Differences between revisions 3 and 4
Revision 3 as of 2008-10-07 09:32:11
Size: 9608
Editor: AsmoKoskinen
Comment:
Revision 4 as of 2008-10-07 09:36:21
Size: 10548
Editor: AsmoKoskinen
Comment:
Deletions are marked like this. Additions are marked like this.
Line 155: Line 155:
Tee palomuurisäännöt Firehol-ohjelmistolle.

{{{
asmok@ubuntu-eee:~$ sudo nano /etc/firehol/firehol.conf
}}}

Muuta asetustiedosto tällaiseksi.

{{{
#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5
iptables -t filter -I OUTPUT -d 127.0.0.1 -p tcp --dport 3128 -m owner ! --uid-$
transparent_squid 8080 "nobody root"

# Accept all client traffic on any interface
interface any world
        policy drop
        protection strong
        client all accept
 server cups accept
 server webcache accept

}}}

SisällysluetteloBRTableOfContents(4)

Nettisuodatus

Tämän ohjeen avulla voidaan rakentaa toimiva nettisuodatus yhteen kotitietokoneeseen, jossa on monta käyttäjää. Tämä ohje ei sellaisenaan sovellu koko lähiverkon nettisuodatukseen. Tämä ohje ei vaadi käyttäjäkohtaisia muutoksia Firefox-selaimessa.

Tämän ohjeen teossa on käytetty Asus Eee 701 4G -tietokonetta. Ohje on tarkoitettu Ubuntu 8.04 -versiolle.

Nettisuodatus - ohjelmistojen asennus

Nettisuodatukseen tarvitaan kolme ohjelmistoa. Jos sinulla on jo käytössä esimerkiksi Firestarter-palomuuriohjelmisto, niin poista se ensin. Et tarvitse kuin yhden palomuuriohjelmiston kerrallaan, tässä ohjeessa se on Firehol.

  • Dansguardian - Nettisuodatus-ohjelmisto selaimen lähettämille pyynnöille
  • Tinyproxy - Välityspalvelin, jonka kautta kaikki selaimen lähettämät pyynnöt kulkevat
  • Firehol - Palomuuriohjelmisto

Asenna ohjelmistot pääkäyttäjänä. ClamAV-virustorjunta-ohjelmisto asentuu myös. Siihen palataan tämän ohjeen myöhemmissä versioissa. 

sudo apt-get install dansguardian tinyproxy firehol

asmok@ubuntu-eee:~$ sudo apt-get install dansguardian tinyproxy firehol
[sudo] password for asmok: 
Luetaan pakettiluetteloita... Valmis
Muodostetaan riippuvuussuhteiden puu       
Luetaan tilatietoja... Valmis       
Seuraavat ylimääräiset paketit on merkitty asennettaviksi:
  clamav clamav-base clamav-freshclam libclamav3 libesmtp5
Ehdotetut paketit:
  clamav-docs lha squid
Suositellut paketit:
  arj unzoo aggregate
Seuraavat UUDET paketit asennetaan:
  clamav clamav-base clamav-freshclam dansguardian firehol libclamav3
  libesmtp5 tinyproxy
0 päivitettävää, 8 uutta asennusta, 0 poistettavaa ja 0 päivittämätöntä.
Noudettavaa arkistoa 14,8Mt.
Tämän toiminnon jälkeen käytetään 18,8MB lisää levytilaa.
Haluatko jatkaa [K/e]?

