Система фильтрации и управления доступом в интернет на базе сервера ALT Linux 4.0.1 (можно пробовать на старших версиях)

Сообщений: 1, участников: 1

Участвуют:
Ирина Боркунова

Ответить

29 марта 2011, 21:45

Система фильтрации и управления доступом в интернет на базе сервера ALT Linux 4.0.1 (можно пробовать на старших версиях), статическая адресация, адрес сервера 192.168.0.10

Участвуют:

squid - прокси-сервер

apache - web-сервер

sarg - анализатор логов squid и генератор отчетов

mc - файловый менеджер

redirector - rejik3 (www.rejik.ru) - штатный редиректор ALT-серверов

STC - Squid Traffic Counter (www.stc.nixdev.org) - программа контроля и управления доступом в интернет.

Фильтрация бывает по черным спискам (запрет), по белым спискам (разрешение) и контентная (запрет на информацию, где встречаются определенные слова). Механизм фильтрации, в случае запрета, основан на переадресации запросов на другой (доверенный) сайт, или на страничку на вашем сервере с предупреждением. Согласно белых списков (только доверенные сайты), запрос проходит напрямую.

В нашей системе работают две связки: redirector + squid + apache - собственно фильтрация, и STC+squid+sarg+apache - управление доступом.

Вначале проверяется наличие выше перечисленных программ. Все, кроме STC, должны быть в составе дистрибутива или в репозитории. STC скачивается с домашней страницы. Недостающие устанавливаются. Сразу оговорюсь, работа в командной строке под root и MC в помощь. Web-панели управления сервером недостаточно функциональны.

Проверка наличия нужной программы:

apt-cache search redirector

Установка программы:

apt-get install redirector

После установки проверяем наличие папки banlists и файла redirector.conf по адресу /etc/squid/redirector, а также файла /var/log/squid/redirector.log. На предварительно установленном web-сервере, если его не было по умолчанию, помещаем странички, куда будем отбрасывать всю непотребность.

Фрагмент настройки redirector.conf:

#error_log /var/log/squid/redirector.err
change_log /var/log/squid/redirector.log ----------------------------------- путь к log-файлу редиректора
make-cache /usr/sbin/make-cache
#allow_urls /etc/squid/redirector/banlists/allow_urls --------------------- белый список
raw_change http://rambler.ru http://search.icensor.ru -------------------- переадресация на isensor
raw_change http://www.rambler.ru http://search.icensor.ru
# raw_change http://ya.ru http://search.icensor.ru
# raw_change http://yandex.ru http://search.icensor.ru
# raw_change http://www.ya.ru http://search.icensor.ru
# raw_change http://www.yandex.ru http://search.icensor.ru
raw_change http://mail.ru http://search.icensor.ru
raw_change http://www.mail.ru http://search.icensor.ru
raw_log off

<AUDIO-VIDEO>
ban_dir /etc/squid/redirector/banlists/audio-video ------------------------ путь к списку запрещенных сайтов
url http://192.168.0.10/ban/audio-video.html ----------------------------- путь к страничке предупреждения
#log off

<BANNER>
ban_dir /etc/squid/redirector/banlists/banner
url http://192.168.0.10/ban/1x1.gif ----------------------------------------- все банеры сворачиваются в точку
log off --------------------------------------------------------------------------- отключение логирования (их очень много)

<CHATS>
ban_dir /etc/squid/redirector/banlists/chats
url http://192.168.0.10/ban/access_denied.html
#log off

<CONTENT>
ban_dir /etc/squid/redirector/banlists/content ------------------------------- раздел с нехорошими словами
url http://192.168.0.10/ban/access_denied.html
#log off

<ICQ>
ban_dir /etc/squid/redirector/banlists/icq
url http://192.168.0.10/ban/access_denied.html
#log off

<ONLINE-GAMES>
ban_dir /etc/squid/redirector/banlists/online-games
url http://192.168.0.10/ban/access_denied.html
#log off

<PORNO>
ban_dir /etc/squid/redirector/banlists/porno
url http://192.168.0.10/ban/porno.html
#log off

<SEARCH-ENGINE>
ban_dir /etc/squid/redirector/banlists/search-engine ----------------------- блокировка поисковых систем
url http://192.168.0.10/ban/access_denied.html
#log off

Вверху файла показаны настройки переадресации запросов с различных поисковых систем на http://search.icensor.ru - безопасную поисковую систему (мы, правда, в этом еще не убедились), можно пробовать свои варианты. Выбор поисковиков rambler, yandex, mail объясняется наличием на них почтовых ящиков наших сотрудников. Поскольку прямые ссылки подлежат переадресации, заходить на почту нужно непосредственно - mail.rambler.ru. Все остальные ссылки на главных страницах блокируются списком в разделе SEARCH-ENGINE, там же запрещается использование других поисковых систем. Остается одна поисковая строка yandex, которую тоже можно оперативно перебросить на icensor.

