Контент фильтрация. Linux. Squid+Dansguardian

[YYY]

а если поставить легкую проксю перед DG ?

ничего не понял.... :(

у вас
Браузер -> iptables  -> DG
а сделать
Браузер -> iptables -> proxy -> DG

[valobasoff]

прошу прощения, я мало соображаю в этом деле...что даст мне этот костыль в виде легкого прокси? прокся у меня есть в виде сквида...
у меня как бы оно работает, нужно только сделать чтобы работало само, а не только при ручном запуске в определённой последовательности...

[fce]

вроде достаточно успешно решил свою проблему общей фильтрации с помощью отправки всех пакетов по 80 порту на порт Dansguardian командой

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3180всё работает, но при попытке перезагрузить Dansguardian, он не поднимается со ссылкой что файл порт занят,  приходится делать efw restart
, потом запускать Dansguardian и снова iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3180. скажите, как правильно сделать чтобы всё работало и после перезагрузки и  после изменении через веб настроек прокси тоже.

Над определить кто занимает порт после того как Dansguardian останавливается, тут два варианта может быть
другая программа или сам Dansguardian.
Попробуйте рестартовать Dansguardian вручную в консоли
/etc/init.d/dansguardian restart
если перезапуск прошел нормально
то смотрите кто занимает порт
типа так
fuser -n tcp 8080                                                                                 
8080/tcp:             3685                                                                                           

ps -A | grep 3685
 3685 ?        00:11:13 xbmc.bin

Как видим из первой команды порт действительно занят процессом 3685
А вторая показывает, что за процесс, у меня порт 8080 занят веб-интерфейсом XBMC
Естественно вместо 8080 указывайте свой порт.

или так
netstat -nlp |grep 8080
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      3685/xbmc.bin
Бывает что из-за ошибки в файле инициалиазации Dansguardian, не работает именно рестарт, и Dansguardian остается в подвешенном состоянии.
В таком случае можно завершить процессы dansguardian
killall -9 dansguardian
и затем запустить его.
PS. Если не ошибаюсь, то вроде правил файл инициализации в школьном сервере именно по этой причине.

[valobasoff]

fce спасибо за детальный ответ, выяснил что висит сам Dansguardian, причем через некоторое время он всё таки завершается, видимо заканчивает работу по обработке запросов. и потом можно запустить service dansguardian restart. Получается что просто команду нужно ввести несколько раз, пока не запустится...но это не так критично. Дальше важно запускать переадресацию 80 порта на прокси при перезагрузке, как это сделать сохранив возможность настройки файервола из web интерфеса школьного сервера ?
т.е. руками приходится запускать iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3180

[derugu]

вроде достаточно успешно решил свою проблему общей фильтрации с помощью отправки всех пакетов по 80 порту на порт Dansguardian командой

Код: [Выделить]

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3180всё работает, но при попытке перезагрузить Dansguardian, он не поднимается со ссылкой что файл порт занят,  приходится делать efw restart
, потом запускать Dansguardian и снова iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3180. скажите, как правильно сделать чтобы всё работало и после перезагрузки и  после изменении через веб настроек прокси тоже.

1. Создаем файл
/etc/net/ifaces/default/fw/iptables/nat/my_start

2. В нем запишите строку:   
-d ! 192.168.0.1 -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

3. В /etc/rc.d/rc.local добавьте  такие строки
cp /etc/net/ifaces/default/fw/iptables/nat/my_start /etc/net/ifaces/default/fw/iptables/nat/PREROUTING                                                         
efw restart
Только замените свой айпи , имя сетевушки и порт прокси.
Это конечно не айс, но выяснять, кто стирает строчку редиректа из файла PREROUTING было лень. А так тупо автоматом каждый раз при загрузке пишем строчку инициализации заново... У меня работает.)

[valobasoff]

В школьном сервере 5.0.2 нет /etc/rc.d/rc.local   :(

[berkut_174]

В школьном сервере 5.0.2 нет /etc/rc.d/rc.local   :(

Так создайте его

Код: [Выделить]

touch /etc/rc.d/rc.local
echo '#!/bin/sh' > /etc/rc.d/rc.local
chmod 755 /etc/rc.d/rc.local

[NecroJoke]

fce спасибо за детальный ответ, выяснил что висит сам Dansguardian, причем через некоторое время он всё таки завершается, видимо заканчивает работу по обработке запросов. и потом можно запустить service dansguardian restart. Получается что просто команду нужно ввести несколько раз, пока не запустится...но это не так критично. Дальше важно запускать переадресацию 80 порта на прокси при перезагрузке, как это сделать сохранив возможность настройки файервола из web интерфеса школьного сервера ?
т.е. руками приходится запускать iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3180

Там вроде в web интерфэйсе можно перейти в ручной режим редактирования правил фаерволла. После выбрать нужную таблицу nat/prerouting и отредактировать правило.

