Методические рекомендации по настройке контент-фильтрации на прокси сервере для различных операционных систем, основанных на ядре Linux


Организация локальной сети с контролируемым доступом в сеть Интернет, на



Pdf просмотр
страница2/3
Дата24.11.2016
Размер3.9 Mb.
Просмотров1165
Скачиваний0
ТипМетодические рекомендации
1   2   3
2.2.1. Организация локальной сети с контролируемым доступом в сеть Интернет, на
основе Ubuntu. Настройки на локальной машине.
После проведенных настроек на сервере настройка подключения к сети Интернет на компьютерах локальной сети школы сводиться лишь к указанию того, что настройки нужно получать Автоматически (DHCP).
25

(Рис. 31. Настройка получения настроек сети автоматически)
Просмотрим полученные настройки:
(Рис. 32. Просмотр настроек сети)
26

Осталось только запустить браузер и проверить доступ в сеть Интернет:
(Рис. 33. Проверка доступа в сеть Интернет при помощи браузера)
27

2.3 Организация локальной сети с контролируемым доступом в сеть интерне, на основе
OpenSuse.
В операционной системе OpenSuse практически все настройки системы осуществляются через YaST (проприетарная утилита конфигурации операционной системы и установки/обновления пакетов с ПО).
(Рис. 34. Запуск YaST)
Настройка сетевых устройств.
Настройка параметров сетевых устройств осуществляется в разделе «Сетевые устройства»
(Рис. 35. YaST)
Для организации шлюза необходимы 2 сетевых интерфейса, первый предназначен для соединения с сетью Интернет, второй - для работы с локальной сетью школы.
Начнем с подключения к сети интернет через DSL. Выбираем пункт «DSL», в графе «Режим
PPP» выбираем «PPP over Ethernet», в графе «Ethernet-карта» выбираем сетевую карту через
28
которую будет подключен интернет (eth0). В графе «Включить устройство» выбираем «Во время загрузки системы». Для того что бы разрешить управление устройством пользователям не администраторам оставляем включенным данный пункт, при этом будет установлен пакет
Qinternet который отображает в системном лотке подключение к интернет.
(Рис. 36. Подключение к сети интернет через DSL)
В данном диалоге так же можно настроить сетевые интерфейсы при нажатии на кнопку
«Настроить сетевые карты». На вкладке Общие параметры менять ничего не будем, оставим по умолчанию, переходим на вкладку «Обзор», выбираем сетевую карту и нажимаем
«Редактировать». Карте eth0 присваиваем динамический адрес (DHCP), eth1 присваиваем статический IP адрес, например 192.168.1.1 маска подсети /24.
(Рис. 37. Настройка сетевого адреса)
На вкладке «Имя узла\DNS» вводим имя сервера (например proxy) и домена (school).
29

(Рис. 38. Настройка имени узла и DNS)
На вкладке «Маршрутизация» включаем IP-переадресацию для использования системы в качестве роутера.
(Рис. 39. Маршрутизация)
Нажимаем «ок» и «далее»
30

(Рис. 40. Выбор провайдера)
Нажимаем на кнопку «Новый», вводим имя провайдера, логин и пароль для подключения к сети интернет, жмем «далее» «далее».
(Рис. 41. Параметры провайдера)
Проверяем подключение к сети интернет открыв браузер интернета. Если через некоторое время подключение разрывается и не подключается автоматически необходимо сделать следующее:
1. С помощью диспетчера файлов перейти /var/spool/cron/tabs/
2. Открыть на редактирование файл root
3. Добавить следующую строку * * * * * /usr/sbin/smpppd-ifcfg --up --rc -i ifcfg-dsl0 31

Настройка брандмауэра.
(Рис. 42. Запуск брандмауэра)
Запуск службы.
Чтобы служба запускалась каждый раз при загрузке компьютера, установите
Включить автоматический запуск брандмауэра.
(Рис. 43. Настройка брандмауэра: Запуск)
Интерфейсы
Назначьте сетевому устройству зону брандмауэра, выбрав устройство в таблице, затем нажав Изменить. Сетевой интерфейс eth0 и dsl0 будет внешней зоной, eth1 внутренней.
32

