PROXY with DansGuardian

		[URLFilter(squidGuard)]
		||
(INTERNET)	-------	-------[PROXY(squid)]-------	-----	[ContentsFilter(DansGuardian)]	-----	(USER)
				||
				[AntiVirus(clamdscan)]

• URLでフィルタリング(squidGuard)
• コンテンツのVirusチェックでフィルタリング(clamdscan)
• コンテンツの内容(フレーズマッチング等)でフィルタリング(DansGuardian)

• SQUID 3
  • Install

     $ sudo aptitude install squid3 squidGuard
    

  • edit /etc/squid3/squid.conf
    localhostのみからの接続(port 8080に設定)で、localnetからはdansguardianが受ける(port 3128に設定)ように設定 する(localhostのみからの接続のままにする事に注意)。

    http_port 8080
    

    localnetの設定を環境に合わせて編集する。。

    acl localnet src xxx.xxx.xxx.xxx/xx
    

    localのドメイン名のサーバを追加し、直接接続に指定。

    acl direct-servers dstdomain xxx.xxx.jp
    always_direct allow direct-servers
    

    localhostへの接続も直接接続に指定。

    always_direct allow to_localhost
    

    logfileのローテートを30日分にする

    logfile_rotate 30
    

    IPv4での接続を優先にする(インターネッットにIPv6接続していない場合)

    dns_v4_first on
    

    clientのIPアドレスを付加して送信させない(不要な情報を送信しない)

    forwarded_for off
    

    squidGuardを設定する。

    url_rewrite_program /usr/bin/squidGuard
    url_rewrite_children 5
    url_rewrite_access deny to_localhost
    

  • squidGuardのデータベース作成
    下記からFreeデータベースを使用させていただきます。
    • 日本サイト特化データ
    • SquidGuard Blacklists(MESD blacklists)
    • Shalla's Blacklists

     $ sudo /usr/bin/squidGuard -C all
     $ cd /var/lib/squidguard/
     $ sudo chown -R proxy.proxy db
    

  • squidGuard設定
    

    dbhome /var/lib/squidguard/db
    logdir /var/log/squid
    
    src admins {
    	ip	192.168.x.zz
    }
    src user {
    	ip	192.168.x.yy
    }
    
    dest myguard {
    	domainlist	myguard/domains
    }
    dest garaparo {
    	domainlist	garaparo/domains
    	urllist		garaparo/urls
    }
    dest dating {
    	domainlist	dating/domains
    	urllist		dating/urls	
    }
    dest drugs {
    	domainlist	drugs/domains
    	urllist		drugs/urls	
    }
    dest porn {
    	domainlist	porn/domains
    	urllist		porn/urls	
    }
    dest spyware {
    	domainlist	spyware/domains
    	urllist		spyware/urls	
    }
    dest violence {
    	domainlist	violence/domains
    	urllist		violence/urls	
    }
    dest warez {
    	domainlist	warez/domains
    	urllist		warez/urls	
    }
    dest suspect {
    	domainlist	suspect/domains
    	urllist		suspect/urls	
    }
    dest adult {
    	domainlist	adult/domains
    	urllist		adult/urls	
    }
    dest kidstimewasting {
    	domainlist	kidstimewasting/domains
    	urllist		kidstimewasting/urls	
    }
    dest phishing {
    	domainlist	phishing/domains
    	urllist		phishing/urls	
    }
    dest virusinfected {
    	domainlist	virusinfected/domains
    	urllist		virusinfected/urls	
    }
    
    acl {
    	user {
    		pass garaparo !myguard !dating !drugs !porn !spyware !violence !warez !suspect !adult !kidstimewasting !phishing !virusinfected all
    		redirect http://127.0.0.1/guard/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
    	}
    	admins {
    		pass !myguard !dating !drugs !spyware !violence !warez !suspect !kidstimewasting !phishing !virusinfected all
    		redirect http://127.0.0.1/guard/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
    	}
    	default {
    		pass !myguard !dating !drugs !porn !spyware !violence !warez !suspect !adult !kidstimewasting !phishing !virusinfected all
    		redirect http://127.0.0.1/guard/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
    	}
    }
    

• DansGuardian
  • Install

     $ sudo aptitude install dansguardian
    

  • /etc/dansguardian/dansguardian.conf設定
    UNCONFIGUREDをコメントアウトし、言語を設定し、ログの位置を設定する。

    # UNCONFIGURED - Please remove this line after configuration
    
    language = 'japanese'
    
    loglocation = '/var/log/dansguardian/access.log'
    

    dansguardianのlistenするIP(全IPから受ける設定はblank)とportを設定する。

    filterip =
    
    filterport = 3128
    

    proxyサーバのIPとportを設定する。

    proxyip = 127.0.0.1
    
    proxyport = 8080
    

    アクセスDENY時の表示するURLの設定と、AntiVirus Scannerの設定ファイルを記述。

    accessdeniedaddress = 'http://127.0.0.1/cgi-bin/dansguardian.pl'
    
    contentscanner = '/etc/dansguardian/contentscanners/clamdscan.conf'
    

    DaemonのPIDファイルの指定と、USERおよびGROUPの指定。

    pidfilename = '/var/run/dansguardian.pid'
    
    daemonuser = 'clamav'
    daemongroup = 'clamav'
    

  • /var/log/dansguardian/のパーミッション
    USER/GROUPをclamav/clamavで動かす事にしたので、

     $ sudo chown clamav.clamav /var/log/dansguardian
    

  • /etc/dansguardian/dansguardianf1.conf設定
    「わいせつ」リミット値を設定。今は 200(adults設定)にし、子供が使うようになったら、50から100に設定しよう。

    # 50 is for young children,  100 for old children,  160 for young adults.
    naughtynesslimit = 200
    

  • /etc/dansguardian/languages/japanese/template.html設定
    アクセス拒否時のメッセージtemplateのmailto:を設定

    <a href="mailto:webmaster@xxx.xxx.jp">webmaster@xxx.xxx.jp</a>
    

  • /etc/dansguardian/lists/bannedextensionlist設定
    禁止拡張子から、普段使用するもの(.gz .zip)をコメントアウトする。

    #.gz   # Gziped file
    
    #.zip  # Windows compressed file
    

  • /etc/dansguardian/lists/bannedmimetypelist設定
    禁止MIMEタイプから、普段使用するもの(.gz .zip)をコメントアウトする。

    #application/gzip
    #application/x-gzip
    #application/zip
    

  • /etc/dansguardian/lists/phraselists/pornography/weighted_japanese設定
    必要に応じて日本語キーワードの重み付けを調整する。
    例) 「少女」が50なのを10 (「女」と同じ重みに調整)する等...(ニュースでは良く出てくるキーワードなので...)。

• SquidClamav with c-imap
• SquidGuard(via squidClamav with c-imap)
• SquidGuard HomePage
• SquidGuardによるアクセス制限