DansGuardian, nove crne liste i grupisanje korisnika po IP adresama

Kako se DG postavlja i konfiguriše, može se videti u mom ranijem postu ovde.
Nove crne liste se mogu naći ovde.

Kao te nove liste uvesti u DanseGuardian :
1. Skinuti tar.gz fajl se razvije, i liste kopiraju na njihovu lokaciju /etc/dansguardian/blacklists.
Vlasništvo nad folderom na lokaciji /etc/dansguardian/blacklists/ :
drwxr-xr-x 2 root root 4096 Aug 18 23:19 webradio
Vlasništvo nad sadržajem :
-rwxr-xr-x 1 root root 20373 Aug 28 13:29 domains
-rwxr-xr-x 1 root root 2114 Aug 28 13:29 urls
2. Kako se novokopirane liste aktiviraju :
U fajlu /etc/dansguardian/lists/bannedsitelist odhešovati relevantne linije (ako ih nema, dodati ih) :
.Include (iz misterioznih razloga neće da napiše ostatak reda…..)
.Include (iz misterioznih razloga neće da napiše ostatak reda…..)
…..
Takođe i u fajlu /etc/dansguardian/lists/bannedurllist :
.Include (iz misterioznih razloga neće da napiše ostatak reda…..)
…..
Dobar link za objašnjenje pojedinačnih lista, i konfiguraciju za DG.

Kako odrediti za koje IP adrese koje liste važe
1. IP adrese koje treba u potpunosti da budu nefilterovane unose se u fajl /etc/dansguardian/lists/exceptioniplist
2. A ako želimo da za IP1 važe jedne zabrane, a za IP2 druge zabrane, onda to ide ovako : dansguardian.conf file :
Hešovati sledeće :
# filtergroups = 1
# filtergroupslist = ‘/etc/dansguardian/lists/filtergroupslist’
Odhešovati/napisati sledeće :
usexforwardedfor = on
authplugin = ‘/etc/dansguardian/authplugins/ip.conf’
filtergroups = 4
Broj grupa koje ćete definisati, zavisi od planova, ali grupa broj 1 UVEK postoji, i ona važi za sve IP adrese koje nisu obuhvaćene nekom od ostalih grupa!
3. Kopirati fajl dansguardianf1.conf u dansguardianf2.conf, dansguardianf3.conf i dansguardianf4.conf (pošto imamo 4 filter grupe), i u svakome od njih izmeniti sledeće :
groupname = ‘filterN’
pri čemu N treba da je različito od 1
…..
weightedphraselist = ‘/etc/dansguardian/lists/weightedphraselist’
exceptionphraselist = ‘/etc/dansguardian/lists/exceptionphraselist’
bannedsitelist = ‘/etc/dansguardian/lists/bannedsitelistf3’
exceptionsitelist = ‘/etc/dansguardian/lists/exceptionsitelist’
Neke liste su ostale originalne, neke sam izmenila, i nazvala drugačije
Važna napomena : svi fajlovi dansguardianfN.conf MORAJU imati omogućene ISTE liste (fajlovi na koje su uperene ne moraju biti isti), inače se javljaju vrlo čudne greške, tipa :
# dansguardian -Q
No DansGuardian process found.
Error reading file : No such file or directory
Error reading file : No such file or directory
Error opening greysitelist
Error opening filter group config: /etc/dansguardian/dansguardianf2.conf
Error reading filter group conf file(s).
Error parsing the dansguardian.conf file or other DansGuardian configuration files
…..
naughtynesslimit = 160
Ovo se odnosi na sakupljene “nevaljale” poene, i za decu je oko 50
accessdeniedaddress = ‘sajt-gde-idu-nevaljalci’
4. U fajlu /etc/dansguardian/lists/authplugins/ipgroups se definišu grupe IP adresa.
Svaka IP adresa koja tu nije eksplicitno navedena, spada automatski u grupu1/filter1!
Primer (i da, iako idu u isti filter svaka IP ide u svoj odvojeni red, malo blesavo, ali je tako, takođe klase adresa moraju da idu sa 255 etc, inače neće raditi) :
10.10.10.210 = filter2
10.10.10.55 = filter2
10.11.11.0/255.255.255.0 = filter3
10.12.12.70 = filter4
5. DansGuardian treba ponovo da očita konfiguracione fajlove :
# dansguardian -Q
Pri tome pratiti log fajl /var/log/messages, gde treba da se dobije :
Dec 11 12:56:50 proxy-2013 dansguardian[23985]: Started sucessfully.
5. Testiranje je obavezno!!!

Problemi
Meni iz misterioznih razloga ne radi zaustavljanje facebook.com (radi za facebook.fr na primer) iako se sajt nalazi na nekoliko lista zabrana.
Izgleda da je u pitanju to da DG blokira http, ali ne i https saobraćaj, pa se FB (koji automatski prebacuje na https stranu) mora zabraniti nekako drugačije.
************
Yes, a direct https connection just starts with pure SSL. The client opens a TCP socket and starts negotiating SSL cipher specs and the likes. So it’s not until this secure channel, which could be used to carry *ANY* traffic at all, that a web page is requested with the conventional HTTP protocols, which the proxy has no chance of seeing.

************
Izgleda da neće ići lako…..
Ali ima načina. Zabranu staviti direktno u ACL samog Squid-a, i onda radi 😉

Odličan link!
Još jedan dobar link.