Nouda:1 http://fi.archive.ubuntu.com hardy-updates/universe clamav-base 0.92.1~dfsg2-1.1ubuntu0.2 [12,7MB]
Nouda:2 http://fi.archive.ubuntu.com hardy-updates/universe libclamav3 0.92.1~dfsg2-1.1ubuntu0.2 [444kB]
Nouda:3 http://fi.archive.ubuntu.com hardy-updates/universe clamav-freshclam 0.92.1~dfsg2-1.1ubuntu0.2 [218kB]
Nouda:4 http://fi.archive.ubuntu.com hardy-updates/universe clamav 0.92.1~dfsg2-1.1ubuntu0.2 [894kB]
Nouda:5 http://fi.archive.ubuntu.com hardy/universe libesmtp5 1.0.3-1.1 [54,2kB]
Nouda:6 http://fi.archive.ubuntu.com hardy/universe dansguardian 2.8.0.6-antivirus-6.4.4.1-4build1 [295kB]
Nouda:7 http://fi.archive.ubuntu.com hardy/universe firehol 1.256-3 [171kB]    
Nouda:8 http://fi.archive.ubuntu.com hardy/universe tinyproxy 1.6.3-3 [65,8kB] 
Noudettiin 14,8Mt ajassa 1min22s (179kt/s)                                     
Esiasetetaan paketteja ...
Valitsen aikaisemmin valitsemattoman paketin clamav-base.
(Luetaan tietokantaa... 98553 tiedostoa ja hakemistoa tällä hetkellä asennettuna.)
Puretaan pakettia clamav-base (.../clamav-base_0.92.1~dfsg2-1.1ubuntu0.2_all.deb)...
Valitsen aikaisemmin valitsemattoman paketin libclamav3.
Puretaan pakettia libclamav3 (.../libclamav3_0.92.1~dfsg2-1.1ubuntu0.2_i386.deb)...
Valitsen aikaisemmin valitsemattoman paketin clamav-freshclam.
Puretaan pakettia clamav-freshclam (.../clamav-freshclam_0.92.1~dfsg2-1.1ubuntu0.2_i386.deb)...
Valitsen aikaisemmin valitsemattoman paketin clamav.
Puretaan pakettia clamav (.../clamav_0.92.1~dfsg2-1.1ubuntu0.2_i386.deb)...
Valitsen aikaisemmin valitsemattoman paketin libesmtp5.
Puretaan pakettia libesmtp5 (.../libesmtp5_1.0.3-1.1_i386.deb)...
Valitsen aikaisemmin valitsemattoman paketin dansguardian.
Puretaan pakettia dansguardian (.../dansguardian_2.8.0.6-antivirus-6.4.4.1-4build1_i386.deb)...
Valitsen aikaisemmin valitsemattoman paketin firehol.
Puretaan pakettia firehol (.../firehol_1.256-3_all.deb)...
Valitsen aikaisemmin valitsemattoman paketin tinyproxy.
Puretaan pakettia tinyproxy (.../tinyproxy_1.6.3-3_i386.deb)...
Säädän asetukset: clamav-base (0.92.1~dfsg2-1.1ubuntu0.2) ...
Lisätään järjestelmäkäyttäjä `clamav' (UID 113) ...
Lisätään uusi ryhmä `clamav' (GID 124) ...
Lisätään uusi käyttäjä `clamav' (UID 113), joka lisätään ryhmään `clamav' ...
Ei luoda kotihakemistoa `/var/lib/clamav'.

Säädän asetukset: libclamav3 (0.92.1~dfsg2-1.1ubuntu0.2) ...

Säädän asetukset: clamav-freshclam (0.92.1~dfsg2-1.1ubuntu0.2) ...
 * Starting ClamAV virus database updater freshclam                      [ OK ] 

Säädän asetukset: clamav (0.92.1~dfsg2-1.1ubuntu0.2) ...
Säädän asetukset: libesmtp5 (1.0.3-1.1) ...

Säädän asetukset: dansguardian (2.8.0.6-antivirus-6.4.4.1-4build1) ...
Varoitus: määrittelemäsi kotihakemisto /var/log/dansguardian on jo olemassa.
Lisätään järjestelmäkäyttäjä `dansguardian' (UID 114) ...
Lisätään uusi ryhmä `dansguardian' (GID 125) ...
Lisätään uusi käyttäjä `dansguardian' (UID 114), joka lisätään ryhmään `dansguardian' ...
Kotihakemisto `/var/log/dansguardian' on jo olemassa. Ei kopioida sijainnista `/etc/skel.
adduser: Varoitus: kotihakemisto `/var/log/dansguardian' ei kuulu juuti nyt luotavalle käyttäjälle.
        DansGuardian has not been configured!
        Please edit /etc/dansguardian/dansguardian.conf manually then rerun
        this script.

Säädän asetukset: firehol (1.256-3) ...

Säädän asetukset: tinyproxy (1.6.3-3) ...
Starting tinyproxy: tinyproxy.

Processing triggers for libc6 ...
ldconfig deferred processing now taking place
asmok@ubuntu-eee:~$

Nettisuodatus - Ohjelmistojen asetustiedostojen muokkaus

Jokaiseen kolmen ohjelmiston asetustiedostojen pitää tehdä muutoksia.

a. Dansguardian

Dansguardian ohjelmistossa pitää lisätä risuaita (#-merkki) UNCONFIGURED-rivin eteen. Tässä ohjeessa käytetään nano-editoria. 

asmok@ubuntu-eee:~$ sudo nano /etc/dansguardian/dansguardian.conf

Muuta rivi tällaiseksi. 

