Контент фильтрация. Linux. Squid+Dansguardian

[chayka-alex]

А как сконфигурировать DansGгardian на каждой локальной машине в сети в классе(нет возможности организовать сервер)?

Правильно! Такая инструкция нужна. И если можно, для чайников, а то я, например, так и не понял, как в Linux редактируются защищённые от записи конфигурационные файлы.  :(

[Skull]

а то я, например, так и не понял, как в Linux редактируются защищённые от записи конфигурационные файлы.  :(

Есть два способа:
1. В графическом редакторе (через программы повышения привилегий gksu, kdesu): Alt+F2,

Код: [Выделить]

gksu gedit /etc/fstab2. В терминале: откройте Терминал (или Alt+F2, xvt), введите команды (в первой будет запрошен пароль пользователя root):

Код: [Выделить]

su -
mcmc похож на Norton Commander или Far. Думаю, разберётесь. Как вариант второй команды:

Код: [Выделить]

mcedit /etc/fstab

[murlocotam]

http://dansguardian.ucoz.ru
http://interface31.ru/tech_it/2010/03/ubuntu-server-nastraivaem-kontent-fil-tr-routera-dansguardian.html

Вчера собирал всех учителей информатики в нашем районе, один из преподавателей начал выступать (ну выставил я его и его жену в не благоприятном свете с этими контент фильтрами пред РОО). Я плюнул, и больше помогать, бесплатно, не буду, а цену загну такую что бы и обращаться не было повадно. Уж если товарищи хотят огородить школьников то пусть стараются, а эти даже письмо накатали что ПО рекомендованное министерством (netpolice)не фильтрует, в общем галдёж чаек.
Объясняю, если в ходе прокурорской проверки Вы подписали протокол, то вы признали себя виновным, если не подписали, то так же признали себя виновным. Внимательно вчитайтесь в слово ПРОТОКОЛ, уверен что в нём есть место для ваших замечаний, которые стоит оставить, чем испортить спокойную жизнь товарищам из прокуратуры.

На приведённых ссылках Вы найдёте полные инструкции по настройке данса. Не бойтесь того что Ваши любимые сайты будут помечаться как опасные, там в настройках есть белый список в который можно занести ваши Любимые сайты, для примера у меня таких сайтов не более 20, а представьте сколько сайтов на которые нельзя заходить... что проще настроить?
Склоняйте вредные слова как угодно, Ваша задача не дать проникнуть на вредные страницы.
И ещё строку
filterip =  
рекомендую оставить ПУСТОЙ.

[valobasoff]

помогите решить такую задачу, на ШС502 стоит Dansguardian, в настройках клиентов через альтератор прописал адрес прокси, через браузер всё ок, НО клиенты не могут общаться с зеркалом репозитория находящимся на этом же сервере и использующегося для установок и обновлений по ftp, приходится отключать для этого на время прокси, было б не проблемно если-б не количество компьютеров.

[fce]

помогите решить такую задачу, на ШС502 стоит Dansguardian, в настройках клиентов через альтератор прописал адрес прокси, через браузер всё ок, НО клиенты не могут общаться с зеркалом репозитория находящимся на этом же сервере и использующегося для установок и обновлений по ftp, приходится отключать для этого на время прокси, было б не проблемно если-б не количество компьютеров.

попробуйте добавить ip-адрес сервера FTP в exceptionsitelist это должно помочь

[fce]

И ещё строку
filterip =  
рекомендую оставить ПУСТОЙ.

Вообще-то желательно прописать ip-адреса внутреннего интерфейса чтоб не принимал соединения на внешнем.
Если внутренних интерфейсов несколько то для каждого можно прописать ip-адрес о чем прямо и написано в конфигурационном файле
Примерно так
filterip=192.168.0.1
filterip=192.168.4.1
filterip=192.168.5.1

[fce]

Собираюсь написать веб-интерфейс к Dansguardian, но на этапе разработки структуры базы данных и написания пробных скриптов столкнулся с некоторыми трудностями.

Принцип я задумал примерно такой.
Изначально есть базы сайтов, фраз, регулярных выражений и др.
для каждой группы можно подключать разные категории фраз-сайтов, определять расширения файлов и т.п. и многое другое.
 также для групп доступны отдельные списки сайтов

Все это хранится в базе, и специальная программа формирует списки прямо из базы.

Так собственно о трудностях.
1. Добавление групп хоть и возможно прямо в интерфейсе, но это ведет к неизбежному усложнению структуры базы так как это связано с большой разветвленностью конфигов.
вдобавок невозможно удалить группу находящуюся в середине,так как нужно менять порядковые номера групп, а следовательно использовать ID групп для статистики станет невозможно.
Есть решение конечно задавать количество групп постоянным на уровне установки базы данных, но изменить его потом будет очень проблематично, да и какое количество считать оптимальным для большинства.

2. Так как многие списки достаточно внушительных размеров, то необходимо обеспечить в них поиск и удобный вывод, потому что в SAMS например уже при 300 сайтах в списках работать уже проблемно, во первых когда на страницу вываливается форма монстр из 100-500 элементов, сам поиск уже не простой вдобавок такую форму обработать и передать в некоторых случаях не всегда просто.
Понятно что нужно что-то типа каталога, я пересмотрел исходные коды более 100 каталогов ссылок, но не нашел ничего интересного, чтобы было просто для понимания и достаточно эффективно, многие каталоги написаны на PHP4 и используют глобальные переменные что неприемлемо для меня, те которые работают напичканы дополнительными функциями по самое не хочу.
В результате придется писать что-то свое. но хотелось чтобы высказали свое мнение относительно вида интерфейса такого каталога, так как то что я уже видел не пригодно для эффективной работы.

