Edit 1

De Guifi.net - Wiki Català

Configurar un filtre de pornografia/malware per servidors proxy i dnsservices

Antecedents

Pensat per pares o escoles amb nens menors d'edat que es conecten a internet i que volen filtrar la navegació a webs de violència, pornografia o malware.

Objectiu

Configurar el servei dnsservices (bind9) inclòs a (Proxy3 / Cloudy) perque bloquegi pàgines web de pornografia i/o malware. Utilitzarem servidors amb filtre de DNS externs (OpenDNS o Norton ConnectSafe com a DNS externs del nostre servei DNS. Aplicant el filtre a nivell de DNS eliminem la publicitat de les webs i també de tots els dispositius mòbils i aplicacions que l'utilitzen.

Requisits

Disposar d'un servidor linux (Proxy3 / Cloudy) basat en Debian que ha d'estar configurat com a servidor de noms.

Configuració

Crear script ad-blacklist-update.sh

Obrim una finestra ssh Cal tenir permisos root

  • sudo su -

Ens situem al directori /etc/bind

  • cd /etc/bind

Configurar Bind

Editem l'arxiu named.conf.options.private perquè inclogui els servidors DNS externs

  • nano /etc/bind/named.conf.options.private

Afegim el contingut del requadre al final de l'arxiu editat i descomentem els servidors que ens interessin segons el nivell de filtre

# OpenDNS FamilyShield: filtra pornografia
#forwarders { 208.67.222.123; 208.67.220.123; };

# Norton ConnectSafe: malware, phishing, pnografia i altres
forwarders { 199.85.127.30; 199.85.126.30; };

# Norton ConnectSafe: malware, phishing, pnografia
#forwarders { 199.85.127.20; 199.85.126.20; };

# Norton ConnectSafe: malware, phishing
#forwarders { 199.85.127.10; 199.85.126.10; };

Forcem un reload al servidor DNS per aplicar els canvis

  • /etc/init.d/bind9 reload

Nota:

Els usuaris poden saltar aquest filtre configurant manualment la IP d'un altre servidor DNS al seu dispositiu. Per evitar-ho caldrà redirigir les sol·licituds DNS de la xarxa local (port UDP 53) cap al nostre servidor dns. Exemple: IP servidor dnsservices 10.1.2.3

Redireccionament per Linux amb iptables

  • iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 10.1.2.3:53

Redireccionament amb Routers Mikrotik

  • /ip firewall nat
  • chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=10.1.2.3 to-ports=53


Provar el funcionament

Per provar el funcionament cal accedir amb un navegador a webs de pornografia "porn.com" etc.., on ens ha de sortir la web de OpenDNS o Norton indicant que està bloquejada.

Veure també

Eines de l'usuari