[montigomo]

Спасибо, коллеги, за 10 страниц полезной информации!
Я сам недавно столкнулся с темой контентной фильтрации в школах. Похоже, что чиновники, как обычно, разработали репрессивное законодательство, но не предложили методику обеспечения выполнения законов. И тысячу раз был прав Н. Карамзин, когда писал, что от глупости и тупости российских законов спасает только их неукоснительное неисполнение!
Теперь поделюсь своим опытом.
Для прокурорских проверок в российских школах необходимо обеспечить тройную фильтрацию контента: 1 - на уровне провайдера, 2 - на уровне сервера, 3 - на уровне каждой рабочей станции.
В своей школе я сейчас подключил отдельную выделенную линию "Ростелеком" с контентной фильтрацией через Москву. В Приложении к Договору с провайдером указано, что они осуществляют фильтрацию. Всё, первый пункт я закрыл.
На уровне сервера фильтрация осуществляется прокси-сервером "User Gate" (в ближайшее время буду переходить на squid). Фильтруем по "Белому списку" и всё! Будем считать, что второй пункт тоже выполнен.
Теперь персональный фильтр на каждой рабочей станции. Вышестоящее начальство настоятельно порекомендовало использовать "Интернет-цензор". Что ж, попробуем! Нашёл я этот фильтр, в ближайшие дни буду пробовать. О результатах расскажу позже.

[YYY]

> Для прокурорских проверок в российских школах необходимо обеспечить тройную фильтрацию контента:
> 1 - на уровне провайдера, 2 - на уровне сервера, 3 - на уровне каждой рабочей станции.

В каком это документе записано?

[dk]

Для прокурорских проверок в российских школах необходимо обеспечить тройную фильтрацию контента: 1 - на уровне провайдера, 2 - на уровне сервера, 3 - на уровне каждой рабочей станции.

Во-первых, ничего подобного ни в одном законе не прописано, а прокуратура работает исключительно ради "палок" - вот, пресекли сотни нарушения законов! А с 1 сентября вступает в силу 436-ФЗ, в соответствии с которым (статья 14) за контент-фильтрацию отвечает исключительно провайдер. Смотрите http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=108808

[mk]

Во-первых, ничего подобного ни в одном законе не прописано, а прокуратура работает исключительно ради "палок" - вот, пресекли сотни нарушения законов!

Обиднее всего, что они сами закон нарушили:
1) вместо борьбы с распространителями незаконной информации, преследовали ни в чем не повинных пользователей
2) вместо требования создавать учителям «благоприятные условия для осуществления деятельности ... (включая места для их доступа к сети "Интернет")» (п.1 ст.14.1 закона 124-ФЗ) , мешали им работать
3) вместо соблюдения Конституции и 149-ФЗ, запрещающих ограничивать информацию, провоцировали школы на введение "белых списков", т.е. ограничение информации

Самое веселое начнется, когда они начнут ходить и наказывать за "белые списки" как ограничение информации.

Я думаю, самое правильное - строго соблюдать опубликованный 31 декабря 2010 г. Федеральный закон РФ от 29 декабря 2010 г. N 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». Закон вступает в силу 1 сентября 2012 г. В нем необходимо обеспечить подключение через фильтрующего провайдера. Все! Обязанность фильтрации возложена этим законом на него.

[vanchope]

Я думаю, самое правильное - строго соблюдать опубликованный 31 декабря 2010 г. Федеральный закон РФ от 29 декабря 2010 г. N 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию». Закон вступает в силу 1 сентября 2012 г. В нем необходимо обеспечить подключение через фильтрующего провайдера. Все! Обязанность фильтрации возложена этим законом на него.

Неужели всё?! Даже не верится...

[maestro]

Когда начнет фильтровать провайдер, будете плакать, что не пускает на нужные ресурсы. Я уже сталкивался с ситуацией, когда был назначен онайн-конкурс на 14 часов, а сайт со словом children оказался заблокирован фильтром провайдера. А у провайдера перерыв. Деньги, заплаченные детьми за конкурс пропали.
Считаю, что управление контентом должно быть в руках у школы, а не у провайдера.
По поводу прокурорских проверок. Создайте профиль с белым списком (вплоть до того, что можно сделать отдельный РС, включаемый перед приходом прокурора), а сами работайте, как вам удобно. Перед проверкой они обязаны предупреждать. Вот и включите ему этот белый список. Пусть проверяет.
После опытов с NETPOLICI, DANSGUARDIAN И REJIK, убив целый год на эксперименты, которые не давали нужного результата, купил для школы коммерческий продукт на основе Линукс. Тем более, что цена для школ в 5 раз ниже рыночной (4500р.). За час настроил прокси и контентную фильтрацию, используя только веб-интерфейс.
Желаю всем удачи в нелегкой борьбе  с контентной фильтрацией.

[galkin24]

Это не SkyDNS ли?