Nettisuodatus
Tämän ohjeen avulla voidaan rakentaa toimiva nettisuodatus yhteen kotitietokoneeseen, jossa on monta käyttäjää. Tämä ohje ei sellaisenaan sovellu koko lähiverkon nettisuodatukseen. Tämä ohje ei vaadi käyttäjäkohtaisia muutoksia Firefox-selaimessa tai Konqueror-selaimessa.
Tämän ohjeen teossa on käytetty Asus Eee 701 4G -tietokonetta. Ohje on tarkoitettu Ubuntu 8.04 -versiolle.
Nettisuodatus - ohjelmistojen asennus
Nettisuodatukseen tarvitaan kolme ohjelmistoa. Jos sinulla on jo käytössä esimerkiksi Firestarter-palomuuriohjelmisto, niin poista se ensin. Et tarvitse kuin yhden palomuuriohjelmiston kerrallaan, tässä ohjeessa se on Firehol.
- Dansguardian - Nettisuodatus-ohjelmisto selaimen lähettämille pyynnöille
- Tinyproxy - Välityspalvelin, jonka kautta kaikki selaimen lähettämät pyynnöt kulkevat
- Firehol - Palomuuriohjelmisto
Asenna ohjelmistot pääkäyttäjänä. ClamAV-virustorjunta-ohjelmisto asentuu myös. Siihen palataan tämän ohjeen myöhemmissä versioissa.
sudo apt-get install dansguardian tinyproxy firehol
asmok@ubuntu-eee:~$ sudo apt-get install dansguardian tinyproxy firehol [sudo] password for asmok: Luetaan pakettiluetteloita... Valmis Muodostetaan riippuvuussuhteiden puu Luetaan tilatietoja... Valmis Seuraavat ylimääräiset paketit on merkitty asennettaviksi: clamav clamav-base clamav-freshclam libclamav3 libesmtp5 Ehdotetut paketit: clamav-docs lha squid Suositellut paketit: arj unzoo aggregate Seuraavat UUDET paketit asennetaan: clamav clamav-base clamav-freshclam dansguardian firehol libclamav3 libesmtp5 tinyproxy 0 päivitettävää, 8 uutta asennusta, 0 poistettavaa ja 0 päivittämätöntä. Noudettavaa arkistoa 14,8Mt. Tämän toiminnon jälkeen käytetään 18,8MB lisää levytilaa. Haluatko jatkaa [K/e]? [--] Säädän asetukset: dansguardian (2.8.0.6-antivirus-6.4.4.1-4build1) ... Varoitus: määrittelemäsi kotihakemisto /var/log/dansguardian on jo olemassa. Lisätään järjestelmäkäyttäjä `dansguardian' (UID 114) ... Lisätään uusi ryhmä `dansguardian' (GID 125) ... Lisätään uusi käyttäjä `dansguardian' (UID 114), joka lisätään ryhmään `dansguardian' ... Kotihakemisto `/var/log/dansguardian' on jo olemassa. Ei kopioida sijainnista `/etc/skel. adduser: Varoitus: kotihakemisto `/var/log/dansguardian' ei kuulu juuti nyt luotavalle käyttäjälle. DansGuardian has not been configured! Please edit /etc/dansguardian/dansguardian.conf manually then rerun this script. Säädän asetukset: firehol (1.256-3) ... Säädän asetukset: tinyproxy (1.6.3-3) ... Starting tinyproxy: tinyproxy. Processing triggers for libc6 ... ldconfig deferred processing now taking place asmok@ubuntu-eee:~$
Nettisuodatus - Ohjelmistojen asetustiedostojen muokkaus
Jokaisen kolmen ohjelmiston asetustiedostoihin pitää tehdä muutoksia.
a. Dansguardian
Dansguardian ohjelmistossa pitää lisätä risuaita (#-merkki) UNCONFIGURED-rivin eteen. Tässä ohjeessa käytetään nano-editoria.
asmok@ubuntu-eee:~$ sudo nano /etc/dansguardian/dansguardian.conf
Muuta rivi tällaiseksi.
