Методические рекомендации по настройке контент-фильтрации на прокси сервере для различных операционных систем, основанных на ядре Linux


Установка и настройка контент-фильтра на основе DansGuardian



Pdf просмотр
страница3/3
Дата24.11.2016
Размер3.9 Mb.
Просмотров1161
Скачиваний0
ТипМетодические рекомендации
1   2   3
3.3. Установка и настройка контент-фильтра на основе DansGuardian.
DansGuardian – это программное обеспечение, которое создано компанией
SmoothWall и предназначено для управления доступом пользователей к тем или иным веб- сайтам. Оно включает функции проверки контента на вирусы и предоставления детальной статистики о своей работе.
3.3.1. Установка и настройка контент-фильтра на основе DansGuardian в ALT Linux
Школьный сервер 5.0
Для настройки контент-фильтрации при помощи DansGuardian нам потребуются две программы:

squid

dansguardian
Прокси-сервер squid у нас уже настроен и запущен. Осталось установить и настроить программу-фильтр DansGuardian:
1. Устанавливаем пакет: apt-get install dansguardian
2. Настройка DansGuardian, как и практически любой программы в Linux, сводиться к редактированию конфигурационного файла dansguardian.conf. Для этого открываем файл для редактирования (будем использовать встроенный редактор файлового менеджера Midnight Commander): mcedit /etc/dansguardian/dansguardian.conf
3. Изменяем следующие параметры:
1) Параметру language присваиваем значение «russian-1251»( language = 'russian-
1251')
2) Порт на котором работает контент-фильтр: filterport = 8081 (по умолчанию установлен 8080 — но этот порт занят системой управления школьным сервером).
3) Указываем порт, на котором работает прокси-сервер squid: proxyport = 3128
4) Запускаем DansGuardian:
service dansguardian start
5) В настройках браузера на локальной машине в сети указываем следующие параметры прокси-сервера:
54

(Рис. 77. Настройка браузера Mozilla Firefox на локально компьютере)
6) Проверяем работу контент-фильтра. Для этого введем в адресной строке браузера ресурс, не соответствующий задачам образования, например http://www.dosug.cz
Если все настроено верно, то браузер выдаст следующее сообщение:
(Рис. 78. Проверка работы контент-фильтра DansGuardian)
55

7) Для более детальной настройки необходимо заглянуть в файл dansguardianf1.conf.
В нем перечислены файлы, в которых указаны запрещенные/разрешенные адреса сайтов, фразы, типы файлов. Посмотреть содержимое файла можно при помощи команды cat:
cat /etc/dansguardian/dansguardian1.conf
8) Также имеется возможность использовать другие файлы с запрещенными/разрешенными сайтами, созданными самостоятельно. Для этого предназначена директива .include.
9) Перечислим некоторые файлы, на которые следует особо обратить внимание:

bannerdsitelist блокирует целые домены;

bannedurllist – только некоторые их части;

urlregexplist, напротив, разъясняет DansGuardian, как прозрачно подменять одни URL другими, (теоретически) более безопасными.

Особое внимание уделите всем файлам, имена которых начинаются с
“exception”. В них перечислено все – от расширений файлов до IP-адресов – что должно быть исключено из фильтрации. Exceptionsitelist и exceptionsurllist, например, содержат все безгрешные сайты или подразделы сайтов соответственно: в последнем случае вы можете разрешить.
10) После каждого редактирования файлов DansGuardian необходимо перезапустить службу:
service dansguardian restart
3.3.2. Установка и настройка контент-фильтра на основе DansGuardian в Ubuntu.
Принципиально установка и настройка контент-фильтра в Ubuntu ничем не отличается от установки и настройки в ALT Linux:
1. Запускаем приложение Терминал (Приложения — Стандартные - Терминал).
2. Устанавливаем пакет dansguardian: sudo apt-get install dansguardian
(Рис. 79. Установка DansGuardian в Ubuntu)
3. После установки отредактируем конфигурационный файл DansGuardian: sudo gedit
56

