3 581
contributi
Proxy Server con filtraggio della navigazione su Debian Jessie: differenze tra le versioni
Proxy Server con filtraggio della navigazione su Debian Jessie (visualizza wikitesto)
Versione delle 11:46, 8 set 2019
, 8 set 2019compatibilità riservata a Jessie - guida passo-passo
m (compatibilità riservata a Jessie - guida passo-passo) |
|||
| (10 versioni intermedie di 3 utenti non mostrate) | |||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili|ONLY|Jessie}} | |||
== Introduzione == | == Introduzione == | ||
In diversi contesti di rete, si pensi ad esempio ad una rete LAN aziendale o ai laboratori informatici di scuole medie inferiori, può essere importante implementare un sistema il più possibile automatico per il controllo e il filtraggio di alcuni contenuti web considerati dall'amministratore inappropriati al contesto. Si considerino a titolo di esempio le seguenti necessità: | In diversi contesti di rete, si pensi ad esempio ad una rete LAN aziendale o ai laboratori informatici di scuole medie inferiori, può essere importante implementare un sistema il più possibile automatico per il controllo e il filtraggio di alcuni contenuti web considerati dall'amministratore inappropriati al contesto. Si considerino a titolo di esempio le seguenti necessità: | ||
| Riga 198: | Riga 199: | ||
forwarded_for off | forwarded_for off | ||
</pre> | </pre> | ||
Il proxy così configurato non fa altro che controllare le classi degli indirizzi autorizzati alla navigazione, ma a noi serve qualcosa in più... Prima di configurare un primo filtro, però, decommentiamo la riga per attivare il proxy trasparente nel nostro script < | Il proxy così configurato non fa altro che controllare le classi degli indirizzi autorizzati alla navigazione, ma a noi serve qualcosa in più... Prima di configurare un primo filtro, però, decommentiamo la riga per attivare il proxy trasparente nel nostro script <code>firebox.sh</code>: | ||
<pre> | <pre> | ||
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 | iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 | ||
| Riga 204: | Riga 205: | ||
Riavviamo il nostro script e prepariamoci a verificarne il funzionamento. Se da un client della rete proviamo a navigare su internet, agendo sulla console del nostro gateway dovremmo vederne i log: | Riavviamo il nostro script e prepariamoci a verificarne il funzionamento. Se da un client della rete proviamo a navigare su internet, agendo sulla console del nostro gateway dovremmo vederne i log: | ||
<pre> | <pre> | ||
# tail -f /var/log/ | # tail -f /var/log/squid3/access.log | ||
1104854410.086 159 192.168.10.50 TCP_MISS/302 469 GET \ | 1104854410.086 159 192.168.10.50 TCP_MISS/302 469 GET \ | ||
http://www.google.com/ - DIRECT/216.239.59.104 text/html | http://www.google.com/ - DIRECT/216.239.59.104 text/html | ||
| Riga 215: | Riga 216: | ||
1104854415.271 74 192.168.10.50 TCP_REFRESH_HIT/304 235 GET \ | 1104854415.271 74 192.168.10.50 TCP_REFRESH_HIT/304 235 GET \ | ||
http://www.google.it/intl/it/images/logo.gif - DIRECT/216.239.59.99 text/html | http://www.google.it/intl/it/images/logo.gif - DIRECT/216.239.59.99 text/html | ||
/pre> | </pre> | ||
Perfetto! Il nostro proxy server è entrato correttamente in funzione. | Perfetto! Il nostro proxy server è entrato correttamente in funzione. | ||
=== Il filtro SquidGuard === | === Il filtro SquidGuard (OPZIONALE)=== | ||
Cominciamo con installare SquidGuard, un programma che ci permette di filtrare i tipi di siti web autorizzati e di impostare la navigazione in funzione delle fasce orarie stabilite. | Cominciamo con installare SquidGuard, un programma che ci permette di filtrare i tipi di siti web autorizzati e di impostare la navigazione in funzione delle fasce orarie stabilite. | ||
<pre> | <pre> | ||
| Riga 228: | Riga 229: | ||
# wget http://www.shallalist.de/Downloads/shallalist.tar.gz | # wget http://www.shallalist.de/Downloads/shallalist.tar.gz | ||
# tar xzf shallalist.tar.gz | # tar xzf shallalist.tar.gz | ||
# chown | # chown proxy:proxy -R /var/lib/squidguard/db/ | ||
# ln -s /etc/squidguard/squidGuard.conf /etc/squid3/squidGuard.conf | # ln -s /etc/squidguard/squidGuard.conf /etc/squid3/squidGuard.conf | ||
# squidGuard -d - | # cd BL | ||
# squidGuard -d -b -C all | |||
</pre> | </pre> | ||
A questo punto possiamo crearci il nostro file di configurazione personalizzato per SquidGuard: | A questo punto possiamo crearci il nostro file di configurazione personalizzato per SquidGuard: | ||
| Riga 404: | Riga 406: | ||
Installiamo DansGuardian: | Installiamo DansGuardian: | ||
<pre> | <pre> | ||
# apt-get install dansguardian | # apt-get install dansguardian unrar-free | ||
</pre> | </pre> | ||
Il file principale di configurazione è <code>/etc/dansguardian/dansguardian.conf</code>. Apportiamovi alcune modifiche: | Il file principale di configurazione è <code>/etc/dansguardian/dansguardian.conf</code>. Apportiamovi alcune modifiche: | ||
| Riga 483: | Riga 485: | ||
=== Le blacklist === | === Le blacklist === | ||
Per far funzionare al meglio il nostro DansGuardian abbiamo bisogno ancora di una cosa: un insieme di blacklist preconfezionato e diviso in categorie. Il migliore (e anche quello consigliato dagli autori di DansGuardian) è l'elenco scaricabile da URL Blacklist. Si noti che il download non è gratuito e che, prima di sottoscrivere un abbonamento, abbiamo diritto ad un solo download di prova. Purtroppo non sono a conoscenza di altre backlist compatibili con DansGuardian e altrettanto valide. | Per far funzionare al meglio il nostro DansGuardian abbiamo bisogno ancora di una cosa: un insieme di blacklist preconfezionato e diviso in categorie. Il migliore (e anche quello consigliato dagli autori di DansGuardian) è l'elenco scaricabile da URL Blacklist. Si noti che il download non è gratuito e che, prima di sottoscrivere un abbonamento, abbiamo diritto ad un solo download di prova. Purtroppo non sono a conoscenza di altre backlist compatibili con DansGuardian e altrettanto valide. | ||
Se volete utilizzarlo, potete scaricare il file delle blacklists aggiornate dal sito: [http://urlblacklist.com/?sec=download URL Blacklist]: | |||
<pre> | <pre> | ||
# tar -xzf bigblacklist.tar.gz | # tar -xzf bigblacklist.tar.gz | ||
| Riga 489: | Riga 491: | ||
# chown -R root:root /etc/dansguardian/lists | # chown -R root:root /etc/dansguardian/lists | ||
</pre> | </pre> | ||
Così facendo abbiamo scompattato il file scaricato dentro la directory <code>/etc/dansguardian/lists</code> | '''In alternativa''' è possibile utilizzare lo stesso file delle blacklist di SquidGuard: | ||
<pre> | |||
# cd /tmp | |||
# wget http://www.shallalist.de/Downloads/shallalist.tar.gz | |||
# tar xzf shallalist.tar.gz | |||
# cd BL | |||
# mv * /etc/dansguardian/lists/blacklists | |||
</pre> | |||
Così facendo abbiamo scompattato il file scaricato dentro la directory <code>/etc/dansguardian/lists/blacklists</code>, contenente tutte le liste, immediatamente utilizzabili. | |||
<br/> | <br/> | ||
Per rendere attive le blacklist scaricate dobbiamo aprire i files bannedsitelist e bannedurllist e decommentare le categorie di siti che intendiamo filtrare. | Per rendere attive le blacklist scaricate dobbiamo aprire i files bannedsitelist e bannedurllist e decommentare le categorie di siti che intendiamo filtrare. | ||
| Riga 589: | Riga 599: | ||
[[Categoria:Altri servizi di rete]] | [[Categoria:Altri servizi di rete]] | ||
[[Categoria:Network tools]] | [[Categoria:Network tools]] | ||
[[Categoria: Proxy]] | |||