#UNCONFIGURED - Please remove this line after configuration
b. Tinyproxy
Tinyproxy-ohjelmistossa muutetaan portin numeroa.
asmok@ubuntu-eee:~$ sudo nano /etc/tinyproxy/tinyproxy.conf
Muuta rivit tällaisiksi.
# # Port to listen on. # #Port 8888 Port 3128
c. Firehol
Ensin pitää sallia Firehol-ohjelmiston käynnistyminen.
asmok@ubuntu-eee:~$ sudo nano /etc/default/firehol
Muuta rivi tällaiseksi.
START_FIREHOL=YES
Tee palomuurisäännöt Firehol-ohjelmistolle.
asmok@ubuntu-eee:~$ sudo nano /etc/firehol/firehol.conf
Muuta asetustiedosto tällaiseksi.
# # $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # This configuration file will allow all requests originating from the # local machine to be send through all network interfaces. # # No requests are allowed to come from the network. The host will be # completely stealthed! It will not respond to anything, and it will # not be pingable, although it will be able to originate anything # (even pings to other hosts). # version 5 iptables -t filter -I OUTPUT -d 127.0.0.1 -p tcp --dport 3128 -m owner ! --uid-owner dansguardian -j DROP transparent_squid 8080 "nobody root" # Accept all client traffic on any interface interface any world policy drop protection strong client all accept server cups accept server webcache accept
Nettisuodatus - Ohjelmistojen ensimmäinen käynnistys
Ohjelmistot käynnistetään määrätyssä järjestyksessä ensimmäisellä kerralla ja samalla tarkistetaan, että ne käynnistyvät. Tämän jälkeen tietokone käynnistetään uudelleen ja varmistetaan, että ohjelmistot ovat käynnistyneet automaattisesti.
a. Tinyproxy
asmok@ubuntu-eee:~$ sudo /etc/init.d/tinyproxy restart Restarting tinyproxy: tinyproxy. asmok@ubuntu-eee:~$
b. Dansguardian
Tässä vaiheessa ei tarvitse välittää ClamAV-varoituksista.
asmok@ubuntu-eee:~$ sudo /etc/init.d/dansguardian restart Restarting DansGuardian: * Restarting DansGuardian: LibClamAV Warning: *********************************************************** LibClamAV Warning: *** This version of the ClamAV engine is outdated. *** LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq *** LibClamAV Warning: *********************************************************** [ OK ] asmok@ubuntu-eee:~$
c. Firehol
Myöskään tästä Firehol-varoituksesta ei tarvitse välittää tässä vaiheessa.
asmok@ubuntu-eee:~$ sudo /etc/init.d/firehol restart * Restarting Firewall configuration WARNING File '/etc/firehol/RESERVED_IPS' is more than 90 days old. You should update it to ensure proper operation of your firewall. Run the supplied get-iana.sh script to generate this file. [ OK ] asmok@ubuntu-eee:~$
Näihin varoituksiin palataan tämän ohjeen myöhemmissä versioissa.
Käynnistä tietokone uudestaan!
Nettisuodatus - Tarkista nettisuodatuksen toimivuus
Kun tietokone on käynnistetty uudestaan, niin Firefox-selaimeen ei tarvitse lisätä mitään. Nettisuodatuksen pitäisi toimia taustalla automaattisesti. Kun avataan sivusto, niin sen suodatuksesta jää merkintä Dansguardian-ohjelmiston log-tiedostoon.
http://www.arkki.info/howto/Ubuntu_Eee/dansguardian_log.txt
Firefox-selain ei voi näyttää sivua.
Konqueror-selain ei voi näyttää sivua.
Nettisuodatus - Ilmoitussivun muuttaminen suomenkielisiksi
Dansguardian-ohjelmistosta puuttuvat kokonaan suomenkieliset ilmoitussivut. Voit muuttaa oletuksena olevan englanninkielisen sivun ja sen ilmoitukset suomenkieliseksi seuraavalla tavalla.
Luo ensin hakemisto suomenkielisiä ilmoituksia varten ja kopioi ne netistä sinne. Muuta asetustiedostoa (ukenglish -> finnish) ja sen jälkeen käynnistä Dansguardian uudestaan.
a.
asmok@ubuntu-eee:~$ cd /etc/dansguardian/languages asmok@ubuntu-eee:/etc/dansguardian/languages$
b.
asmok@ubuntu-eee:/etc/dansguardian/languages$ sudo mkdir finnish asmok@ubuntu-eee:/etc/dansguardian/languages$ cd finnish asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$
c.
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo wget http://www.arkki.info/howto/Ubuntu_Eee/template.html --19:50:21-- http://www.arkki.info/howto/Ubuntu_Eee/template.html => `template.html' Selvitetään osoitetta www.arkki.info... 217.30.180.27 Yhdistetään palvelimeen www.arkki.info|217.30.180.27|:80... yhdistetty. HTTP-pyyntö lähetetty, odotetaan vastausta... 200 OK Pituus: 2 140 (2.1K) [text/html] 100%[=>] 2 140 --.--K/s 19:50:21 (11.29 MB/s) - "template.html" tallennettu [2140/2140] asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$
d.
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo wget http://www.arkki.info/howto/Ubuntu_Eee/messages --19:51:23-- http://www.arkki.info/howto/Ubuntu_Eee/messages => `messages' Selvitetään osoitetta www.arkki.info... 217.30.180.27 Yhdistetään palvelimeen www.arkki.info|217.30.180.27|:80... yhdistetty. HTTP-pyyntö lähetetty, odotetaan vastausta... 200 OK Pituus: 1 514 (1.5K) [text/plain] 100%[=>] 1 514 --.--K/s 19:51:23 (9.60 MB/s) - "messages" tallennettu [1514/1514] asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$
e.
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo chmod 755 * asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ ls -al yhteensä 16 drwxr-xr-x 2 root root 4096 2008-10-07 19:51 . drwxr-xr-x 25 root root 4096 2008-10-07 19:49 .. -rwxr-xr-x 1 root root 1514 2008-10-07 19:33 messages -rwxr-xr-x 1 root root 2140 2008-10-07 18:36 template.html asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$
f.
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo nano /etc/dansguardian/dansguardian.conf
g.
# language to use from languagedir. language = 'finnish'
h.
asmok@ubuntu-eee:/etc/dansguardian/languages/finnish$ sudo /etc/init.d/dansguardian restart
Ilmoitussivu on suomenkielinen ja toivottavasti hieman ymmärrettävämpi.
Nettisuodatus - Miten suodatusta säädetään?
Dansguardianin suodatus on oletusasetuksilla hyvin tiukka. Esimerkkinä sivu, jolta halutaan ladata ogg-video. Dansguardian estää sen.
Suodatus perustuu tässä tapauksessa päätteeseen ".ogg" tiedostossa "/etc/dansguardian/bannedextensionlist". Jos tästä tiedostosta kommentoidaan pois (#) ".ogg" ja Dansguardian käynnistetään uudestaan, niin video voidaan ladata tai katsoa suoratoistona selaimessa.
Suodatusta voidaan siis säätää muokkaamalla tiedostoja, jotka löytyvät hakemistosta /etc/dansguardian.
- Nettisuodatusta tärkeämpää on keskustella tietokoneen ja Internetin käytöstä niiden kanssa, jotka ovat sinun kasvatusvastuullasi - kotona tai koulussa.
- Nettisuodatus on aina hyvin karkeaa - sanalistoja, sivustolistoja tai tiedostojen päätteitä.
- Nettisuodatus ei millään tavalla käsittele sivujen, kuvien tai videoiden sisältöä. Nettisuodatus ei ymmärrä sisällöstä mitään.
- Nettisuodatusta voi käyttää yhteisten päätösten tukena, kun ensin sovitaan yhdessä - kotona tai koulussa - yhteisiä sääntöjä tietokoneen ja Internetin käytölle.
Nettisuodatus - Perusasennuksen jälkeisiä toimenpiteitä
Nettisuodatus - Turvallisen etäyhteyden avaaminen
Jos tarvitset turvallista etäyhteyttä koneeseen, jossa on Firehol asennettuna, kuten tässä asennuksessa, niin sinun pitää lisätä tämä rivi asetustiedostoon ja käynnistää Firehol uudestaan.
server ssh accept
asmok@ubuntu:~$ ssh asmok@192.168.1.246 The authenticity of host '192.168.1.246 (192.168.1.246)' can't be established. RSA key fingerprint is 44:2b:e7:9e:d3:a6:0f:2a:d7:0f:5f:16:84:fb:c2:85. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.1.246' (RSA) to the list of known hosts. asmok@192.168.1.246's password: Linux ubuntu-eee 2.6.24-21-eeepc #1 SMP Thu Aug 7 22:18:05 MDT 2008 i686 The programs included with the Ubuntu system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. To access official Ubuntu documentation, please visit: http://help.ubuntu.com/ Last login: Tue Oct 7 11:29:17 2008 from 10.38.8.8 asmok@ubuntu-eee:~$
Nettisuodatus - get-iana.sh
Firehol-ohjelmiston antamasta varoituksesta pääsee eroon seuraavalla tavalla.
Ensin siirrytään /sbin-hakemistoon ja haetaan Ubuntusta puuttuva get-iana.sh -skripti. Se ajetaan pääkäyttäjän oikeuksilla.
a.
asmok@ubuntu-eee:~$ cd /sbin
b.
asmok@ubuntu-eee:/sbin$ sudo wget http://www.arkki.info/howto/Ubuntu_Eee/get-iana.sh [sudo] password for asmok: --20:15:44-- http://www.arkki.info/howto/Ubuntu_Eee/get-iana.sh => `get-iana.sh' Selvitetään osoitetta www.arkki.info... 217.30.180.27 Yhdistetään palvelimeen www.arkki.info|217.30.180.27|:80... yhdistetty. HTTP-pyyntö lähetetty, odotetaan vastausta... 200 OK Pituus: 4 723 (4.6K) [application/x-sh] 100%[=>] 4 723 --.--K/s 20:15:44 (16.24 MB/s) - "get-iana.sh" tallennettu [4723/4723] asmok@ubuntu-eee:/sbin$
c.
asmok@ubuntu-eee:/sbin$ sudo chmod 755 get-iana.sh
d.
asmok@ubuntu-eee:/sbin$ sudo ./get-iana.sh [--] Would you like to save this list to /etc/firehol/RESERVED_IPS so that FireHOL will automatically use it from now on? yes or no > yes New RESERVED_IPS written to '/etc/firehol/RESERVED_IPS'. asmok@ubuntu-eee:/sbin$
e.
asmok@ubuntu-eee:/sbin$ sudo /etc/init.d/firehol restart * Restarting Firewall configuration [ OK ] asmok@ubuntu-eee:/sbin$
Nettisuodatus - freshclam ja clamscan
Tässä asennuksessa Dansguardian tai ClamAV ei enää varoittanut liian vanhoista virus-tiedoista, kun ClamAV oli päivittänyt itsensä. Päivityksen voi tehdä itse seuraavalla tavalla. Kotihakemiston /home voi myös tarkistaa itse aika ajoin.
a.
asmok@ubuntu-eee:/sbin$ sudo freshclam ClamAV update process started at Tue Oct 7 20:27:20 2008 WARNING: Your ClamAV installation is OUTDATED! WARNING: Local version: 0.92.1 Recommended version: 0.94 DON'T PANIC! Read http://www.clamav.net/support/faq main.inc is up to date (version: 48, sigs: 399264, f-level: 35, builder: sven) daily.inc is up to date (version: 8387, sigs: 39969, f-level: 35, builder: arnaud) asmok@ubuntu-eee:/sbin$
b.
asmok@ubuntu-eee:/sbin$ sudo clamscan -r /home ----------- SCAN SUMMARY ----------- Known viruses: 438515 Engine version: 0.92.1 Scanned directories: 401 Scanned files: 2278 Infected files: 0 Data scanned: 143.18 MB Time: 73.826 sec (1 m 13 s) asmok@ubuntu-eee:/sbin$