3. По поводу формирования списков из базы, надо каким-то образом отслеживать изменения в базе, можно конечно создать таблицу с полями изменений и перечитывать только те таблицы которые в ней указаны. Но опять с какой периодичностью это делать, и насколько это вообще разумно выглядит, поскольку большинство запросов к базе будет впустую.

4. Стоит ли хранить журналы в базе.
Насколько разумен такой подход или все же лучше работать прямо с текстовыми конфигами не используя базу, но тогда вопросы безопасности стоят еще более остро.

[YYY]

А что за база ?

вдобавок невозможно удалить группу находящуюся в середине,так как нужно менять порядковые номера групп

Я не совсем понял... А зачем менять ?
Всем задать номер уникальный и столбец-флаг указывающий на "удаление". Если флаг стоит то при генерации конфигов прожка поймет что это читать не надо. А физически пусть они в базе остаются... Базе не поплохеет... Зато восстановить можно если что :)

По поводу формирования списков из базы, надо каким-то образом отслеживать изменения в базе

Куда нибудь писать время изменения и время последнего формирования конфига.
Если второе меньше - то активизировать кнопку "переформировать"

[fce]

А что за база ?

MYSQL

Я не совсем понял... А зачем менять ?
Всем задать номер уникальный и столбец-флаг указывающий на "удаление". Если флаг стоит то при генерации конфигов прожка поймет что это читать не надо. А физически пусть они в базе остаются... Базе не поплохеет... Зато восстановить можно если что :)

Тогда так выходит, количество групп задавать при установке интерфейса, до этапа формирования таблиц в базе.
А далее просто отключать ненужные группы, при помощи дополнительного поля в таблице групп.
Ладно подумаю еще.

Куда нибудь писать время изменения и время последнего формирования конфига.
Если второе меньше - то активизировать кнопку "переформировать"

Я так тоже подумывал, но сейчас склоняюсь к виду
специальная таблица в базе примерно такого вида
change 1
now 1
slist 1
plist 1
где
change это поле куда при любом изменении ставится 1.
скрипт если находит в ней 1 начинает просматривать на наличие 1
slist, blist и другие, и если находит то перечитывает соответствующие списки, после чего обнуляет значения или выставляет например id-ошибок.
Что касается поле now то наличие 1 в этом поле заставляет демон перезапустить Dansguardian немедленно, другое значение может быть задержкой перезапуска в секундах например.
В результате выходит управление демоном и обратная связь с веб-интерфейсом.
Единственно насколько это правильно будет если демон будет выбирать из базы например каждую минуту значение change и now, в принципе для базы 1 маленький запрос в минуту это ничто.

Просто хочется с самого начала пойти по правильному пути.

[valobasoff]

попробуйте добавить ip-адрес сервера FTP в exceptionsitelist это должно помочь

не помогает(( причем через браузер на ftp заходит, файлы скачиваются, а вот механизм обновлений не работает.

[ruslandh]

Так apt наверное не обращается к прокси.

[fce]

попробуйте добавить ip-адрес сервера FTP в exceptionsitelist это должно помочь

не помогает(( причем через браузер на ftp заходит, файлы скачиваются, а вот механизм обновлений не работает.

Вы можете вручную указать прокси-сервер в /etc/apt/apt.conf
как пример добавляете одну строку
Acquire::http::Proxy "http://192.168.0.1:3128";
или если прокси с авторизацией
Acquire::http::Proxy "http://aptuser:123456@192.168.0.1:3128";
Соответственно ip-адрес, порт и прочее указываете свои
Сам когда столкнулся нашел это на altlinux.org
конкретнее вот здесь http://www.altlinux.org/APT_%D0%B2_ALT_Linux/%D0%A1%D0%BE%D0%B2%D0%B5%D1%82%D1%8B_%D0%BF%D0%BE_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8E
с тех пор постоянно сначала обращаюсь к вики, и только потом дальше -> google или форум в зависимости от того насколько быстро хочу решить проблему.

[valobasoff]

Так apt наверное не обращается к прокси.

Я к сожалению не знаю, но как факт, если не указываю в системе прокси, apt работает, после указания apt не работает(((
fce
попробую вариант позже, но хотелось бы не клиентов "лечить" а сервер, а то выходит как-то через одно место...

[paranoik]

Добрый день. Может быть кто нибудь здесь сможет ответить на вопрос?
Стоит связка SQUID + Dansguardian, Squid настроен на basic авторизацию. Хотелось бы еще пропускать некоторые компы по IP но увы в такой связке не получается. Dansguardian заменяет IP клиента на IP  шлюза.(видно по логам)
Может быть кто нибудь сталкивался с решением данной проблемы?

[YYY]

Добрый день. Может быть кто нибудь здесь сможет ответить на вопрос?
Стоит связка SQUID + Dansguardian, Squid настроен на basic авторизацию. Хотелось бы еще пропускать некоторые компы по IP но увы в такой связке не получается. Dansguardian заменяет IP клиента на IP  шлюза.(видно по логам)
Может быть кто нибудь сталкивался с решением данной проблемы?

А если сделать так:
Клиент->Сквид->ДГ->havp
за одно и на вирусы трафи проверяться будет Ж))))