Dansguardian (filtrowanie treści)

Instalacja

sudo apt-get install dansguardian

Konfiguracja

W pliku /etc/dansguardian/dansguardian.conf zmieniamy niewiele:

  language = 'polish'
  filterip =192.168.19.1 #ip, na którym ma nasłuchiwać dansguardian
  # zakomentowujemy linie zaczynającą się:
  #accessdeniedaddress = 'http://YOURSERVER.YOURDOMAIN...'
  forwardedfor = on

Ostatnia opcja umożliwia wgląd w źródłowe IP klienta. W pliku /etc/dansguardian/dansguardianf1.conf opisującym domyślną grupę użytkowników (czyli wszystkich) ustalamy reguły filtrowania:

  naughtynesslimit = 150 #ustawienie wrażliwości filtra

Dansguardian domyślnie nasłuchuje na porcie 8080, możemy więc konfigurować proxy ręcznie w przeglądarkach wybranych klientów. Wygodniejszym rozwiązaniem jest jednak puszczenie całego ruchu przez filtr automatycznie. W skrypcie firewalla muszą się wtedy znaleźć się dwie linie:

  iptables -A INPUT -i $INTIF -p tcp --dport 8080 -j ACCEPT
  iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-ports 8080

– które przekierowują cały ruch http do Dansguardiana. Dodatkowo można zablokować, tzn. nie otwierać w omawianej konfiguracji portu 3128, na którym nasłuchuje Squid, żeby uniemożliwić użytkownikom obchodzenie filtra.

Dostrojenia blokowanych treści dokonujemy w listach zawartych w katalogu /etc/dansguardian/lists. Już na początku warto zmienić kilka ustawień:

• bannedextensionlist – warto odblokować (czyli zakomentować) rozszerzenia występujące w plikach często pobieranych z sieci, np.: .exe, .js, .jse, .msi, .doc, .xls, .ppt, .gz, .tgz, .bz2, .zip, .rar, .mp3, .iso, .ogg, .wmf
• bannedmimetypelist – odblokować (czyli zakomentować) zawartość archiwów: application/gzip, #application/x-gzip, application/zip
• bannedsitelist – tu dopisujemy strony, które chcemy w całości zablokować, np.: facebook.com
• bannedurllist – strony, które chcemy zablokować częściowo, np.: members.home.net/uporn
• exceptionfilesitelist – strony, z których można pobierać pliki, np. serwery obsługujące aktualizacje Windows: windowsupdate.microsoft.com, download.windowsupdate.com itp.
• exceptioniplist – tu można dopisać adresy IP komputerów z sieci LAN, których nie należy filtrować, np. komputery z księgowości itp.
• exceptionsitelist – strony, na które w całości zezwalamy, np.: update.microsoft.com, watson.microsoft.com, archive.ubuntu.com, ftp.pl.debian.org, archlinux.org
• greysitelist – w listach "grey" wpisujemy strony, dla których wyłączamy filtrowanie URL, ale zachowujemy filtrowanie treści, czyli można je przeglądać pod warunkiem, że dany zasób nie zawiera czegoś niedozwolonych, np.: wp.pl, onet.pl, interia.pl, gazeta.pl

Uruchomienie usługi: sudo service dansguardian start.