/etc/dansguardian/dansguardian.conf
4. Изменяем следующие параметры:
1. Параметру language присваиваем значение «russian-1251»( language = 'russian-
1251')
2. Порт на котором работает контент-фильтр: filterport = 8080
3. Указываем порт, на котором работает прокси-сервер squid: proxyport = 3128
4. Закомментируем строку, содержащую: UNCONFIGURED - т. е. поставим перед строкой знак #
5. Сохраняем изменения.
6. Запускаем DansGuardian: sudo /etc/init.d/dansguardian start
7. В настройках браузера на локальной машине в сети указываем следующие параметры прокси-сервера:
(Рис. 80. Настройка браузера Firefox для работы с DansGuardian )
8. Проверяем работу контент-фильтра. Для этого введем в адресной строке браузера ресурс, не соответствующий задачам образования, например http://www.dosug.cz
Если все настроено верно, то браузер выдаст следующее сообщение:
57

(Рис. 81. Проверка работы контент-фильтрации на основе DansGuardian )
9. Также как и в случае с настройкой DansGuardian в ALT Linux для более детальной настройки необходимо заглянуть в файл dansguardianf1.conf. В нем перечислены файлы, в которых указаны запрещенные/разрешенные адреса сайтов, фразы, типы файлов. Посмотреть содержимое файла можно при помощи команды cat:
cat /etc/dansguardian/dansguardian1.conf
10. Также как и было описано ранее в пункте 3.3.1 в Ubuntu имеется возможность использовать другие файлы с запрещенными/разрешенными сайтами, созданными самостоятельно. Для этого предназначена директива .include.
11. После каждого редактирования файлов DansGuardian необходимо перезапустить службу: sudo /etc/init.d/dansguardian restart
58

3.4. Установка и настройка контент-фильтра на основе Redirector (Rejik).
Программа проста в установке и настройке. Однако при этом достаточно эффективна и позволяет отсекать баннеры, организовать фильтрацию по "черным" и "белым" спискам.
Разграничить доступ к ресурсам по логину или IP.
Squid позволяет в своей конфигурации указать внешнюю программу редиректор. Эта программа выполняет функцию фильтрования запросов клиентов.
Каждый раз, когда кто-то загружает файл через Ваш прокси, на стандартный вход редиректора передаются данные о запросе. Редиректор эти данные анализирует, при выполнении некоторых условий изменяет и выдает ответ на стандартный выход.
3.4.1. Установка и настройка контент-фильтра на основе Redirector (Rejik) в ALT Linux
Школьный сервер 5.0
Первое что нужно сделать - это установить программу:
#apt-get install redirector
Указываем в конфигурационном файле /etc/squid/squid.conf, что будет использоваться программа-редиректор:
url_rewrite_program /usr/sbin/redirector /etc/squid/redirector/redirector.conf
Далее приступаем к настройке программы фильтрации.
Редактируем конфигурационный файл /etc/squid/redirector/redirector.conf. По умолчанию в нем выделено 4 категории для фильтрации:

- раздел для блокирования баннеров


- сайты содержащие порнографические материалы

- раздел для блокирования файлов музыки

- раздел для блокирования js-скриптов
В нашем случае достаточно произвести замену адреса http://127.0.0.1 на ip-адрес нашего веб-сервера (или его доменное имя). Например:

ban_dir /var/lib/redirector/banlists/banners
url
http://192.168.0.4/ban/1x1.gif
И разместить соответствующие файлы замены в директории веб-сервера. Файлы замены скачать можно здесь: http://www.rejik.ru/index_ru_11_1.html
Для того чтобы добавить соответствующие сайты для блокирования, необходимо редактировать файлы банлистов в директории /var/lib/redirector/banlist/ Например, для того чтобы заблокировать сайт http://www.odnoklassniki.ru нужно добавить запись в файл
/var/lib/redirector/banlist/porno/urls - odnoklassniki.ru и перезапустить squid для того, чтобы изменения вступили в силу.
#service squid reload
Таким образом в нашей сети будет производиться фильтрация по "черным" спискам.
Однако все ресурсы, не отвечающие задачам образовательного учреждения заблокировать достаточно сложно и если задаться целью, то попасть на такой ресурс возможно, что и
59
приводит к многочисленным претензиям со стороны надзорных органов. Поэтому имеет смысл ограничить доступ учащихся к ресурсам сети Интернет "белыми" списками.
Для этого необходимо создать в /etc/squid/redirector/redirector.conf еще один раздел, отвечающий за доступ пользователей по "белым" спискам.

