Контент-фильтр средствами СПО
|
|
|
Дата: Пятница, 26.10.2012, 07:44 | Сообщение #41
|
Сергеев_ЕВ
Модератор форума
Группа: Модераторы
Сообщений: 3177
Статус: Отсутствует
|
Quote (iyugov) Фильтрация на сервере, зависящая от ОС клиента? Меня тоже убивает ситуация, к которой нас усиленно склоняет наше начальство: ставить контент-фильтры на каждую машину. Т.е. фильтрацией своего трафика должна заниматься сама машина! Ну не глупость ли?
Окажу помощь в создании и администрировании учительских сайтов в системе uCoz
|
|
|
|
|
Дата: Вторник, 27.11.2012, 17:46 | Сообщение #42
|
denisyan7475
Прочно закрепившийся
Группа: Друзья
Сообщений: 553
Статус: Отсутствует
|
На этом сайте говорится об интернет-цензоре, а под линукс версии нет. Дополнение для мозиллы нни в убунту ни в минт не пошло. Я нашел прикольное расширение под Хром tinyFilter - фильтрует по матерным словам, по сайтам и тд. На первый взгляд хорошо
|
|
|
|
|
Дата: Вторник, 12.03.2013, 10:30 | Сообщение #43
|
iyugov
Владыка слова
Группа: Друзья
Сообщений: 1433
Статус: Отсутствует
|
Вчера захожу в бухгалтерию - а там работник прокуратуры, что-то проверяет. Попался я ему на глаза и плучил вопрос о фильтрации сайтов. Без проблем, говорю, только приглашаем в учебный класс, ведь на компьютерах сотрудников фильтрация не требуется. А в классе стоит сквид на белом списке сайтов. Все поисковые запросы в адресной строке браузера и набранные адреса выдавали "Доступ запрещён". У меня даже сложилось мнение, что интернет вообще отвалился, но заведомо "правильные" сайты всё-таки открывались. Проверяющий послушал принцип работы белого списка, согласился с целессобразностью его применения, на всякий случай ещё раз проверил фильтрацию. Цитирую вердикт: "Нет, до этого докопаться невозможно". Проблем удалось избежать.
|
|
|
|
|
Дата: Среда, 03.04.2013, 20:58 | Сообщение #44
|
Андрей_И
Новичок
Группа: Проверенные
Сообщений: 23
Статус: Отсутствует
|
Цитата (iyugov) только приглашаем в учебный класс, ведь на компьютерах сотрудников фильтрация не требуется. А все работники прокуратуры так считают? Наш учитель информатики утверждает, что фильтрацию на все школьные компы делать надо. И при прошлых проверках использовали комп завуча...
|
|
|
|
|
Дата: Среда, 03.04.2013, 22:52 | Сообщение #45
|
iyugov
Владыка слова
Группа: Друзья
Сообщений: 1433
Статус: Отсутствует
|
Андрей_И, при одной из предыдущих проверок проверяющий (тот же самый) использовал компьютер завуча. Тогда мы не настаивали на проверке именно ученических компьютеров, т. к. фильтр был на уровне провайдера - работал абсолютно на всех компьютерах, но, как оказалось, неудовлетворительно. У нас где-то был нормативный акт, предусматривающий ограничение доступа учащихся с ресурсам интернета, а насчёт других категорий лиц указаний не поступало. Если прокуратура всё же захочет выписать нам представление по этому поводу, то ей придётся сослаться на соответствующий приказ или закон. Которого, видимо, не существует.
Сообщение отредактировал Сергеев_ЕВ - Четверг, 04.04.2013, 05:44
|
|
|
|
|
Дата: Пятница, 19.04.2013, 12:00 | Сообщение #46
|
Сергеев_ЕВ
Модератор форума
Группа: Модераторы
Сообщений: 3177
Статус: Отсутствует
|
Иван Олегович, и снова я до Вас, уж не обессудьте!
В-общем, Доступно только для пользователей, все нормально, и даже классно. Делал, правда, не все точь-в-точь, но в-общих чертах: 1. Установку, разводку интерфейсов, поднятие SSH, MC и т.п., разумеется, пропустил, т.к. сам Шмог 2. NAT сначала настроил через arno-iptables-firewall, потом удалил этот пакет и сделал так, как предлагает автор: создал скрипт, залил в него строки из букваря, айпишники заменил на свои 3. Даже автозагрузку сделал как просят: через файл настройки сетевых интерфейсов 4. Ни ДНС, ни ДХЦПед ставить не стал - не надо мне это 5. Сквид настраивать не стал, т.к. был он уже, в настройках, правда, не копался 6. Поставил DansQuardian.
Теперь, когда все более-менее стоит и крутится, прописываю адрес прокси на клиенте, пытаюсь открыть пару запретных страниц - все нормально рубит, режет и по соплям бьет, как надо. Но когда пытаюсь завернуть весь http-трафик на сквида (строчка: # Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.3.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.3.1:3128) - сквид запирается напрочь. Не пускает вообще никуда! Почти...
Пишет вот так: The requested URL could not be retrieved Но - поразительно! - прямой адрес, например, письма в почтовом ящике, вводишь - на тебе, пожалуйста, ящик свой бери!