(Рис. 44. Настройка зон брандмауэра)
Разрешённые службы.
Укажите службы или порты, которые должны быть доступны из сети. Сети поделены на зоны брандмауэра.
Для разрешения службы выберите «Зона» и «Разрешённые службы». Затем нажмите
«Добавить». Для удаления службы выберите «Зона», затем «Разрешённые службы» и нажмите Удалить.
Снятием галочки «Защитить от внутренней сети снимите защиту с зоны». Все службы и порты будут не защищены в этой зоне.
Дополнительные параметры могут быть настроены с использованием кнопки
«Дополнительно». Значения должны быть разделены пробелами. Здесь вы можете разрешить порты TCP, UDP, RPC и протоколы IP.
Порты TCP и UDP могут быть введены как имена портов (ftp-data), номера портов
(3128) и диапазонов портов (8000:8520). RPC-порты должны быть введены в виде служебных имен(portmap или nlockmgr). Введите протоколы IP как имя протокола(esp).
(Рис. 45. Настройка разрешенных служб)
Трансляция.
Трансляция — это функция, которая скрывает вашу внутреннюю сеть за брандмауэром и
33
позволяет получить прозрачный доступ ко внешней сети, такой как интернет. Запросы из внешней сети во внутреннюю будут блокированы. Выберите «Транслировать сети», чтобы транслировать ваши сети во внешнюю сеть.
Даже если запросы из внешней сети не могут достичь вашей сети, есть возможность прозрачно перенаправлять любые запрошенные порты на вашем брандмауэре на любой внутренний IP. Для добавления нового правила перенаправления нажмите «Добавить» и заполните необходимые поля.
(Рис. 46. Настройка трансляции сетевых адресов)
Правила пользователя.
Здесь вы можете установить особые правила брандмауэра, которые разрешат новые соединения, соответствующие этим правилам.
Сеть источника. Сеть или IP, откуда приходит соединение, например, 192.168.0.1 или
192.168.0.0/255.255.255.0 или 192.168.0.0/24 или 0/0 (что означает все).
Протокол. Протокол, используемый пакетом. Особый протокол RPC используется для RPC- служб.
Порт назначения. Имя порта, номер порта или диапазон портов, разрешённых к доступу, например, smtp или 25 или 100:110. В случае протокола RPC используйте имя RPC- службы. Эта запись необязательна.
Порт источника. Имя порта, номер порта или диапазон портов, откуда исходят пакеты.
Эта запись необязательна.
34

(Рис. 47. Правила пользователя)
Теперь наш сервер готов для «раздачи Интернет» на компьютеры локальной сети школы.
2.3.1. Организация локальной сети с контролируемым доступом в сеть Интернет, на
основе OpenSuse. Настройки на локальной машине.
Для настройки будем использовать тот же YaST. Открываем сетевые настройки.
(Рис. 48. YaST)
35

Переходим на вкладку «Обзор», выбираем из списка сетевую карту и нажимаем кнопку «Редактировать».Вводим IP адрес из диапазона 192.168.1.2-192.168.1.255, маску подсети /24 и имя узла.
(Рис. 49. Настройка сетевой карты: Адрес)
Нажимаем «Далее». Переходим на вкладку «Маршрутизация» и вводим IP адрес нашего сервера в поле «Шлюз IPv4 по умолчанию»
36

(Рис. 50. Настройка сети: Маршрутизация)
Нажимаем «ок» и проверяем доступ в интернет открыв браузер.
37