ban_dir /var/lib/redirector/banlists/whitelist
url http://192.168.0.4/ban/whitelist.html
И добавить соответствующие файлы в директории /var/www/html/ и
/var/lib/redirector/banlists/ аналогично уже имеющимся. Осталось только наполнить содержимым файл /var/lib/redirector/banlists/whitelist/urls теми ссылками, которые удовлетворяют образовательным задачам учебного заведения.
Список можно скачать и принять участие в их наполнении здесь:

http://catalog.iot.ru/

http://www.spo.akipkro.ru/index.php/whitelist.html
Соответственно списки должны быть утверждены школой для использования.
Иногда имеет смыл разграничить доступ. Например, запросы учителей и администрации фильтруются по "черным" спискам, а учащихся - по "белым".
Для этого в раздел необходимо добавить соответствующую запись (примеры):

work_ip f:/var/lib/redirector/banlists/class_ip - применять фильтр по "белым" спискам группе пользователей с ip - указанными в файле class_ip.

allow_id f:/var/lib/redirector/banlists/login - не применять фильтр по "белым" спискам к пользователям с логинами, указанными в файле login.
60

3.4.2. Установка и настройка контент-фильтра на основе Redirector (Rejik) в OpenSuse.
Установка.
Идем на сайт http://www.rejik.ru
, из раздела скачать скачиваем последнюю стабильную версию редиректора и распаковываем. Переходим в папку с файлами редиректора и устанавливаем:
1. Запускаем веб сервер (YaST->Сетевые службы-> Сервер HTTP)
(Рис. 82. Запуск http сервера)
(Рис. 83. Работы http-сервера)
2. Скачиваем и выкладываем на веб сервер (srv/www/htdocs) файлы, которыми будем заменять рекламу, порно, и.т.д. Файлы берем здесь:
http://www.rejik.ru/index_ru_11_1.html
3. Проверяем доступность этих файлов ( http://localhost/www/porno.html
)
4. Необходимо узнать, под каким пользователем у Вас работает squid, и в какую группу входит этот пользователь. Для этого можно посмотреть, как у Вас прописаны в squid.conf опции cache_effective_user и cache_effective_group.
5. Редактируем Makefile. Как минимум нужно прописать переменные SQUID_USER и
SQUID_GROUP, значения которых Вам должно быть известно из предыдущего пункта.
6. В диспетчере файлов выбираем сервис-> открыть терминал и вводим make
7. make install
8. Переходим в директорию /usr/local/rejik3/
61

9. Скачиваем и распаковываем бан-листы (берем в http://www.rejik.ru/index_ru_11_1.html
)
10. Переименовываем redirector.conf.dist в redirector.conf
11. Проверяем, правильно ли прописаны пути в redirector.conf, в url прописываем пути к файлам которыми будем заменять рекламу, порно и т.д. на нашем веб сервере.
12. Добавляем в конфигурационный файл прокси сервера squid (/etc/squid/squid.conf) следующую строку:
url_rewrite_program
/usr/local/rejik3/redirector
/usr/local/rejik3/redirector.conf. Таким образом мы указываем squid что будет использоваться редиректор.
13. Перезапускаем squid, читаем логи, пробуем открывать страницы в браузере.
Настройка.
Редиректор можно настроить для работы по «черным» и по «белым» спискам. Для того чтобы редиректор работал по «черным» спискам можно воспользоваться проектом DBL
(распределенный бан лист). Раздел DBL на сайте http://rejik.ru
Для работы редиректора по «белым» спискам необходимо следующее:
1. Создать в /usr/local/rejik3/redirector.conf еще один раздел, отвечающий за доступ пользователей по "белым" спискам.

