Моя система фильтрации. Основные элементы системы - SQUID и Dansguardian.
Начнём с SQUID.
1. В конфиге прокси прописан адрес DNS-сервера SKYDNS, так как DNS-сервера СКФ используются провайдером. 2. Конфиг предусматривает авторизацию по IP для компьютеров учителей и по логинам для компьютерного класса, также следует упомянуть, что доступ ученикам разрешен только из компьютерного класса и библиотеки. 3. В конфиге прописано ограничение на размер некоторых типов файлов, а также некоторые url, которые должны быть заблокированы. 4. Доступ к сайтам по IP также закрыт средствами Squid. 5. Подключен самописный редиректор отслеживающий поиск определенных фраз ( редиректор имеет свободную лицензию и доступен для загрузки на сайте ) 6. Для авторизации по логину и паролю используется basic-авторизация на основе самописного хелпера работающего с MySQL, так как логины и хэши паролей хранятся в базе. 7. Squid пересобран из исходников для поддержки X-Forwarded, и отключения ненужного функционала. 8. Для управления авторизацией пользователей используется специальная самописная система авторизации, подробнее о ней можно найти на сайте linformatika.ru, но выложенная там версия имеет ошибки. 9. Для просмотров логов Squid я использую LightSquid, в принципе его функционала мне достаточно.
Теперь о Dansguardian
1. Dansguardian пересобран с целью поддержки опции originalip и email 2. Для управления Dansguardian используется веб-интерфейс версии 0.2 с четырьмя патчами, установленными последовательно. 3. Создано две группы фильтрации учителя и ученики. 4. Для анализа логов используется встроенный анализатор веб-интерфейса. 5. Также есть веб-скрипт на perl выбирающий русские фразы из URL в файле лога, что позволяет отслеживать поисковые запросы.
Для ведения общей статистики трафика по сетевым интерфейсам использую VNSTAT + веб-часть(phpfrontend).
Помимо этого на сервере работают другие программы:
1. GLPI -для учета оборудования 2. Coppermine - фото и видеоархив школы( с конца этого года) 3. Самописная сетевая программа-анкета "Как вы относитесь к учёбе по отдельным предметам", в прошлом году только ручной анализ результатов этого анкетирования занял две недели, а в этом году на анкетирование семи классов ушло всего три дня, а обработка мгновенно. 4. Самописная сетевая программа учета питания учащихся для классных руководителей (ранее были так называемые табели питания учащихся) 5. Самописная сетевая программа "Опросник Басса-Дарки" для школьного психолога. 6. Zabbix - система мониторинга сервера. 7. Nginx в качестве кэширующего прокси для репозиториев Altlinux. 8. Утилита retranslator Лаборатории Касперского для создания локального сервера обновлений для 20 Антивирусов Касперского Workspace 6 9. PhpMyAdmin для администрирования баз данных, с доступом только для определенного IP 10. Запущен ftp-сервер на котором собственно и располагаются обновления антивируса и Samba-сервер для двух сетевых каталогов с разграниченными правами доступа, один доступен для всей школы, кроме компьютерного класса, второй доступен для всех. 11. Запущен локальный почтовый сервер с веб-интерфейсом для пользователей RoundCube, запущен тоже только недавно и использовать предполагается с сентября для простейшего документооборота внутри школы.
В планах:
1. Создание большего количества групп для фильтрации с целью более индивидульной фильтрации по классам. 2. Поднятие школьной площадки домашних страниц для учащихся интересующихся веб-разработкой. 3. Создание внутришкольного портала школы с новостями. 4. Настройка Wi-Fi точек доступа для возможности использовать мобильное оборудование, в том числе и учащимися, конечно с предварительной регистрацией их устройств, т.е отсутствие анонимного доступа, без выхода в Интернет. 5. Запуск среды Moodle и обучение учителей работе в этой среде. 6. Создание локального мини-интернет(т.е набора сайтов на свободных CMS для изучения основ работы с сайтами не использую выход в Интернет), создание макетов вредоносных сайтов, с целью научить учащихся распознавать опасный контент в сети) Ну и многое другое в планах....
Помимо всего прочего за год была написана программа калькуляции блюд в столовой, хотя с новыми нормами санпина придётся переписывать некоторые части.
Да уж, завидую вам белой завистью-))) К сожалению у меня таких навыков нет, поэтому пока в мечтах более менее работающая фильтрация! И у меня есть такой вопрос, он даже не про сервер, а про сеть в целом: у нас в школе есть 2 компьютерных класса с ubuntu, есть компьютеры с win (бухгалтерия, ноутбуки),есть wifi. Давно, когда переходил на линукс сеть немного настроил: в компьютерном классе все компьютеры видят друг друга, есть общая папка на комп учителя, в которую складываются задания, и эта папка расшарена на каждом ученическом ПК, и учительский комп. мог зайти на любой с удаленным управлением. Но потом в школе был кап. ремонт, заехали второпях, появился второй комп класс, в общем все с бухты барахты. Теперь хочется начать, как говорится с нуля. Как решить такую проблему: доступ к компьютерам по сети, я никак не мог обойти запрос пароля при входе на некоторые комп. по сети, смотрел самбу, там есть опция(сейчас не помню), в общем не пускает и все, и такая же история с комп. под win, запрашивает пароль и не пускает, гуглил, но так и не добился ничего. И в целом про доступ, комп. под ubuntu должны и так видеть друг друга, а samba необходима для организации сети с комп. под win, через одну рабочую группу например, так? т.е. вопрос в целом, как организовать сеть linux - win, чтобы все комп.ю сети видели друг друга и имели доступ.
У меня ушло три года, причем начинал с полного нуля, т.е. понятие сети было весьма условное, все бегали с дискетами. Причем знаний в Linux на тот момент тоже было ноль.
Насчет конфига сервера самбы.
В секции global вам следует посмотреть опции
Code
security = share guest only = yes
В секциях сетевых ресурсов
Code
browseable = yes read only = no
Taкже в секциях сетевых ресурсов можно использовать hosts deny для ограничения клиентам с определенным ip Пример.
Code
hosts deny = 192.168.1.201
Подробное описание опций и формата можно просмотреть в man smb.conf
спасибо, за очередной совет, будем ковырять, в планах новый сервер, так и не собранный из за брака материнской платы. и переход на ubuntu 12.04, и естественно сеть!
Добавлено (26.06.2012, 09:59) --------------------------------------------- Здравствуйте! помогите пожалуйста с проблемой: не получается расшарить папку. При установки ubuntu.server выделил отдельный раздел data с фс ntfs. На этом разделе создал папку data, дал права этой папке sudo chmod 777. В конфиге самба указал рабочую группу, security = share , и внизу дописал
Code
[data] path = /data/data guest ok = yes writeable = yes browseable = yes read only = no
, папка стала видна в сетевом окружении, но к ней нет доступа. Просмотрел права
Code
drwxrwx--- 1 root plugdev 0 июня 26 10:29 data
, т.е. моя команда по смене прав не сработала,т.к.
Code
drwxrwx ---
означает пользователю и тем кто в группе можно все, а отсальным ничего, если я правильно понял. Сменить владельца папки тоже не получается. Загуглив наткнулся что сменить права\=владельца нельзя так как фс ntfs. При расшаривании опирался на ваши советы и статью http://interface31.ru/tech_it/2010/03/sozdanie-fajlovogo-servera-na-ubuntu-910.html. Но в отличие от стать файловую систему выбрал ntfs. Помогите пожалуйста, не могу разобраться-(
ну вроде разобрался-). отформатировал раздел в xfs, и теперь права меняются, доступ есть-)
Добавлено (26.06.2012, 14:27) --------------------------------------------- но вот авто запуск squid'a победить не могу. Пока вручную стартую его при загрузки системы, в этом вопросе не подскажите? Version 3.1.19
Сообщение отредактировал pma - Вторник, 26.06.2012, 14:15
Доброго времени суток! Хорошее дело делаете. Сейчас столкнулся по работе как раз с фильтрацией контента (Есть машины за которыми сидят дети). Устанавливал конечно не по Вашей документации, но все равно нашел у Вас много полезной информации. В сети не так много информации, тем более на русском. Хотя как говорится нет ничего лучшего, чем родная документация, но на неё необходимо время. Веб-интерфейсом не пользовался и наверное не стану, привычней подправить в ручную. Связка поднимается стандартная PF+SQUID+Dansguardian+анализ логов для выявления злостных нарушителей и не попавших под фильтрацию сайтов.
В очередной раз большое спасибо за ваш труд, за потраченное время, СПАСИБО! очень помогают такие ресурсы как ваш!!!
Добавлено (12.09.2012, 09:20) --------------------------------------------- Здравствуйте! нужен совет. Вот ломаю голову с фильтрацией, есть dg, сейчас настраиваю фильтрацию русских фраз, но сам понимаю составлять списки с фразами просто нет времени, но все же делаю. Затем буду ставить редиректор, и вот тут вопрос, что луче выбрать для перенаправления поиска? Безопасный поиск в яндекс, как показалось много пропускает. нашел безопасный поиск от SkyDNS, поюзал и вроде бы как ничего, хоть и зарезает очень много, например ввел "крокодил" в поиске 0 результатов, искал животное, а поисковик видимо наркотик. dns фильтрация от netpolice, как вариант. Т.е. лучше всего объединить как можно больше всех вариантов. Можно использовать dns net police совместно с безопасным поиском skydns? Как в таком случае обрабатывается запрос, первоначально отсылаеся dns серверу? или при таком раскладе поисковик skydns будет использовать свои dns сервера?не очень силен с сетях...
Сообщение отредактировал pma - Среда, 12.09.2012, 09:21
. Т.е. лучше всего объединить как можно больше всех вариантов.
В идеале, да. На практике есть много граблей. Когда-то собирал - bfilter+HAVP+Dansguardian+Squid с редиректорами и DNS Netpolice. От bfilter отказался, так как на большинстве компьютеров используется Firefox с плагином AdBlock Plus и некоторыми другими. От Нavp тоже, так как планировал сделать на Dansguardian, но пока руки не дошли, на всех Windows стоит корпоративный Антивирус Касперского 6. От DNS Netpolice не отказаться, так как этот DNS предоставляется провайдером, и походу дела весь DNS трафик заворачивается принудительно на этот DNS. Сейчас кстати на серверах DNS Netpolice технические работы до 15 сентября, так что трафик может не фильтроваться.
Quote (pma)
Можно использовать dns net police совместно с безопасным поиском skydns?
Даже нужно. Вопрос только в том как поисковые запросы заворачивать на SKYDNS.
Quote (pma)
Как в таком случае обрабатывается запрос, первоначально отсылаеся dns серверу? или при таком раскладе поисковик skydns будет использовать свои dns сервера?не очень силен с сетях...
Вообще-то поисковые машины работают по-другому принципу. Они всего лишь используют базы собранные поисковыми роботами http://ru.wikipedia.org/wiki....E%D1%82
Информации на эту тему море
Quote (pma)
например ввел "крокодил" в поиске 0 результатов, искал животное, а поисковик видимо наркотик
Действительно, в наркоманском слэнге много безобидных слов, которыми обозначаются очень опасные составы. Причем крокодил видать заблокирован так *крокодил*. Хотя самое разумное бы менять крокодил на нильский крокодил.
Как видно из скриншота, skydns использует поиск Яндекса, возможно с дополнительной фильтрацией.
Если реально бы правоохранительные органы работали давно бы доменная зона RU была бы вычищена.
Вопрос только в том как поисковые запросы заворачивать на SKYDNS.
эммм. на практике я еще до этого не дошел, но думал что будет это сделать через редиректор, те.е запретить все поисковики, и сделать перенаправление на поиск skydns. ведь у редиреткора есть такая функция?!!!
Добавлено (14.09.2012, 11:35) --------------------------------------------- Проблемы с DG-( Я спрашивал про то как добавить его в автозапуск, так и не могу разобраться. При загрузке системы dans не грузится с ошибкой:
Code
server dansguardian[1109]: Error binding socket: [8081 10.0.0.1 0] (Cannot assign requested address) server dansguardian[1109]: Error binding server socket (is something else running on the filter port and ip? server dansguardian[1109]: Exiting with error
после чего выполняю
Code
sudo /etc/init.d/dansguardian restart
ответ OK, если выполняю перезапуск второй раз то ответ уже fail -(((
в конфиге прописано
Code
filterip = 10.0.0.1 filterport = 8081
, настраивал фильтрацию русских слов , но результат так и не могу увидеть. У DG есть еще лог кроме access?
Привет, помоги пожалуйста, хочу использовать твой редиректор, но не выходит. Squid просто не запускается. Никаких ошибок нет. Может просто не выдерживает нагрузки и вылетает?
Если вы загружали архив в конце лета, то перекачайте архив, просто в старом были ошибки. Если устанавливали как написано в Readmy.txt то выполните запуск SQUID вручную с опцией -d10 , он выведет все ошибки и предупреждения. т.е в консоли запускаете SQUID squid -d10 обычно сразу становится понятно на что ругается или разместите текст здесь. И проверьте чтобы скрипт редиректора - запускался в ручном режиме. как описано в Readmy.txt если выдает ошибки пишите сюда. И неплохо бы указать ОС, в которой запускаете редиректор.