#UNCONFIGURED - Please remove this line after configuration

b. Tinyproxy

Tinyproxy-ohjelmistossa muutetaan portin numeroa. 

asmok@ubuntu-eee:~$ sudo nano /etc/tinyproxy/tinyproxy.conf

Muuta rivit tällaisiksi. 

#
# Port to listen on.
#
#Port 8888
Port 3128

c. Firehol

Ensin pitää sallia Firehol-ohjelmiston käynnistyminen. 

asmok@ubuntu-eee:~$ sudo nano /etc/default/firehol

Muuta rivi tällaiseksi. 

START_FIREHOL=YES

Tee palomuurisäännöt Firehol-ohjelmistolle. 

asmok@ubuntu-eee:~$ sudo nano /etc/firehol/firehol.conf

Muuta asetustiedosto tällaiseksi. 

#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5
iptables -t filter -I OUTPUT -d 127.0.0.1 -p tcp --dport 3128 -m owner ! --uid-$
transparent_squid 8080 "nobody root"

# Accept all client traffic on any interface
interface any world
        policy drop
        protection strong
        client all accept
        server cups accept
        server webcache accept

Nettisuodatus - Ohjelmistojen ensimmäinen käynnistys

Ohjelmistot käynnistetään määrätyssä järjestyksessä ensimmäisellä kerralla ja samalla tarkistetaan, että ne käynnistyvät. Tämän jälkeen tietokone käynnistetään uudelleen ja varmistetaan, että ohjelmistot ovat käynnistyneet automaattisesti.

a. Tinyproxy 

asmok@ubuntu-eee:~$ sudo /etc/init.d/tinyproxy restart
Restarting tinyproxy: tinyproxy.
asmok@ubuntu-eee:~$

b. Dansguardian

Tässä vaiheessa ei tarvitse välittää ClamAV-varoituksista. 

asmok@ubuntu-eee:~$ sudo /etc/init.d/dansguardian restart
Restarting DansGuardian:  * Restarting DansGuardian:
LibClamAV Warning: ***********************************************************
LibClamAV Warning: ***  This version of the ClamAV engine is outdated.     ***
LibClamAV Warning: *** DON'T PANIC! Read http://www.clamav.net/support/faq ***
LibClamAV Warning: ***********************************************************
[ OK ]
asmok@ubuntu-eee:~$

c. '''Firehol'''

Myöskään tästä Firehol-varoituksesta ei tarvitse välittää tässä vaiheessa.

{{{
asmok@ubuntu-eee:~$ sudo /etc/init.d/firehol restart
 * Restarting Firewall configuration                                            
WARNING
File '/etc/firehol/RESERVED_IPS' is more than 90 days old.
You should update it to ensure proper operation of your firewall.

Run the supplied get-iana.sh script to generate this file.
[ OK ]
asmok@ubuntu-eee:~$

Näihin varoituksiin palataan tämän ohjeen myöhemmissä versioissa.

  • Käynnistä tietokone uudestaan!

Nettisuodatus - Tarkista nettisuodatuksen toimivuus

Kun tietokone on käynnistetty uudestaan, niin Firefox-selaimeen ei tarvitse lisätä mitään. Nettisuodatuksen pitäisi toimia taustalla automaattisesti. Kun avataan tunnettu Playboy-sivusto, niin sen suodatuksesta jää merkintä Dansguardian-ohjelmiston log-tiedostoon. 

asmok@ubuntu-eee:/var/log/dansguardian$ cat access.log | grep playboy
2008.10.7 11:25:43 - 10.38.8.113 http://www.playboy.com/ *DENIED* Weighted phrase limit of 50 : 391 ((-advice, help, sexual)+(-article, health)+(-article, sexuality)+(-article, social)+(-news, article)+(-news, interview)+(-news, lawyer)+(amateur,  porn)+(centerfold,  porn)+(free tour, girls)+(free tour, sex)+(u.s.c, 18, 2257, compliance)+(2257, statement)+playboy+ sexy +sexy+ nude+naked+playmate+centerfold+-interview+sexuality+babes+search bar+join now+free tour+ girl +nude girl+amateur+-commerce+ sex + porn+sexiest+- health +-health+-newsletter+hottest+hottest girls+-faq+-advice+ nudes+busty+naughty+naughty amateur) GET 63189
2008.10.7 11:25:44 - 10.38.8.113 http://www.playboy.com/favicon.ico  GET 2238
asmok@ubuntu-eee:/var/log/dansguardian$

Firefox-selain ei voi näyttää sivua.

http://www.arkki.info/howto/Ubuntu_Eee/Nettisuodatus_01.png