work_ip /usr/local/rejik3/ip
ban_dir /usr/local/rejik3/banlists/whitelist
url
http://localhost/www/whitelist.html

reverse
2. Добавить соответствующие файлы в директории
/srv/www/htdocs/ и
/usr/local/rejik3/banlists/
3. Наполнить содержимым файл /usr/local/rejik3/banlists/whitelist/urls теми ссылками, которые удовлетворяют образовательным задачам учебного заведения
(
http://catalog.iot.ru/
http://www.spo.akipkro.ru/index.php/whitelist.html
)
4. Указать в файле /usr/local/rejik3/ip ip адреса компьютеров к которым будет применима фильтрация по «белым» спискам.
62

4. Организация электронного журнала работы пользователей в сети Интернет на
основе SARG и Light Squid.
После того как мы полностью контролируем доступ в сеть Интернет, имеет смысл просматривать статистику работы пользователей в сети Интернет и вести журнал работы пользователей в сети. Тем более, что ведение журнала работы пользователей в сети Интернет
- требование ко многим учебным заведениям. Вести журнал на бумажном носителе - очень трудоемко и не всегда удобно. Поэтому воспользуемся специальным программным обеспечением.
Существует множество программ для генерации отчетов работы пользователей в сети
Интернет. Для организации электронного журнала воспользуемся программой SARG (Squid
Analysis Report Generator) - генератор отчетов на основании анализа лог-файла прокси сервера Squid. Отчеты позволяют выяснить какой пользователь в какое время обращался к какому сайту .Суммарный отчет может оказать большую помощь в тарификации работающих через Squid пользователей, так как включает в себя суммарный трафик и число коннектов для каждого пользователя за определенный период времени.
4.1. Организация электронного журнала работы пользователей в сети Интернет на
основе SARG в ALT Linux.
В ALT Linux в панели управления школьным сервером для этого создан раздел "Статистика", где можно просматривать статистику работы в сети Интернет пользователей школьной сети:
(Рис. 84. Просмотр статистики работы пользователей в сети Интернет при помощи панели управления школьным сервером)
Однако также можно воспользоваться программой генератора отчетов работы прокси- сервера Squid - SARG.
Устанавливаем программу:
#apt-get install sarg
Настройка sarg также сводиться к редактированию конфигурационного файла
/etc/sarg/sarg.conf. Воспользуемся, уже знакомой нам командой, mcedit /etc/squid/sarg.conf
63

language Russian_UTF-8
Указываем где находятся лог-файлы squid:
access_log /var/log/squid/access.log
Включаем построение графиков
graphs yes
graph_days_bytes_bar_color orange
Указываем название отчета:
title "Отчет о работе в сети Интернет"
Каталог, в который помещаются отчеты:
output_dir /var/www/html/squid-reports
Удаляем временные файлы:
remove_temp_files yes
При генерации отчета перезаписываем старые файлы:
overwrite_report yes
Сохраняем изменения нажатием клавиши F2. F10 — выход.
Команда генерации отчетов:
sarg
Теперь открываем браузер и заходим на страницу отчетов. Отчет будет доступен по адресу: http://ip-адрес сервера/squid-reports/ в следующем виде:
(Рис. 85. Просмотр статистики работы пользователей в сети Интернет, сгенерированного при
64
помощи SARG)
(Рис. 86. Просмотр статистики работы пользователей в сети Интернет, сгенерированного при помощи SARG)
(Рис. 87. Просмотр статистики работы пользователей в сети Интернет, сгенерированного при помощи SARG)
При желании такой журнал можно распечатать и предоставить проверяющим.
65

4.2. Организация электронного журнала работы пользователей в сети Интернет на
основе SARG в Ubuntu.
Для того чтобы установить SARG в Ubuntu запустим приложение «Терминал» и введем команду: sudo apt-get install sarg
После окончания установки в панели управления webmin в разделе Службы - Squid
Report Generator:
(Рис. 88. Управление SARG при помощи Webmin)
В разделе Report Style укажем язык формирования отчета Russian_windows1251 и заголовок отчета «Отчет работы пользователей в сети Интернет»:
(Рис. 89. Настройка отчета SARG)
Сохраняем изменения при помощи кнопки «Сохранить» и генерируем отчет при помощи кнопки «Generate Report Now»:
66