Окажу помощь в создании и администрировании учительских сайтов в системе uCoz
|
|
|
|
|
Дата: Пятница, 19.04.2013, 22:29 | Сообщение #47
|
iyugov
Владыка слова
Группа: Друзья
Сообщений: 1433
Статус: Отсутствует
|
Ушёл читать документацию. А пока вот мои настройки: Код #!/bin/sh
dest_port=80
proxy_port=3128
# локальная сеть lan1=192.168.0.0/24
# внешний интерфейс ip_wan=10.0.17.6
# NAT для общей сети через прокси iptables -t nat -A POSTROUTING -s ${lan1} -j SNAT --to-source ${ip_wan} iptables -t nat -A PREROUTING -s ${lan1} -p tcp --dport ${dest_port} -j REDIRECT --to-port ${proxy_port}
# Перенаправление пакетов разрешено echo 1 > /proc/sys/net/ipv4/ip_forward
UPD:
Первоначальные соображения по статье такие.
1. В документации по iptables написано, что MASQUERADE нужно использовать только при динамических IP-адресах, а для статики надо использовать SNAT. Как понимаю, в этом вы разошлись со статьёй, хотя по описанию MASQUERADE и SNAT схожи, и работоспособность MASQUERADE выглядит тоже логичной.
2. DNAT исполняется для пакетов из цепочки PREROUTING - т. е. в первую очередь при попадании на сервер. DNAT подменяет адрес назначения, и я понимаю это так: 1) в пакете указан, например, адрес назначения www.uchportal.ru, а DNAT меняет его на 192.168.3.1, после чего если и можно идентифицировать адрес www.uchportal.ru, то только по номеру присвоенного ему порта во внутренней таблице NAT; 2) DNAT также меняет порт назначения на 3128, т. е. вообще стирает из пакета информацию о том, кому он на самом деле отправлялся; 3) сквид следом получает этот пакет и по адресу и порту понимает, что пакет предназначен лично ему; 4) сквид решает, что он нам не какой-нибудь веб-сайт, поэтому сам себя он открывать никому не будет.
3. Решением проблемы вижу следующее: пусть на пути пакета из локалки в интернет его сначала будет принимать сквид, а только потом начнутся махинации с адресами и портами (NAT). Не понимаю, почему статья советует заворачивать трафик на сквид (DNAT). Логично заворачивать через сквид (REDIRECT). Сквид же должен быть транзитным узлом, а не конечным. На то он и прозрачный, чтобы адреса ради него не менять.
4. В моём случае сначала (PREROUTING) делается честное перенаправление (REDIRECT), и сквид не обманывается насчёт адресов назначения. При уходе пакета с машины (POSTROUTING) ему делается трансляция адресов, причём не DNAT, а SNAT - подменяется адрес источника (клиента в локалке) на адрес шлюза. Между прочим, DNAT в POSTROUTING вообще невозможен. Таким образом, сквид, как и положено любому серверу в локалке, работает с белыми айпишниками клиентов и сам на адреса не воздействует, а трансляция адресов клиентов делается на самом выходе в большую сеть, где это обычное дело.
5. Не могу понять, почему у автора статьи всё якобы работало, а также почему ваш сквид открывает некоторые адреса. Дайте, что ли, примеры открывающихся и неоткрывающихся адресов.
Сообщение отредактировал iyugov - Суббота, 20.04.2013, 11:23
|
|
|
|
|
Дата: Вторник, 14.05.2013, 15:06 | Сообщение #48
|
Сергеев_ЕВ
Модератор форума
Группа: Модераторы
Сообщений: 3177
Статус: Отсутствует
|
Иван Олегович! Ну никак я не могу победить свой сквид с Данс-Гвардианом! Башка уже отваливается - лучше не становится... В-общем, та же статья, только на этот раз после установки убунты сразу же начал выстраивать NAT, как там и говорится. Прописываешь айпи прокси на клиенте - ДГ обрубает все запрещенные адреса. Пытаюсь зарулить весь остальной трафик на него - вообще никакого проксирования не происходит. Если раньше отваливалась сеть при попытке: Цитата (Сергеев_ЕВ) # Заворачиваем http на прокси iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.3.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.3.1:3128) то сейчас просто молчок...
Окажу помощь в создании и администрировании учительских сайтов в системе uCoz
|
|
|
|
|
Дата: Среда, 15.05.2013, 09:52 | Сообщение #49
|
iyugov
Владыка слова
Группа: Друзья
Сообщений: 1433
Статус: Отсутствует
|
Сергеев_ЕВ, да почему же DNAT? Сквид получает пакет и, естественно, не знает, куда его дальше деть. REDIRECT же нужен. Сквид должен стать не конечным узлом, а транзитным.
Сообщение отредактировал iyugov - Среда, 15.05.2013, 09:53
|
|
|
|
|
Дата: Среда, 15.05.2013, 13:45 | Сообщение #50
|
Сергеев_ЕВ
Модератор форума
Группа: Модераторы
Сообщений: 3177
Статус: Отсутствует
|
И всё? Я уже не могу поверить... Т.е. эта строчка действительно погонит весь трафик через 3128-й порт до сквида, а уж что там делать с пакетами - он сам себе и решит?
Окажу помощь в создании и администрировании учительских сайтов в системе uCoz
|
|
|
|