back
Evitiamo il bypass di DansGuardian

Utenti esperti potrebbero presto scoprire un trucco per aggirare il filtro di DansGuardian: poiché la nostra rete ha impostato una regola trasparente di iptables che reindirizza il traffico di rete verso la porta 8080 presidiata da DansGuardian, basterebbe entrare nelle proprietà del browser e forzare l'impostazione di un proxy sulla porta 3128 per permettere a un client di arrivare direttamente a Squid senza passare per la censura dellurl filter.
Per fortuna con una piccola ulteriore regola di iptables, da aggiungere alla fine del solito file /etc/init.d/firewall, possiamo facilmente impedirlo:

# Impedisco il bypass di DansGuardian
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3128 -j \
REDIRECT --to-port 8080

In questo modo, qualunque client che tentasse una connessione diretta a Squid verrebbe automaticamente ridiretto su "DansGuardian".
Quest'ultima regola, in combinazione con eventuali altre regole iptables che filtrino il traffico in uscita su porte non espressamente autorizzate, è in grado di darci il controllo completo su tutto il traffico entrante e uscente dalla nostra rete LAN.

Analisi dei Log

Tutti i log di questo sistema di filtraggio dei contenuti saranno reperibili nelle directory /var/log/squid/ e /var/log/dansguardian/.
Per una comoda lettura dei log generati da Squid e DansGuardian suggerisco di installare il pacchetto

# apt-get install calamaris

Calamaris è uno script Perl che genera belle statistiche a partire dai file di registro di Squid o Oops. Viene invocato giornalmente prima che il proxy faccia la rotazione dei propri file di registro e invia le statistiche via posta o le mette sul web. (Fonte: http://packages.debian.org/lenny/calamaris)

Il seguente esempio genera un report in formato html.

# calamaris -a -F html /var/log/squid/access.log > log_squid.html

Conclusioni

Abbiamo visto in questo articolo un sistema abbastanza completo per implementare un proxy server che funzioni anche come filtro dei contenuti web da veicolare agli utenti di una LAN.

Senza addentrarci in dettagli legali, vi ricordo che è necessario che una struttura che intenda installare un sistema di controllo della navigazione si doti anche di un regolamento per la navigazione internet, affisso nella bacheca degli annunci aziendali, allegato ad ogni contratto di assunzione e preventivamente discusso con gli organi sindacali della struttura stessa.

back