(Рис. 90. Генерация отчета SARG при помощи Webmin)
Просмотреть сгенерированный отчет можно при помощи кнопки «View Generated
Report»:
(Рис. 91. Просмотр сгенерированного отчета SARG при помощи Webmin)
(Рис. 92. Просмотр отчет SARG при помощи Webmin)
67

4.3. Организация электронного журнала работы пользователей в сети Интернет на
основе Light Squid в OpenSuse.
Установка.
1.
Создаём с помощью менеджера файлов каталог, где у нас, непосредственно, и будет расположен lightsquid. Назовем его немного короче stat (srv/www/htdocs/stat)
2.
Скачиваем и распаковываем в созданный каталог последнюю версию lightsquid
(берем тут: http://lightsquid.sourceforge.net/ )
3. Делаем скрипты программы исполняемыми.
# chmod +x *.cgi
# chmod +x *.pl
(Рис. 93. Ввод команды chmod +x *.cgi
)
(Рис. 94. Ввод команды chmod +x *.pl)
4. Ставим зависимые пакеты, без которых программа работать не будет (libgd-gd2-perl
отвечает за показ графиков)
(Рис. 95. Установка дополнительных пакетов)
68

Настройка.
1. Для того, чтобы Apache правильно обрабатывал .cgi-скрипты отредактируем файл /etc/httpd.conf и добавим в него следующие строки:

Options +ExecCGI
AddHandler cgi-script .cgi
DirectoryIndex index.cgi
AllowOverride All

Затем, для применения новых настроек перезапустим Apache.
2. Открываем на редактирование конфигурационный файл lighsquid.cfg и правим пути в секции GLOBAL VARIABLES
$cfgpath ="/srv/www/htdocs/stat";
$tplpath ="/srv/www/htdocs/stat/tpl";
$langpath ="/srv/www/htdocs/stat/lang";
$reportpath ="/srv/www/htdocs/stat/report";
$logpath ="/var/log/squid";
$ip2namepath ="/srv/www/htdocs/stat/ip2name";
В секции WEB VARIABLES выставляем нужный язык интерфейса. В данном случае русский.
$lang ="ru";
3. Закрываем и сохраняем. Теперь с помощью скрипта check-setup.plможем проверить правильность сделанных настроек. Никаких ошибок быть не должно.
# ./check-setup.pl
4. Открываем файл realname.cfg и прописываем там IP пользователей и их реальные имена, которые будут отображаться в отчётах lightsquid
192.168.1.2
com1
192.168.1.4
com2
192.168.1.5
com3
192.168.1.6
com4
192.168.1.7
com5
192.168.1.8
com6
Теперь можно вручную сгенерировать отчеты и заодно проверить как работает lightsquid:
сервис->открыть терминал и ввести ./lightparser.pl
После того как отчет сгенерирован открываем браузер и вводим в адресной строке:
http://ip_вашего_сервера/stat
69

(Рис. 96. Главная страница lightsquid)
(Рис. 97. Отчет по дате)
70

(Рис. 98. Отчет в виде графика)
(Рис. 99. Отчет за месяц)
Для автоматизации генерирования отчётов добавляем в cron (/var/spool/cron/tabs/
root) задание: 0,15,30,45 * * * * /srv/www/htdocs/stat/lightparser.pl. Отчёты будут автоматом генерироваться через каждые 15 минут.
Для правильной генерации отчетов так же вынесем в cron ротацию логов сквида:
1 0 * * * /usr/sbin/logrotate /etc/logrotate.conf.
71

Заключение.
Сегодня имеется очень много несогласных с применением контент-фильтрации в образовательном учреждении, особенно по "белым" спискам, но давайте на минуту задумаемся - а зачем на входе в школу дежурит охрана или вахтер? Не затем-ли, чтобы отфильтровать нежелательные проникновения и для поддержания порядка в школе?
Так и сеть Интернет на сегодня изобилует ресурсами, посещение которых просто не соответствует образовательным задачам и посещение которых учащимися может привести к штрафам, судебным искам к образовательному учреждению как со стороны родителей, так и со стороны надзорных органов.
И мы не прибегая к дорогостоящим программ, сумели организовать работу и контент- фильтрации, и учета статистики работы пользователей в сети Интернет средствами свободного программного обеспечения, существенно сэкономив при этом бюджет школы.
72