3. Установка и настройка программного обеспечения для организации контент-
фильтрации.
Теперь приступим к настройке программы при помощи которой будем контролировать доступ в сеть Интернет пользователей сети. Это программа squid.
Squid(англ. Squid — «кальмар») — программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS. Разработан сообществом как программа с открытым исходным кодом (распространяется в соответствии с GNU GPL). Все запросы выполняет как один не блокируемый процесс ввода/вывода.
3.1.1. Установка и настройка прокси-сервера squid в ALT Linux Школьный сервер 5.0
В дистрибутиве ALT Linux Школьный сервер 5 squid предустановлен. Поэтому приступаем к его настройке. Выполнить первоначальную настройку достаточно просто, если воспользоваться центром управления сервера доступного по адресу https://ip
-адрес сервера:8080.
1. Осуществляем вход в систему используя веб-интерфейс alterator:
(Рис. 51. Окно входа в панель управления школьным сервером)
2. Переходим в раздел «Серверы» - «Прокси-сервер»:
Перед началом работы с прокси-сервером, необходимо ознакомиться с основными положениями в работе прокси. Для этого можно воспользоваться справочной системой alterator: Настройка прокси-сервера . Несколько компьютеров, объединённых в локальную сеть могут быть подключены к глобальной сети
(Интернет) через один общий канал. Такое решение имеет ряд преимуществ перед другими. В частности, если разместить в месте соединения двух сетей (шлюзе) прокси-сервер, полученные через него страницы попадут в кеш, и при повторном обращении к ним загрузка из внешней сети уже не потребуется. Это может существенно ускорить доступ к популярным сайтам и снизить потребляемый организацией трафик.
38

(Рис. 52. Настройка прокси-сервера средствами панели управления школьного сервера)
Прокси-сервер принимает запросы из локальной сети и, по мере необходимости, передаёт их во внешнюю сеть. Поступление запроса ожидается на определённом порту, который по умолчанию имеет стандартный номер 3128. Если по каким-то причинам не желательно использовать данный порт, то можно поменять его значение на любое другое.
Перед тем как выполнить перенаправление запроса, прокси-сервер проверяет принадлежность сетевого адрес узла, с которого запрос был отправлен к группе внутренних сетевых адресов. Для того, чтобы запросы, отправленные из локальной сети, обрабатывались прокси-сервером, необходимо добавить соответствующую группу адресов (адрес подсети и адресную маску) в список внутренних сетей в разделе Сети.
Вторым условием передачи запроса является принадлежность целевого порта к разрешённому диапазону. Посмотреть и отредактировать список разрешённых целевых портов можно в разделе Порты.
Прокси-сервер может работать в двух режимах: стандартном и прозрачном.
Стандартный режим использование прокси-сервера требует изменения режима работы программ локальной сети, что может потребовать их ручной настройки. По этой причине другим популярным режимом использования прокси-сервера является прозрачный режим. В этом режиме все обращения из внутренней сети по зарегистрированным протоколам (портам) во внешнюю сеть автоматически перехватываются прокси-сервером при прохождении через шлюз. Программы в локальной сети при этом продолжают работать в обычном режиме, не требуя никакой специальной настройки. Недостатком прозрачного режима работы является невозможность идентификации пользователей — все запросы отправляются из локальной сети анонимно. Для указания портов, используемых в режиме прозрачного проксирования, перейдите в раздел «Разрешённые протоколы», выберите из списка протокол и установите для этого протокола флажок «Включить прозрачное перенаправление».
Преимуществом непрозрачного режима работы, требующего перенастройки программ локальной сети, является возможность производить аутентификацию пользователей и контролировать их доступ во внешнюю сеть. Для того, чтобы включить аутентификацию, выберите способ аутентификации, отличный от «Без аутентификации».
39

Политика доступа пользователей во внешнюю сеть формируется на основе групп пользователей и сетевых доменов в разделе Группы. Для каждой группы пользователей может быть сформирован список доменов, к которым разрешается (или наоборот, запрещается) обращение. Внесение и исключение пользователей из групп производится с помощью общесистемного модуля "Пользователи/Группы".
3. Перед запуском прокси-сервера добавляем в раздел «Разрешённые сети» адрес нашей локальной сети:
(Рис. 53. Настройка прокси-сервера средствами панели управления школьного сервера)
4. Ставим галочку напротив «Включить прокси-сервер» выставляем нужные нам параметры, с которыми будет работать сервер, руководствуясь справочной системой.
(Рис. 54. Настройка параметров аутентификации прокси-сервера)
5. Нажимаем «Применить» и приступаем к работе.
40

