспользуемся следующей командой:
gedit /etc/apt/sources.list
5. При помощи текстового редактора добавляем строку в конец файла:
deb http://download.webmin.com/download/repository sarge contrib
6. Сохраняем изменения и закрываем редактор. Обновляем индексы репозитория и устанавливаем пакет webmin:

apt-get update

apt-get install webmin
Порт, на котором работает Webmin — 10000. Запускаем браузер и вводим в адресной строке: https://ip-адрес сервера:10000 (в нашем случае https://192.168.56.4:10000
или, если мы работаем на локальной машине — https://localhost:10000).
(Рис. 24. Вход в Webmin)
Вводим логин и пароль пользователя системы и нажимаем кнопку «Login» и входим в систему:
21

(Рис.
(Рис. 25. Стартовая страница Webmin)
Выбираем язык системы — Russian CP1251(RU_RU) (Webmin - Change Language and
Theme)и сохраняем изменения.:
(Рис. 26. Настройка русификации Webmin)
При повторном входе в систему интерфейс будет уже на русском языке:
22

(Рис. 27. Пример интерфейса Webmin на русском языке)
Для того чтобы обеспечить автоматическую настройку сети запустим сервер DHCP.
Для этого перейдем в раздел неиспользуемые модули и выберем Сервер DHCP. Так как пакет dhcp3-server у нас не установлен установим его при помощи инструментов webmin.
Для этого нажмем Click here в строке «The ISC DHCPd package can be automatically installed by Webmin.
Click here to have it downloaded and installed using APT.» Система сама установит необходимые пакеты:
(Рис. 28. Установка dhcp3-server средствами Webmin)
Перейдем в раздел «Настройки модуля» и исправим строки:

в разделе «Исполняемый файл сервера DHCP» с /usr/sbin/dhcpd3 на /usr/sbin/dhcpd
23


Команда для запуска сервера DHCP /etc/init.d/isc-dhcp-server start

Команда для применения настроек /etc/init.d/isc-dhcp-server restart

Command to stop DHCP server /etc/init.d/isc-dhcp-server stop

Путь к файлу PID сервера DHCP /var/run/dhcp-server/dhcpd.pid

Файл аренды сервера DHCP /var/lib/dhcp/dhcpd.leases
(Рис. 28. Настройка модуля DHCP в Webmin)
и сохраним изменения путем нажатия кнопки «Сохранить».
В разделе «Подсети и разделяемые сети» добавим новую подсеть и указываем её параметры:
Нажимаем кнопку «Редактировать сетевой интерфейс»
(Рис. 29. Настройка DHCP-сервера в Webmin)
и укажем, на каком сетевом интерфейсе слушать запрос на получение настроек сети:
24

(Рис. 30. Выбор сетевого интерфейса, на котором будут приниматься запросы для получения настроек сети автоматически)
Запускаем сервис путем нажатия кнопки «Запуск сервера». Теперь перейдем к настройкам на локальной машине в сети.
Для более тонкой настройки сервера мы можем воспользоваться прямым редактирование конфигурационного файла. Для этого нажмем кнопку «Manual Edit
Configuracion» и в открывшемся окне вводим следующее:
# shool subnet 192.168.56.0 netmask 255.255.255.0 {
option routers 192.168.56.4;
option subnet-mask 255.255.255.0;
option domain-name "ubuntu.lan"; option domain-name-servers 192.168.56.4;
range 192.168.56.5 192.168.56.45;
}
Сохраняем изменения. И нажимаем кнопку «Применить».


Поделитесь с Вашими друзьями:
  1   2   3


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал