Настройка Контент-Фильтра NetPolice в ALT Linux 5.0.1

Во всех школах на территории Российской Федерации обязательным требованием является установка Контент-Фильтра для фильтрации сайтов «несовместимых с задачами образования».

Для этих целей использовался СКФ, но 3 недели назад при штатном обновлении СКФ самостоятельно заменился на систему NetPolice.

При внедрении Школьного Linux вопрос наличия Контент-Фильтра является одним из основных моментов. Система NetPolice существует и в варианте для Linux и имеет репозитория специально для Школьного Linux.

К сожалению, на сайте NetPolice приведена инструкция по установке и настройке системы лишь для Школьного Linux 4.0, которая не полностью подходит для 5 платформы. Мы постараемся исправить эту ситуацию.

1. Подключение репозиториев

Для Школьного Linux 5.0.1 нам необходимо подключить репозитории Alt Linux p5 i586 и noarch. Для этого открываем консоль и получаем права суперпользователя

su —

теперь открываем на редактирование файл /etc/apt/sources.list.d/alt.list и раскомментируем первые два репозитория (удаляем решетку в начале строки)

nano /etc/apt/sources.list.d/alt.list

# ALT Linux Platform 5
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch i586 classic
rpm [p5] ftp://ftp.altlinux.org/pub/distributions/ALTLinux/p5/branch noarch classic

Теперь нам нужно подключить репозиторий самого NetPolice для школьного Linux 5-й платформы. Для это в файл /etc/apt/sources.list добавим адрес репозитория

nano /etc/apt/sources.listrpm http://update.netpolice.ru/altlinux/p5/branch/netpolice/ i586 netpolice

2. Устанавливаем NetPolice

После подключения репозиториев нам нужно обновить список пакетов, доступных для установки

apt-get update

После загрузки файлов со списками пакетов в репозиториях можно приступить к установке комплекса NetPolice

apt-get install netpolice-main
ждем когда все необходимые пакеты загрузятся из репозиториев и установятся в системе. После этого можно приступить к настройке.

3. Базовая настройка NetPolice

Следуя инструкции на сайте NetPolice первое что нам нужно сделать — прописать адрес dns-сервера для системы host2cat, которая, как я понимаю, будет отвечать заблокировку сайтов по доменным именам. Для это редактируем файл /etc/sysconfig/host2cat и прописываем в поле DNS_LIST один из серверов NetPolice. Как оказалось, при использовании DNS для домашних пользователей вы получаете больше листов блокировки нежели на сервере для школ. Поэтому используем сервер dnsc1.netpolice.ru

nano /etc/sysconfig/host2cat

MEMCACHED_LIST=127.0.0.1:11211
UDP_PORT=6666
# DNS LIST SERVER IP
#for example DNS_LIST=127.0.0.1
DNS_LIST=dnsc1.netpolice.ru
TTL=3600
HOST2CAT_OPTIONS=»-m $MEMCACHED_LIST -u $UDP_PORT -s $DNS_LIST -t $TTL»

После внесения изменений нужно перезапустить сервисы, входящие в комплекс NetPolice. Для этого последовательно выполните следующие команды:

/etc/rc.d/init.d/memcached restart
/etc/rc.d/init.d/host2cat restart
/etc/rc.d/init.d/c-icap restart
/etc/rc.d/init.d/squid restart

4. Настройка клиентов

Система NetPolice способна фильтровать интернет-контент для всех компьютеров в компьютерном классе и не требует установки на каждый компьютер!
Для использование системы NetPolice запущеной и настроеной на Школьном Linux 5.0.1 вам необходимо на компьютере настроить ваш web-браузер на раоту с интернет через Proxy.

Для FireFox это меню «Правка» -> «Настройки» -> вкладка «Дополнительно» -> «Сеть» -> кнопка «Настроить». В появившемся окне выбрираем «Настроить параметры подключения прокси вручную» и вводим IP адрес прокси-сервера и порт (обычно 3128), далее нажать «ok» и выйти из настроек Firefox.