Пример файла urls раздела SEARCH-ENGINE:

addons.mozilla.org
ya.com
yandex.com
rambler.com
gogo.com
google.ru
google.com
google.by
google.pl
google.ua
google-analytics.com
gstatic.com
yahoo.ru
yahoo.com
msn.com
aol.com
altavista.com
lycos.com
nigma.ru
aport.ru
bing.com
#
adresa.yandex.ru
afisha.yandex.ru
auto.yandex.ru
blogs.yandex.ru
direct.yandex.ru
fotki.yandex.ru
images.yandex.ru
maps.yandex.ru
market.yandex.ru
mobile.yandex.ru
money.yandex.ru
news.yandex.ru
partner.yandex.ru
play.yandex.ru
pogoda.yandex.ru
rasp.yandex.ru
slovari.yandex.ru
tv.yandex.ru
# yabs.yandex.ru
yaca.yandex.ru
# video.yandex.ru
weather.yandex.ru
#
agent.mail.ru
afisha.mail.ru
avto.mail.ru
blogs.mail.ru
cards.mail.ru
chat.mail.ru
content.mail.ru
corp.mail.ru
deti.mail.ru
foto.mail.ru
games.mail.ru
#go.mail.ru
horo.mail.ru
lady.mail.ru
love.mail.ru
map.mail.ru
mobile.mail.ru
my.mail.ru
news.mail.ru
otvet.mail.ru
pogoda.mail.ru
r.mail.ru
rabota.mail.ru
realty.mail.ru
sales.mail.ru
showbiz.mail.ru
top.mail.ru
torg.mail.ru
travel.mail.ru
video.mail.ru
#
afisha.rambler.ru
assist.rambler.ru
audio.rambler.ru
autorambler.ru
finance.rambler.ru
foto.rambler.ru
friends.rambler.ru
ie.rambler.ru
icq.rambler.ru
games.rambler.ru
horoscopes.rambler.ru
love.rambler.ru
myrambler.ru
nakarte.rambler.ru
news.rambler.ru
orsn.rambler.ru
planeta.rambler.ru
sport.rambler.ru
top100.rambler.ru
travel.rambler.ru
tv.rambler.ru
vision.rambler.ru
weather.rambler.ru
web.rambler.ru

Для фильтрации контента, создадим раздел CONTENT в который помещаем файл pcre с разными нехорошими словами (например, ненормативная лексика), главное не переборщить. Здесь же можно использовать регулярные выражения (кто знает) для более тонкой настройки.

Пример файла pcre раздела CONTENT:

порно([\W_]|$)
секс([\W_]|$)
porno([\W_]|$)
sex([\W_]|$)
adult([\W_]|$)
проститутки
скинхеды

Примеры некоторых запросов:

Создано: 30.03.2011

А вот так выглядит log-файл редиректора:

2011-03-19 08:37:56 DATING: -64.-88.0.38 u28 http://allday.ru/uploads/posts/thumbs/121266179... (urls rule: allday.ru)
2011-03-19 08:38:29 SEARCH-ENGINE: -64.-88.0.38 u28 http://img.torg.mail.ru/model/2613/216109/1-3.jpg (urls rule: torg.mail.ru)
2011-03-19 08:38:29 SEARCH-ENGINE: -64.-88.0.38 u28 http://img.torg.mail.ru/model/4223/437780/1-3.jpg (urls rule: torg.mail.ru)
2011-03-19 08:39:17 DATING: -64.-88.0.38 u28 http://odnaknopka.ru/ok1.js (urls rule: odnaknopka.ru)
2011-03-19 08:39:20 SEARCH-ENGINE: -64.-88.0.37 u27 http://www.google-analytics.com/urchin.js (urls rule: google-analytics.com)
2011-03-19 08:42:16 SEARCH-ENGINE: -64.-88.0.40 u30 http://www.google-analytics.com/ga.js (urls rule: google-analytics.com)
2011-03-19 08:42:21 AUDIO-VIDEO: -64.-88.0.40 u30 http://www.youtube.com/v/v9W4DVP2atU (urls rule: youtube.com)
2011-03-19 08:42:21 AUDIO-VIDEO: -64.-88.0.40 u30 http://www.youtube.com/v/OMGd3mAfl-0 (urls rule: youtube.com)
2011-03-19 08:43:39 AUDIO-VIDEO: -64.-88.0.40 u30 http://www.youtube.com/v/c4epZGnKarE&hl=en_... (urls rule: youtube.com)
2011-03-19 08:43:56 AUDIO-VIDEO: -64.-88.0.40 u30 http://www.youtube.com/v/67HVMX9NuNE (urls rule: youtube.com)
2011-03-19 08:49:26 SEARCH-ENGINE: -64.-88.0.38 u28 http://img.torg.mail.ru/sell_new/4/7/6/47681810... (urls rule: torg.mail.ru)
2011-03-19 08:49:26 SEARCH-ENGINE: -64.-88.0.38 u28 http://img.torg.mail.ru/sell_new/3/4/a/34af5d6b... (urls rule: torg.mail.ru)
2011-03-19 08:49:33 SEARCH-ENGINE: -64.-88.0.38 u28 http://www.google.com/aclk?sa=L&ai=CGuBjxim... (urls rule: google.com)
2011-03-19 08:49:34 SEARCH-ENGINE: -64.-88.0.38 u28 http://www.google.com/favicon.ico (urls rule: google.com)
2011-03-19 08:49:37 SEARCH-ENGINE: -64.-88.0.38 u28 http://www.google.com/favicon.ico (urls rule: google.com)
2011-03-19 08:50:22 CHATS: -64.-88.0.37 u27 http://vkontakte.ru/js/api/openapi.js?10 (urls rule: vkontakte.ru)
2011-03-19 08:50:23 ICQ: -64.-88.0.37 u27 http://web.icq.com/whitepages/online?icq=368120... (urls rule: icq.com)
2011-03-19 08:57:12 ONLINE-GAMES: -64.-88.0.40 u30 http://stopgame.ru/ (urls rule: stopgame.ru)
2011-03-19 08:57:12 ONLINE-GAMES: -64.-88.0.40 u30 http://stopgame.ru/favicon.ico (urls rule: stopgame.ru)
2011-03-19 08:57:15 ONLINE-GAMES: -64.-88.0.40 u30 http://stopgame.ru/favicon.ico (urls rule: stopgame.ru)
2011-03-19 09:03:30 CHATS: -64.-88.0.38 u28 http://vkontakte.ru/id23844806 (urls rule: vkontakte.ru)
2011-03-19 09:08:58 SEARCH-ENGINE: -64.-88.0.-107 btv http://images.yandex.ru/yandsearch?text=%D1%88%... (urls rule: images.yandex.ru)
2011-03-19 09:08:58 SEARCH-ENGINE: -64.-88.0.-107 btv http://images.yandex.ru/favicon.ico (urls rule: images.yandex.ru)
2011-03-19 09:09:01 SEARCH-ENGINE: -64.-88.0.-107 btv http://images.yandex.ru/favicon.ico (urls rule: images.yandex.ru)
2011-03-19 09:09:01 SEARCH-ENGINE: -64.-88.0.-107 btv http://images.yandex.ru/favicon.ico (urls rule: images.yandex.ru)
2011-03-19 09:09:15 CHATS: -64.-88.0.-107 btv http://pshalom.livejournal.com/6656.html (urls rule: livejournal.com)
2011-03-19 09:09:15 CHATS: -64.-88.0.-107 btv http://pshalom.livejournal.com/favicon.ico (urls rule: livejournal.com)
2011-03-19 09:09:18 CHATS: -64.-88.0.-107 btv http://pshalom.livejournal.com/favicon.ico (urls rule: livejournal.com)
2011-03-19 09:24:51 SEARCH-ENGINE: -64.-88.0.36 u26 sb-ssl.google.com:443 (urls rule: google.com)
2011-03-19 09:26:11 PORNO: -64.-88.0.36 u26 http://x-1.ru/users/pizdoshei/ (urls rule: x-1.ru)
2011-03-19 09:26:11 PORNO: -64.-88.0.36 u26 http://x-1.ru/favicon.ico (urls rule: x-1.ru)
2011-03-19 09:26:14 PORNO: -64.-88.0.36 u26 http://x-1.ru/favicon.ico (urls rule: x-1.ru)
2011-03-19 09:26:25 PORNO: -64.-88.0.36 u26 http://udaff.org/photo/page5427.html (urls rule: udaff.org)
2011-03-19 09:26:25 PORNO: -64.-88.0.36 u26 http://udaff.org/favicon.ico (urls rule: udaff.org)
2011-03-19 09:26:28 PORNO: -64.-88.0.36 u26 http://udaff.org/favicon.ico (urls rule: udaff.org)
2011-03-19 09:26:30 AUDIO-VIDEO: -64.-88.0.36 u26 http://frame7.loadup.ru/b4/f6/1221522.3.2.jpg (urls rule: loadup.ru)

Более подробную информацию о редиректоре можно посмотреть на домашней странице. Чтобы все это заработало, необходимо дописать две строки в файл /etc/squid/squid.conf

# TAG: url_rewrite_program
#Default:
# none
url_rewrite_program /usr/sbin/redirector /etc/squid/redirector/redirector.conf

# TAG: url_rewrite_children
#Default:
url_rewrite_children 5

и перезапустить прокси:

service squid reload

После каждой правки настроек редиректора необходимо выполнять команду:

squid -k reconfigure

Установка и настройка STC достаточно подробно описана на домашней странице, а на форуме можно выяснить все тонкости применительно к определенному дистрибутиву. Ниже показаны некоторые примеры использования программы и рабочий конфигурационный файл.

Создано: 04.04.2011

Пример файла stc.conf:

#Config file for Install stc-2.0.10

# ----------- Main STC configuration -----------

#TAG: site_ip IP
site_ip 192.168.0.10

#TAG: stc_path /path_to_stc_files
stc_path /usr/local/stc/etc

#TAG: language language_file
language rus-1251

#TAG: log_file file
log_file /var/log/stc_error.log

#TAG: skip_cache yes|no
skip_cache yes

#TAG: drop_connections yes|no
drop_connections yes

#TAG: serverstat_type 1|2
serverstat_type 1

#TAG: divide_char CHAR
divide_char \

#TAG: ntlm_userdomain userfirst|domainfirst
ntlm_userdomain userfirst

#TAG: limit_path /path_to_limit_files
limit_path /usr/local/stc/limit

#TAG: SC_path DIR
SC_path /usr/local/stc/sarg

#TAG: www_data_path /path_to_apache_data
www_data_path /var/www/html

#TAG: reports_dir /path_to_where_repors_stored
reports_dir /var/stc/reports

#TAG: mega_byte 1000000|1048576
mega_byte 1000000

#TAG: default_interface WEB_INTERFACE_NAME
default_interface standart

#TAG: service_to_reconf squid|squidGuard
service_to_reconf squid

#TAG: exclude_hosts /path_to_file/exclude_hosts_file
exclude_hosts /usr/local/stc/etc/exclude_hosts

#TAG: exclude_codes type/HTTP_reply_code
#exclude_codes TCP_DENIED/407

#TAG: local_eth_device
local_eth_device eth0

# ----------- Squid, Apache, SARG and redirector configuration -----------

#TAG: access_log /path_to_log/access.log
access_log /var/log/squid/access.log

#TAG: SGC_path /path_to_squidGuard.conf
# SGC_path /etc/squid

#TAG: squid_conf_path /path_to_squid.conf
squid_conf_path /etc/squid

#TAG: squid_path /path_to_squid
squid_path /usr/sbin

#TAG: squid_user squid
squid_user squid

#TAG: squid_group squid
squid_group squid

#TAG: apache_user user
apache_user apache

#TAG: apache_group group
apache_group apache

#TAG: sarg_path /path_to_sarg
sarg_path /usr/sbin

#TAG: sarg_version VERSION
sarg_version 2.2.3

#-------------------- WEB-messages control -------------------------

#TAG: web_messages all|admin|none
web_messages admin

#TAG: web_mes_per_page NUMBER
web_mes_per_page 15

#-------------------- WEB Add-on config --------------------------------

#TAG: header_text
header_text (ваш текст)

#TAG: footer_text
footer_text (ваш текст)

Кроме этого, в систему безопасного поиска входит настройка squid и iptables, чтобы не пропустить пользователей мимо прокси и закрыть все порты, кроме необходимых.

Следует отметить, что даже такие драконовские меры, не позволяют обеспечить все требования, предъявляемые школам, по части защиты детей от вредной информации.

Войдите чтобы ответить на тему