3.1.2. Установка и настройка прокси-сервера squid в Ubuntu.
Для установки и настройки прокси-сервера squid воспользуемся, уже установленной нами, программой Webmin. Для этого в адресной строке браузера укажем https://192.168.56.4:10000
(или https://localhost:10000
— если вы работает на локальной машине). Выполним вход в систему и в разделе «Неиспользуемые модули» выберем
«Прокси-сервер Squid»:
(Рис. 55. Модуль webmin для настройки прокси-сервера squid)
Выполняем установку пакета уже знакомым нам способом — нажимаем здесь: Click here. Дожидаемся окончания установки пакета. Переходим в раздел «Службы» - «Прокси- сервер Squid».
(Рис. 56. Настройка прокси-сервера squid при помощи webmin)
Перейдем в «Настройки модуля» и изменим параметры команд остановки и запуска squid:
(Рис. 57. Изменение параметров запуска/остановки squid)
41

Далее укажем параметры кеша:
(Рис. 58. Настройка параметров кэша)
Не забываем сохранять изменения путем нажатия кнопки «Сохранить».
При помощи функции «Очистить и пересоздать кэш» создадим кэш. В разделе
«Управление доступом» создадим новый acl — Адрес клиента:
(Рис. 59. Создание нового acl)
На вкладке «Ограничения прокси» разрешим новому acl доступ:
42

(Рис. 60. Создание ограничения прокси)
Следующий шаг — поместить список доступа школьной сети (acl) при помощи webmin выше acl all при помощи кнопок в виде стрелок:
(Рис. 61. Настройка доступа к сети Интернет)
Применяем изменения при помощи кнопки «Применить изменения» в модуле управления squid в webmin.
После чего нужно только настроить браузер на работу через прокси-сервер. Об этом подробнее в пункте 3.1.4.
43

3.1.3. Установка и настройка прокси-сервера squid OpenSuse.
Установить программное обеспечение прокси-сервера squid можно при установке операционной системы выбрав соответствующий пункт в разделе «Функции сервера» или с помощью YaST-> Управление программным обеспечением.
Для настройки прокси сервера squid будем использовать webmin. Запускаем браузер, переходим по адресу http://www.webmin.com
, в разделе downloads ищем rpm пакет для
OpenSuse, скачиваем и устанавливаем. После установки набираем в браузере https://localhost:10000
, заходим под пользователем root.
Переходим «Службы → Прокси-сервер squid»
(Рис. 62. Главная страница настроек прокси-сервера squid)
Чтобы указать порты на которых будет слушать Squid, выполните следующие действия:
1. На главной странице модуля, нажмите на «Порты и сеть»
2. В таблице Адреса и порты прокси, выберите Listed below (слушать указанные)
опцию. В таблице введите порт для прослушивания и при необходимости IP адрес на котором следует принимать соединения от клиентов. Вводить следует по одному
значению порта (или порта + ip адрес) в строку.
Если нужно сделать прокси-сервер прозрачным указываем в графе «Options for port» параметр transparent. Но этого будет недостаточно. Необходимо соответствующим образом настроить firewal чтобы все запросы перенаправлялись на адрес и порт прокси. Открываем диспетчер файлов, переходим /etc/sysconfig/, ищем файл SuSEfirewall2 и открываем его на редактирование. Находим в файле параметр FW_REDIRECT и меняем его значение например на "192.168.1.0/24,0/0,tcp,80,3128". Таким образом все запросы из сети 192.168.1.0 по 80 порту будут перенаправлены на порт 3128.
44

(Рис.63. Параметры портов и сети)
Далее настроим параметры кэша.
(Рис.64. Параметры кэша)
Заполним таблицу согласно рисунку и нажмем сохранить.
Использование памяти.
45

(Рис. 65. Использование памяти)
Управление доступом.
Прежде чем клиенты смогут использовать прокси-сервер, вам придется настроить его, чтобы дать доступ к нему с некоторых IP адресов. Для этого выполните следующие действия:
1. На странице Списки управления доступом, выберите Адрес клиента, из списка существующих ACL. При нажатии кнопки Создать новый ACL, будет отображена форма для ввода адресов в ACL.
(Рис. 66. Управление доступом)
2. В Имя ACL введите короткое имя, например localnet.
46

(Рис. 67. Создание ACL)
3. В пустом поле с IP, введите начальный IP-адрес диапазона, например 192.168.1.0.
4. В поле до IP, введите конечный IP-адрес диапазона, например 192.168.1.100. Только клиенты, которые входят в этот диапазон будут проходить по ACL.
5. Вы также можете указать IP сеть, введя начальный IP-адрес в поле с IP и маску подсети (например, 255.255.255.0), в поле Маска сети.
6. Нажмите на кнопку «Сохранить», чтобы добавить ACL и вернуться на страницу
Списки управления доступом, на которой ваш новый ACL уже будут отображен.
7. Нажмите кнопку Добавить ограничение прокси под таблицей Ограничения
Прокси.
(Рис. 68. Настройка ограничений прокси)
8. На форме, которая появится, выберите Разрешить в поле Действие.
47

(Рис. 69. Ограничения прокси)
9. В Совпадающие ACL выберите ваш новый localnet ACL.
10. Нажмите кнопку «Сохранить» на этой форме, чтобы вернуться к странице
ограничения прокси снова. Новое ограничение будет отображено в нижней части таблицы, скорее всего, ниже Запретить all.
11. Нажмите кнопку «стрелка вверх» рядом с вашим новым ограничением, чтобы переместить его выше пункта Запретить all. Это означает, что в Squid будут разрешены соединения из вашей сети и запрещены все остальные.
12. Наконец, нажмите кнопку Применить изменения в верхней части страницы. Прокси- сервер теперь будет доступен клиентам во внутренней сети, но никому более.
48

3.1.4. Настройки на локальной машине на примере браузера Mozilla Firefox.
Для того, чтобы пользователи локальной сети получили доступ к сети Интернет используя наш сервер, необходимо произвести настройку браузера на локальных машинах:
1. Запускаем браузер (будем по умолчанию использовать Firefox, во всех остальных настройки производятся аналогично).
2. В главном меню «Правка» - «Настройка» - «Дополнительные» - вкладка «Сеть» -
(Рис. 70. Настройка браузера Firefox)
«Настроить» - вносим параметры нашего прокси-сервера (ip-адрес сервер или его доменное имя и порт):
(Рис. 71. Указываем настройки прокси-сервера для браузера Firefox )
3. После всех манипуляций пользователь получит доступ в сеть Интернет.
Настроить фильтрацию контента можно и средствами прокси-сервера squid, но
так как для этого существуют специализированные программы мы рассмотрим
настройку контент-фильтрации именно при помощи таких программ.
49

3.2. Установка и настройка контент-фильтра на основе NetPolice в ALT Linux
Школьный сервер 5.0
NetPolice ALT Linux – версия программы NetPolice для операционной системы ALT
Linux, предназначена для использования на домашнем ПК, а также может быть установлена в качестве выделенного сервиса фильтрации сети протокола http, так как построена на основе технологий прокси-сервера.
1. Проверяем, подключены-ли репозитории:
Вводим команду: cat /etc/apt/sources.list , команда покажет нам содержимое файла
/etc/apt/sources.list.
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch i586 classic rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch noarch classic
Если репозитории не подключены. Подключаем их. Для редактирования файла
/etc/apt/sources.list воспользуйтесь командой mcedit /etc/apt/sources.list .Клавиша F2 — сохранить изменения. F10 — выход из режима редактирования.
2. Подключаем репозиторий NetPolice. Для этого вводим строку rpm http://update.netpolice.ru/altlinux/p5/branch/netpolice/ i586 netpolice
3. Устанавливаем необходимые пакеты:
apt-get update apt-get install netpolice-main
4. Для обеспечения работоспособности системы NetPolice ее необходимо настроить на категоризирующий DNS сервер. Для этого редактируем файл /etc/sysconfig/host2cat и прописываем в поле DNS_LIST один из серверов NetPolice. Рекомендуемым вариантом является сервер dnsc1.netpolice.ru (для редактирования файла используем команду mcedit /etc/sysconfig/host2cat . Сохраняем изменения клавишей F2, выход F10)
(Рис. 72. Настройка системы на категоризирующий DNS сервер)
5. Запускаем службы под правами суперпользователя root:
service memcached start service host2cat start service c-icap start service squid restart
6. При помощи браузера заходим в панель администрирования фильтрации NetPolice по адресу http://ip-адрес сервера/cgi-bin/login.cgi
Имя пользователя: root
50

Пароль: root
(Рис. 73. Вход в панель управления NetPolice)
7. Заводим пользователя в группе student (Создать нового юзера). Пример:
Имя юзера: user
IP адрес: (реальный IP пользователя или 0.0.0.0 если он не известен)
Маска подсети/суффикс: < пусто >
Роль: my_student
(Рис. 74. Панель управления NetPolice на школьном сервере)
8. Заводим пользователя с таким-же логином в панели управления сервером:
51

(Рис. 75. Добавление пользователя при помощи панели управления школьным сервером)
9. Редактирование политики доступа осуществляется под администратором.
Выберите роль с типом Custom и нажмите "Редактировать".

"Черный список" и "Белый список" - списки URL запрещенных и разрешенных
URL адресов соответственно.

"Список редиректов" - это список категорий (идентификаторов) интернет- ресурсов, определенных как перенаправляемые (по умолчанию перенаправление происходит на www.google.com).

"Список реджектов" - это список запрещенных категорий интернет-ресурсов.
10. После завершения редактирования политик доступа необходимо перезагрузить службы, необходимые для работы NetPolice:
service memcached restart service host2cat restart service c-icap restart service squid restart
11. После этого при попытке зайти на веб-страницу запрашивается имя пользователя (в нашем примере — user) и пароль. При доступе на запрещённый ресурс (например, porno.ru). Страница заблокирована фильтром NetPolice! (при условии, что браузер настроен на работу с прокси-сервером)
52

(Рис. 76. Проверка работоспособности контент-фильтра NetPolice)
Список категорий и их идентификаторов для домашнего категоризирующего DNS
сервера.
105 алкоголь
101 эротика, порнография
3 реклама, баннерные сервера
4 власти, правительство
5 авто
6 кино
7 строительство и ремонт
8 предметы потребления
9 кулинария
10 дача
11 курсы, обучение
12 электроника и электротехника
13 оборудование
14 семья
15 мода и стиль
16 финансы
17 изобразительное искусство
18 компьютеры, аппаратное обеспечение
19 здоровье
20 хобби
21 юмор
22 интерьер
23 доступ в интернет
24 юридические услуги
25 литература
26 СМИ
27 машиностроение
28 металлургия
29 мобильная связь
30 музыка
31 общественные организации
113 компьютерные игры
33 домашние животные
34 фото
35 афиша
36 недвижимость
37 религия
38 школа
39 наука
40 спорт
41 театры
42 транспорт
43 туризм
44 университеты
111 работа и вакансии
46 создание сайтов
112 чаты
48 сайты знакомств
49 войска и вооружение
50 форумы и блоги
51 сервера бесплатной электронной почты
52 бесплатные хостинги
107 нелегальная помощь школьникам и студентам
54 убийства, насилие, трупы
110 онлайн-казино
102 социальные сети
57 терроризм
58 торговля
108 нижнее белье, купальники
109 обеспечение анонимности, обход контентных фильтров
103 службы обмена сообщениями
104 файлообменные сети и сайты
106 табак
53
1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал