Ceci est une ancienne révision du document !



Contrôle parental avec DansGuardian

En recherchant un peu comment configurer mon réseau chez moi (réseau est un bien grand mot : mon ordinateur et celui de mon fils …), je n'ai pas réussi à trouver de doc vraiment complète : tantôt une doc sur la configuration du firewall puis une autre sur squid puis une autre sur le contrôle parental puis …

Le contrôle parental est géré par DansGuardian. J'ai vu pas mal de post où l'on se demandait s'il fallait filtrer le contenu de ce que voyaient nos enfants ou leur apprendre à faire le tri. Là, clairement, il s'agit de filtrer.

Ce document n'est pas réellement une documentation mais plutôt une description de ce que j'ai dû installer/configurer pour le faire fonctionner chez moi. Je n'ai pas cherché à être exhaustif sur tout ce que l'on peut faire avec ces applications. Je vais donc vous livrer ma config et tout ce que j'ai compris dessus.

squid va être configuré en proxy transparent. Cela signifie que les postes qui seront sur le réseau local n'auront pas besoin de configuration particulière pour accéder à internet : tous les accès web qu'ils feront sur le port 80 seront automatiquement filtrés (en clair, ils n'auront pas besoin de configurer de proxy dans leur navigateur …).

  • Mon réseau
    • un ordinateur avec 2 cartes réseau : la première carte (eth0) est connectée à une freebox et la seconde (eth1) à un hub ethernet. Cet ordinateur est "la passerelle". C'est par son intermédiaire que le "client" sera connecté à internet.
    • un ordinateur avec 1 carte réseau reliée au hub : c'est le "client" que l'on veut relier à internet.
    • J'ai pris comme plage d'adresses pour mon réseau interne 10.0.0.0/8 c'est-à-dire que toutes les adresses du réseau interne commencent par 10.
  • Pré-requis
    • Que vous ayez un réseau semblable à installer (avec, éventuellement, plus de clients).
    • Que l'accès internet fonctionne déjà sur la passerelle.
  • Logiciels utilisés :
    • dhcp3-server : Serveur dhcp qui permet de ne pas avoir à se soucier de la configuration réseau sur les postes clients.
    • shorewall : un firewall. Les règles sont faciles à mettre. Bien sûr il utilise iptables pour le filtrage.
    • dansguardian : c'est lui qui fait le filtrage de tout ce qui s'affichera dans un navigateur sur les postes clients.
    • squid : dansguardian fait le filtrage mais il a besoin de squid pour aller chercher les pages autorisées.

Le plus simple : dhcp3-server

Lors de l'installation :

sudo apt-get install dhcp3-server

il vous est demandé quelle est l'interface avec laquelle il doit travailler. Il faut bien entrer eth1, c'est à dire l'interface réseau connecté au réseau local et non eth0 qui est elle connecté à internet. Il ne faut pas non plus laisser ce champ vide car sinon votre serveur dhcp sera accessible depuis internet.

Aprés l'avoir installé, il n'y a que peu de configuration à faire dans /etc/dhcp3/dhcpd.conf :

  • En début de fichier, il y a deux lignes a adapter :
    option domain-name "chezmoi.com";
    option domain-name-servers 212.27.54.252, 212.27.39.135;


    Bien sur, vous pouvez mettre ce que vous voulez pour domain-name à la place de "chezmoi.com". Cette information ne sera pas vraiment utilisée.
    Sur la deuxième ligne, vous devez mettre les adresses ip fournies par votre fournisseur d'accès. On peu les trouver dans /etc/resolv.conf une fois que vous êtres connecté à Internet. Exemple, chez moi il y a

    root@bozo:/ # cat /etc/resolv.conf
    nameserver 212.27.54.252
    nameserver 212.27.39.135
  • Il faut ensuite indiquer au serveur dhcp quelles sont les adresses qu'il a le droit de distribuer aux clients :
    subnet 10.0.0.0 netmask 255.0.0.0 {
      range 10.0.10.1 10.0.10.254;
      option routers 10.0.0.1;
    }


    La premiere ligne renseigne le serveur dhcp sur l'ensemble du réseau : Là, les adresses irons de 10.0.0.0 à 10.255.255.255.
    La seconde ligne indique la plage d'adresses qu'il peut utiliser. Arbitrairement, j'ai mis de 10.0.10.1 à 10.0.10.254.
    La troisième ligne, enfin, est l'adresse de la passerelle. C'est cette adresse ip là que vous devez donner à votre interface eth1.
    Pour info, j'ai ajouté en plus :

    host superkid {
      hardware ethernet 00:d0:09:e9:ba:8b;
      fixed-address 10.0.10.1;
    }


    aprés avoir récupéré l'adresse mac de mon fils. Ainsi, je peux forcer son adresse ce qui me permet de mettre dans mon /etc/hosts

    10.0.10.1 superkid


    Sinon j'aurais été incapable, à de savoir l'adresse qu'il utilise à tout moment …

voilà. C'est fait pour le serveur dhcp. plus qu'à le démarrer :

sudo /etc/init.d/dhcp3-server start

(Pour ceux qui veulent aller plus loin, on pourrait améliorer un peu en configuration un cache dns …)

dansguardian + squid

une fois les deux installés,

sudo apt-get install squid dansguardian

voici ce qu'il faut configurer

squid

La configuration est entiérement dans le fichier /etc/squid/squid.conf. j'ai ajouté, à la fin :

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
http_access allow all

C'est la ligne httpd_accel_port 80 qui est particuliérement importante. Sans elle, squid ne peut pas fonctionner en tant que proxy transparent.

j'ai également commenté

#http_access deny all
dansguardian

Il n'y a que trois lignes de /etc/dansguardian/dansguardian.conf à modifier :

filterport = 8080
proxyport = 3128
language = 'french'

La premiére indique le port sur lequel dansquardian écoute. La seconde indique le port sur lequel squid écoute (3128 est le port par défaut de squid). Enfin, la troisième est utilisée pour indiquer dans quelle langue seront envoyés les messages d'erreur.

Bien s'assurer que squid est démarré avant de démarrer dansguardian car il fait un test de connexion.

Pour tester que ça fonctionne, il suffit de mettre http://localhost:8080 en proxy dans Firefox (Edition / Preferences / Général / Connexion / Configuration manuelle du proxy …) puis de naviguer. Essayez d'aller sur un site "peu recommandable" : L'accés devrait être interdit.

J'ai ensuite modifié /etc/dansguardian/languages/french/template.html afin de personnaliser le message que recevra mon fils.

Vous pourrez plus tard jouer avec les fichiers qui se trouvent dans /etc/shorewall. Ils vous permettent de personnaliser ce qui est interdit ou ce qui est autorisé.

Personnellement, je n'ai jamais eu besoin d'ajoute quoi que ce soit car les mots clés bannis semble plutôt exhasutifs. Le seules opération que j'ai du faire sont d'ajouter certains sites.

Le firewall

Je ne vais pas refaire la doc de ce firewall : il y en a pas mal sur shorewall.net. En particulier, la configuration utilisée est "linux avec deux interfaces".

Lorsqu'on installe, il me semble qu'il n'y a pas de fichier de configuration (je sais plus, ca fait longtemps) et qu'il faut les télécharger du site de shorewall.
J'ai pris celle là : http://www1.shorewall.net/pub/shorewall/Samples/samples-2.2.4/two-interfaces.tgz
De plus, lié à cette config, il y a une documentation en français à l'adresse http://www.shorewall.net/two-interface_fr.html.

Fonctionnement succinct de shorewall :

Tout est organisé sous forme de zones. Ainsi, chez moi, j'ai
Internet ←→ passerelle ←→ clients
trois zones appelées net, fw et loc (local).

Tout le paramétrage du firewall consiste à mettre des règles sur les flux entre ces zones.
Pour cela, il faut

  • donner des règles "par défaut" entre les zones. Par exemple, tout ce qui vient d'internet est, par défaut, rejeté.
  • donner des exceptions à ces regles par défaut.

tous les fichiers de configuration sont dans /etc/shorewall.
En particulier, on a

  • interface, zones : permettent de définir les zones. Je n'ai absolument pas modifié ceux fournis dans les fichiers trouvés à l'adresse indiquée plus haut. Au pire, il vous faudra peut-être modifier "interfaces" si vous avez inversé eth0 et eth1 …
  • policy : celui là, je l'ai un peu modifié. Par défaut, il permet au réseau local de tout faire sur internet et ne permet pas à la passerelle d'accéder à intenet.

Hors, dans mon cas c'est l'inverse : je veux filtrer tout ce que va faire mon fils et je veux, moi (la passerelle est mon poste …) ne pas avoir de filtre. Ainsi, j'ai changé :

#SOURCE         DEST            POLICY          LOG LEVEL
loc             net             ACCEPT
net             all             DROP            info
all             all             REJECT          info


en

fw              all             ACCEPT
net             all             DROP
all             all             REJECT


Vous remarquerez que j'ai supprimé les logs des rejets (deux dernieres ligne). C'est pas bien, mais ça me polluait les logs systeme.
Vous pouvez aussi remarquer qu'il y a une fois DROP et une fois REJECT. Je vous laisse voir ce a quoi cela correspond sur le site de shorewall … .

  • rules : c'est là qu'on dit, au cas par cas, ce qui est autorisé (puisque tout le reste est interdit …).
    Par rapport à ce qu'il y a par défaut, j'ai juste :
    # Fait en sorte que les clients qui accedent au port 80 (pour aller vers internet) soient redirigés vers dansguardian :
    REDIRECT        loc             8080            tcp     80
    # Fait en sorte que les clients puissent faire des résolutions de nom (Ce serait un peu différent si on avait un cache DNS ...):
    ACCEPT          loc             net             udp     53

C'est fini. Plus qu'à démarrer shorewall (/etc/init.d/shorewall start) et tester.

Contrôle parental simple avec DansGuardian Permet d'utiliser Dansguardian directement sur un pc client


  • dansguardian.1233754465.txt.gz
  • Dernière modification: Le 04/02/2009, 14:34
  • par 213.95.41.13