Sisällysluettelo

Nettisuodatus

Tämän ohjeen avulla voidaan rakentaa toimiva nettisuodatus yhteen kotitietokoneeseen, jossa on monta käyttäjää. Tämä ohje ei sellaisenaan sovellu koko lähiverkon nettisuodatukseen. Tämä ohje ei vaadi käyttäjäkohtaisia muutoksia Firefox-selaimessa tai Konqueror-selaimessa.

Tämän ohjeen teossa on käytetty Asus Eee 701 4G -tietokonetta. Ohje on tarkoitettu Ubuntu 8.04 -versiolle.

Nettisuodatus - ohjelmistojen asennus

Nettisuodatukseen tarvitaan kolme ohjelmistoa. Jos sinulla on jo käytössä esimerkiksi Firestarter-palomuuriohjelmisto, niin poista se ensin. Et tarvitse kuin yhden palomuuriohjelmiston kerrallaan, tässä ohjeessa se on Firehol.

Asenna ohjelmistot pääkäyttäjänä. ClamAV-virustorjunta-ohjelmisto asentuu myös. Siihen palataan tämän ohjeen myöhemmissä versioissa.

sudo apt-get install dansguardian tinyproxy firehol

asmok@ubuntu-eee:~$ sudo apt-get install dansguardian tinyproxy firehol
[sudo] password for asmok: 
Luetaan pakettiluetteloita... Valmis
Muodostetaan riippuvuussuhteiden puu       
Luetaan tilatietoja... Valmis       
Seuraavat ylimääräiset paketit on merkitty asennettaviksi:
  clamav clamav-base clamav-freshclam libclamav3 libesmtp5
Ehdotetut paketit:
  clamav-docs lha squid
Suositellut paketit:
  arj unzoo aggregate
Seuraavat UUDET paketit asennetaan:
  clamav clamav-base clamav-freshclam dansguardian firehol libclamav3
  libesmtp5 tinyproxy
0 päivitettävää, 8 uutta asennusta, 0 poistettavaa ja 0 päivittämätöntä.
Noudettavaa arkistoa 14,8Mt.
Tämän toiminnon jälkeen käytetään 18,8MB lisää levytilaa.
Haluatko jatkaa [K/e]?
[--]
Säädän asetukset: dansguardian (2.8.0.6-antivirus-6.4.4.1-4build1) ...
Varoitus: määrittelemäsi kotihakemisto /var/log/dansguardian on jo olemassa.
Lisätään järjestelmäkäyttäjä `dansguardian' (UID 114) ...
Lisätään uusi ryhmä `dansguardian' (GID 125) ...
Lisätään uusi käyttäjä `dansguardian' (UID 114), joka lisätään ryhmään `dansguardian' ...
Kotihakemisto `/var/log/dansguardian' on jo olemassa. Ei kopioida sijainnista `/etc/skel.
adduser: Varoitus: kotihakemisto `/var/log/dansguardian' ei kuulu juuti nyt luotavalle käyttäjälle.
        DansGuardian has not been configured!
        Please edit /etc/dansguardian/dansguardian.conf manually then rerun
        this script.

Säädän asetukset: firehol (1.256-3) ...

Säädän asetukset: tinyproxy (1.6.3-3) ...
Starting tinyproxy: tinyproxy.

Processing triggers for libc6 ...
ldconfig deferred processing now taking place
asmok@ubuntu-eee:~$

Nettisuodatus - Ohjelmistojen asetustiedostojen muokkaus

Jokaisen kolmen ohjelmiston asetustiedostoihin pitää tehdä muutoksia.

a. Dansguardian

Dansguardian ohjelmistossa pitää lisätä risuaita (#-merkki) UNCONFIGURED-rivin eteen. Tässä ohjeessa käytetään nano-editoria.

asmok@ubuntu-eee:~$ sudo nano /etc/dansguardian/dansguardian.conf

Muuta rivi tällaiseksi.

#UNCONFIGURED - Please remove this line after configuration

b. Tinyproxy

Tinyproxy-ohjelmistossa muutetaan portin numeroa.

asmok@ubuntu-eee:~$ sudo nano /etc/tinyproxy/tinyproxy.conf

Muuta rivit tällaisiksi.

#
# Port to listen on.
#
#Port 8888
Port 3128

c. Firehol

Ensin pitää sallia Firehol-ohjelmiston käynnistyminen.

asmok@ubuntu-eee:~$ sudo nano /etc/default/firehol

Muuta rivi tällaiseksi.

START_FIREHOL=YES

Tee palomuurisäännöt Firehol-ohjelmistolle.

asmok@ubuntu-eee:~$ sudo nano /etc/firehol/firehol.conf

Muuta asetustiedosto tällaiseksi.

#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5
iptables -t filter -I OUTPUT -d 127.0.0.1 -p tcp --dport 3128 -m owner ! --uid-owner dansguardian -j DROP
transparent_squid 8080 "nobody root"

# Accept all client traffic on any interface
interface any world
        policy drop
        protection strong
        client all accept
        server cups accept
        server webcache accept

Nettisuodatus - Ohjelmistojen ensimmäinen käynnistys

Ohjelmistot käynnistetään määrätyssä järjestyksessä ensimmäisellä kerralla ja samalla tarkistetaan, että ne käynnistyvät. Tämän jälkeen tietokone käynnistetään uudelleen ja varmistetaan, että ohjelmistot ovat käynnistyneet automaattisesti.

a. Tinyproxy

asmok@ubuntu-eee:~$ sudo /etc/init.d/tinyproxy restart
Restarting tinyproxy: tinyproxy.
asmok@ubuntu-eee:~$

b. Dansguardian

Tässä vaiheessa ei tarvitse välittää ClamAV-varoituksista.

asmok@ubuntu-eee:~$ sudo /etc/init.d/dansguardian restart
Restarting DansGuardian:  * Restarting DansGuardian:
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
[ OK ]
asmok@ubuntu-eee:~$

c. Firehol

Myöskään tästä Firehol-varoituksesta ei tarvitse välittää tässä vaiheessa.

asmok@ubuntu-eee:~$ sudo /etc/init.d/firehol restart
 * Restarting Firewall configuration                                            
WARNING
File '/etc/firehol/RESERVED_IPS' is more than 90 days old.
You should update it to ensure proper operation of your firewall.

Run the supplied get-iana.sh script to generate this file.
[ OK ]
asmok@ubuntu-eee:~$

Näihin varoituksiin palataan tämän ohjeen myöhemmissä versioissa.

Nettisuodatus - Tarkista nettisuodatuksen toimivuus

Kun tietokone on käynnistetty uudestaan, niin Firefox-selaimeen ei tarvitse lisätä mitään. Nettisuodatuksen pitäisi toimia taustalla automaattisesti. Kun avataan sivusto, niin sen suodatuksesta jää merkintä Dansguardian-ohjelmiston log-tiedostoon.

http://www.arkki.info/howto/Ubuntu_Eee/dansguardian_log.txt


Firefox-selain ei voi näyttää sivua.


http://www.arkki.info/howto/Ubuntu_Eee/Nettisuodatus_01.png


Konqueror-selain ei voi näyttää sivua.


http://www.arkki.info/howto/Ubuntu_Eee/Nettisuodatus_02.png


Nettisuodatus - Ilmoitussivun muuttaminen suomenkielisiksi

Dansguardian-ohjelmistosta puuttuvat kokonaan suomenkieliset ilmoitussivut. Voit muuttaa oletuksena olevan englanninkielisen sivun ja sen ilmoitukset suomenkieliseksi seuraavalla tavalla.

Luo ensin hakemisto suomenkielisiä ilmoituksia varten ja kopioi ne netistä sinne. Muuta asetustiedostoa (ukenglish -> finnish) ja sen jälkeen käynnistä Dansguardian uudestaan.

a.

asmok@ubuntu-eee:~$ cd /etc/dansguardian/languages
asmok@ubuntu-eee:/etc/dansguardian/languages$

b.

asmok@ubuntu-eee:/etc/dansguardian/languages$ sudo mkdir finnish
asmok@ubuntu-eee:/etc/dansguardian/languages$ cd finnish
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$

c.

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo wget http://www.arkki.info/howto/Ubuntu_Eee/template.html
--19:50:21--  http://www.arkki.info/howto/Ubuntu_Eee/template.html
           => `template.html'
Selvitetään osoitetta www.arkki.info... 217.30.180.27
Yhdistetään palvelimeen www.arkki.info|217.30.180.27|:80... yhdistetty.
HTTP-pyyntö lähetetty, odotetaan vastausta... 200 OK
Pituus: 2 140 (2.1K) [text/html]

100%[=>] 2 140        --.--K/s              

19:50:21 (11.29 MB/s) - "template.html" tallennettu [2140/2140]

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$

d.

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo wget http://www.arkki.info/howto/Ubuntu_Eee/messages
--19:51:23--  http://www.arkki.info/howto/Ubuntu_Eee/messages
           => `messages'
Selvitetään osoitetta www.arkki.info... 217.30.180.27
Yhdistetään palvelimeen www.arkki.info|217.30.180.27|:80... yhdistetty.
HTTP-pyyntö lähetetty, odotetaan vastausta... 200 OK
Pituus: 1 514 (1.5K) [text/plain]

100%[=>] 1 514        --.--K/s              

19:51:23 (9.60 MB/s) - "messages" tallennettu [1514/1514]

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$

e.

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo chmod 755 *
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ ls -al
yhteensä 16
drwxr-xr-x  2 root root 4096 2008-10-07 19:51 .
drwxr-xr-x 25 root root 4096 2008-10-07 19:49 ..
-rwxr-xr-x  1 root root 1514 2008-10-07 19:33 messages
-rwxr-xr-x  1 root root 2140 2008-10-07 18:36 template.html
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$

f.

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo nano /etc/dansguardian/dansguardian.conf

g.

# language to use from languagedir.
language = 'finnish'

h.

asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo /etc/init.d/dansguardian restart

Ilmoitussivu on suomenkielinen ja toivottavasti hieman ymmärrettävämpi.


http://www.arkki.info/howto/Ubuntu_Eee/Nettisuodatus_03.png


http://www.arkki.info/howto/Ubuntu_Eee/Nettisuodatus_04.png


Nettisuodatus - Miten suodatusta säädetään?

Dansguardianin suodatus on oletusasetuksilla hyvin tiukka. Esimerkkinä sivu, jolta halutaan ladata ogg-video. Dansguardian estää sen.

http://www.arkki.info/howto/Ubuntu_Eee/Nettisuodatus_05.png

Suodatus perustuu tässä tapauksessa päätteeseen ".ogg" tiedostossa "/etc/dansguardian/bannedextensionlist". Jos tästä tiedostosta kommentoidaan pois (#) ".ogg" ja Dansguardian käynnistetään uudestaan, niin video voidaan ladata tai katsoa suoratoistona selaimessa.

Suodatusta voidaan siis säätää muokkaamalla tiedostoja, jotka löytyvät hakemistosta /etc/dansguardian.



Nettisuodatus - Perusasennuksen jälkeisiä toimenpiteitä

Nettisuodatus - Turvallisen etäyhteyden avaaminen

Jos tarvitset turvallista etäyhteyttä koneeseen, jossa on Firehol asennettuna, kuten tässä asennuksessa, niin sinun pitää lisätä tämä rivi asetustiedostoon ja käynnistää Firehol uudestaan.

server ssh accept

asmok@ubuntu:~$ ssh asmok@192.168.1.246
The authenticity of host '192.168.1.246 (192.168.1.246)' can't be established.
RSA key fingerprint is 44:2b:e7:9e:d3:a6:0f:2a:d7:0f:5f:16:84:fb:c2:85.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.1.246' (RSA) to the list of known hosts.
asmok@192.168.1.246's password: 
Linux ubuntu-eee 2.6.24-21-eeepc #1 SMP Thu Aug 7 22:18:05 MDT 2008 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/
Last login: Tue Oct  7 11:29:17 2008 from 10.38.8.8
asmok@ubuntu-eee:~$

Nettisuodatus - get-iana.sh

Firehol-ohjelmiston antamasta varoituksesta pääsee eroon seuraavalla tavalla.

Ensin siirrytään /sbin-hakemistoon ja haetaan Ubuntusta puuttuva get-iana.sh -skripti. Se ajetaan pääkäyttäjän oikeuksilla.

a.

asmok@ubuntu-eee:~$ cd /sbin

b.

asmok@ubuntu-eee:/sbin$ sudo wget http://www.arkki.info/howto/Ubuntu_Eee/get-iana.sh
[sudo] password for asmok: 
--20:15:44--  http://www.arkki.info/howto/Ubuntu_Eee/get-iana.sh
           => `get-iana.sh'
Selvitetään osoitetta www.arkki.info... 217.30.180.27
Yhdistetään palvelimeen www.arkki.info|217.30.180.27|:80... yhdistetty.
HTTP-pyyntö lähetetty, odotetaan vastausta... 200 OK
Pituus: 4 723 (4.6K) [application/x-sh]

100%[=>] 4 723        --.--K/s              

20:15:44 (16.24 MB/s) - "get-iana.sh" tallennettu [4723/4723]

asmok@ubuntu-eee:/sbin$

c.

asmok@ubuntu-eee:/sbin$ sudo chmod 755 get-iana.sh

d.

asmok@ubuntu-eee:/sbin$ sudo ./get-iana.sh
[--]
Would you like to save this list to /etc/firehol/RESERVED_IPS
so that FireHOL will automatically use it from now on?

yes or no > yes
New RESERVED_IPS written to '/etc/firehol/RESERVED_IPS'.
asmok@ubuntu-eee:/sbin$

e.

asmok@ubuntu-eee:/sbin$ sudo /etc/init.d/firehol restart
 * Restarting Firewall configuration
[ OK ] 
asmok@ubuntu-eee:/sbin$

Nettisuodatus - freshclam ja clamscan

Tässä asennuksessa Dansguardian tai ClamAV ei enää varoittanut liian vanhoista virus-tiedoista, kun ClamAV oli päivittänyt itsensä. Päivityksen voi tehdä itse seuraavalla tavalla. Kotihakemiston /home voi myös tarkistaa itse aika ajoin.

a.

asmok@ubuntu-eee:/sbin$ sudo freshclam
ClamAV update process started at Tue Oct  7 20:27:20 2008
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.92.1 Recommended version: 0.94
DON'T PANIC! Read http://www.clamav.net/support/faq
main.inc is up to date (version: 48, sigs: 399264, f-level: 35, builder: sven)
daily.inc is up to date (version: 8387, sigs: 39969, f-level: 35, builder: arnaud)
asmok@ubuntu-eee:/sbin$

b.

asmok@ubuntu-eee:/sbin$ sudo clamscan -r /home

----------- SCAN SUMMARY -----------
Known viruses: 438515
Engine version: 0.92.1
Scanned directories: 401
Scanned files: 2278
Infected files: 0
Data scanned: 143.18 MB
Time: 73.826 sec (1 m 13 s)
asmok@ubuntu-eee:/sbin$