Но для дистрибутива Школьный Linux Юниор 5.0.1 в качестве основного web-браузера используется Ephiphany, который не имеет соственных настроек proxy и использует общесистемные настроки proxy-сервера. Для этого дистрибутива перейдите в меню «Система» -> «Параметры» -> «Параметры прокси-сервера» и укажите IP-адрес компьютера, на котором установлен NetPolice и укажите порт 3128.

5. Проверка работы контент-фильтра

После указания IP-адреса и порта в web-браузере введите в строке адреса сайт http://www.f-games.ru/
Вы должны увидеть надпись «Permition deny!«. Это говорит о правильной работе установленного NetPolice. Сайт f-games.ru «не совместим с задачами образования».

6. Запуск консоли администрирования

Система NetPolice настраивается с помощью web-интерфейса. Для этого запускаем http-сервер

/etc/rc.d/init.d/httpd2 start

Запустите web-браузер и перейдите по адресу http://localhost/cgi-bin/login.cgi

Логин: root
Пароль: root

7. Создание нового администратора

Для создания новой учетной записи администратора перейдите по ссылке «Создать нового администратора». Введлите логин и пароль для нового администратора. После сохранения вернитесь на страницу ввода логина и пароля http://localhost/cgi-bin/login.cgi . Войдите с новым логином и паролем администратора.

8. Создание нового пользователя

При попытке доступа в интернет система NetPolice будет спрашивать вас ссод логина и пароля. К сожалению, пока не удается настроить систему в прозрачном режиме работы. Поэтому, создаем пользователя user с паролем 1.
Для этого перейдите по ссылке «Создать нового юзера».
Введите для нового пользователя имя user
IP адрес: 192.168.1.0 (адрес вашей подсети)
Маска подсети/суффикс: /24
Роль: my_student (выбрать из списка)

Для задания пароля пользователю в консоли от пользователя root выполните команду:

htpasswd2 /etc/squid/passwd user

9. Настройка политик доступа

Для настройки политик доступа в основном меню перейдите по ссылке my_student -> Редактировать

«Список реджектов» — это список запрещенных категорий интернет-ресурсов.
Для собственных внедрений мы используем следующий набор реджитов:

1 Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения
8 Преступления
24 Обеспечение анонимности пользователя, обход контентных фильтров
34 Убийства, насилие
54 убийства, насилие, трупы
57 терроризм
101 эротика, порнография
102 социальные сети
104 файлообменные сети и сайты
107 нелегальная помощь школьникам и студентам
109 обеспечение анонимности, обход контентных фильтров
110 онлайн-казино

Полный список реджетов можно посмотрать на сайте NetPolice в разделе «Приложение 2».

10. Дополнительные блокировки

К сожалению «Черный список» и «Белый список» в интерфейсе NetPolice не работают. У вас нет возможности как заблокировать дополнительные сайты так и разрешить доступ к уже заблокированным. Например, сайт spohelp.ru блокируется и для доступа к нему приходится добавлять исключения с настройках клиентских компьютеров.

Для дополнительной блокировки сайтов, которые NetPolice не блокирует мы используем инструменты самого squid. Для этого создаем черный список для самого squid.
Открываем на редактирование файл конфигурации squid

nano /etc/squid/squid.conf

Ищем в файле блок с acl записями и добавляем acl запись черного списка, с получением файлов из файла

acl blacklist url_regex «/etc/squid/blacklist.txt»

Создаем тектовый файл со список запрещенных шаблонов или адресов сайтов. В нашем случае — это домены «сохранено в кэше» поисковиков google и yandex.

nano /etc/squid/blacklist.txt

webcache.googleusercontent.com
hghltd.yandex.net
gjhyj

И создаем в файле /etc/squid/squid.conf правило запрещение доступа для сайтов перечисленных в категории blacklist. Для этого ищем запись http_access allow password и до нее вписываем строчку

#комментарии
http_access deny blacklist
http_access allow password

 

Опубликовано gumanoed

После сохранения настроек перезапустите squid

/etc/init.d/squid restart»