Литература
1. DHCP-сервер на Ubuntu: [сайт]. URL: http://448dmg.ru/dhcp-server-nubuntu-278
(Дата обращения 13.12.2011 ).
2. LightSquid Home Site : Installs: [сайт]. URL: http://lightsquid.sourceforge.net/Installs.html
(Дата обращения 13.12.2011).
3. NetPolice. Руководство по установке и эксплуатации: [сайт]. URL: http://netpolice.ru/filters/altlinux/help/
(Дата обращения 13.12.2011).
4. Open-SUSE.RU: [сайт]. URL:
http://open-suse.ru/modules/smartsection/
(Дата обращения
13.12.2011).
5. Portal:Документация: [сайт]. URL: http://ru.OpenSuse.org/Portal:%D0%94%D0%BE
%D0%BA%D1%83%D0%BC%D0%B5%D0%BD
%D1%82%D0%B0%D1%86%D0%B8%D1%8F
(Дата обращения 13.12.2011).
6. Sarg - Squid Analysis Report Generator: [сайт]. URL: http://www.opennet.ru/prog/info/1175.shtml
(Дата обращения 13.12.2011).
7. Ubuntu Server. Настраиваем контент-фильтр роутера (DansGuardian): [сайт].
UPR:
http://interface31.ru/tech_it/2010/03/ubuntu-server-nastraivaem-kontent-fil-tr-routera- dansguardian.html
(Дата обращения 13.12.2011).
8. Ubuntu-ru: [сайт]. URL: http://ubuntu.ru
(Дата обращения 13.12.2011)/
9. Webmin — система на кончиках пальцев: [сайт]. URL: http://habrahabr.ru/blogs/linux/72325/
(Дата обращения 13.12.2011).
10. Альт Линукс 5.0 Школьный: [сайт]. URL: http://www.altlinux.ru/products/5th- platform/school-box/
(Дата обращения 13.12.2011).
11. Настройка SQUID с помощью Webmin: [сайт]. URL: http://break- people.ru/cmsmade/index.php?page=unix_webmin_practice_squid_webmin
(Дата обращения 13.12.2011).
12. Настройка фильтра NetPolice DNS (Для Ubuntu): [сайт]. URL:
http://rub- educ.ru/dock/informat/98-nastroyka-filtra-netpolice-dns.html
(Дата обращения
13.12.2011).
13. Подключение NetPolice DNS: [сайт]. URL: http://www.netpolice.ru/filters/dns- filter/connect/
(Дата обращения 13.12.2011).
14. Сайт, посвященный проблеме блокирования рекламы, порно-сайтов, mp3 и.т.д. средствами прокси сервера SQUID: [сайт]. URL: http://www.rejik.ru/
(Дата обращения
13.12.2011).
15. Система контентной фильтрации. На базе Ubuntu: [сайт].
URL:
http://oivt.ru/blog/sictema-kontentnoy-filtracii-na-baze-ubuntu
(Дата обращения
13.12.2011).
16. Установка и настройка Lightsquid в Debian Lenny: [сайт]. URL: http://www.youisbee.ru/head/25-linux/69-lightsquid
(Дата обращения 13.12.2011).
17. Шлюз Интернета на базе Ubuntu-Server: [сайт]. URL: http://help.ubuntu.ru/wiki/sharing_internet
(Дата обращения 13.12.2011).
73

Каталог: upload -> iblock
iblock -> Виртуальное коммуникативное пространство: становление, современное состояние и перспективы развития
iblock -> Общеобразовательное
iblock -> Занятие по профилактике терроризма и экстремизма для младших школьников «Жить в мире с собой и другими»
iblock -> К п. н, доцент кафедры немецкого языка
iblock -> Программа повышения квалификации «Новые информационные технологии в дошкольном образовании» Москва 2015
iblock -> Программа развития инновационного территориального кластера
iblock -> Информация о реализации


Поделитесь с Вашими друзьями:
1   2   3


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал