Filtrar pornografia / malware en un servidor Debian amb dnsservices

De Guifi.net - Wiki Català

Configurar un filtre de pornografia/malware per servidors proxy i dnsservices

Antecedents

Pensat per pares o escoles amb nens menors d'edat que es conecten a internet i que volen filtrar la navegació a webs de violència, pornografia o malware.

Objectiu

Configurar el servei dnsservices (bind9) inclòs a (Proxy3 / Cloudy) perque bloquegi pàgines web de pornografia i/o malware. Utilitzarem servidors amb filtre DNS gratuïts* (OpenDNS o Norton ConnectSafe com DNS externs del nostre servidor. Al ser externs no perdem la funcionalitat de dnsservices per resoldre les adreces IP internes de guifi.

Requisits

Disposar d'un servidor linux (Proxy3 / Cloudy) basat en Debian que ha d'estar configurat com a servidor de noms.

Configuració

Obrim una finestra ssh Cal tenir permisos root

  • sudo su -

Ens situem al directori /etc/bind

  • cd /etc/bind

Configurar Bind

Editem l'arxiu named.conf.options.private perquè inclogui els servidors DNS externs

  • nano /etc/bind/named.conf.options.private

Afegim el contingut del requadre al final de l'arxiu editat i descomentem els servidors que ens interessin segons el nivell de filtre

# OpenDNS FamilyShield: filtra pornografia
#forwarders { 208.67.222.123; 208.67.220.123; };

# Norton ConnectSafe: malware, phishing, pnografia i altres
forwarders { 199.85.127.30; 199.85.126.30; };

# Norton ConnectSafe: malware, phishing, pnografia
#forwarders { 199.85.127.20; 199.85.126.20; };

# Norton ConnectSafe: malware, phishing
#forwarders { 199.85.127.10; 199.85.126.10; };

Forcem un reload al servidor DNS per aplicar els canvis

  • /etc/init.d/bind9 reload

Nota:

Els usuaris poden saltar aquest filtre configurant manualment la IP d'un altre servidor DNS al seu dispositiu. Per evitar-ho caldrà redirigir les sol·licituds DNS (port UDP 53) de la xarxa local cap al nostre servidor dns.

Exemple: IP servidor dnsservices 10.1.2.3

Redireccionament per Linux amb iptables

  • iptables -t nat -A PREROUTING -p udp --dport 53 -j DNAT --to 10.1.2.3:53

Redireccionament amb Routers Mikrotik

  • /ip firewall nat
  • chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=10.1.2.3 to-ports=53


Provar el funcionament

Per provar el funcionament cal accedir amb un navegador a webs de pornografia "porn.com" etc.., on ens ha de sortir la web de OpenDNS o Norton indicant que està bloquejada.

Veure també

Eines de l'usuari