Tabela de conteúdo |
O DansGuardian é uma opção de filtro de conteúdo desenvolvido para trabalhar em conjunto com o Squid, a grande diferença entre ele e o SquidGuard é que o SquidGuard se limita a bloquear páginas contidas em listas, enquanto o DansGuardian utiliza um filtro adaptativo, que avalia o conteúdo da página e decide se ela é uma página imprópria com base no conteúdo. Ele inclui um conjunto de regras prontas, que contém palavras, frases, além de uma lista de páginas conhecidas e trabalha cruzando todas essas informações.
O Dansguardian vai ficar configurado antes do nosso Proxy Squid:
REDE LAN
||
\/
Dansguardian (localhost:8080)
||
\/
Proxy (localhost:3128)
||
\/
REDE WAN
Note que antes mesmo de consultar a internet a requisição pode ser bloqueada e podemos usar diversos Proxyes, no nosso caso, vamos usar o Squid ou o Privoxy.
No Debian o pacote do Dansguardian tem por dependência o Clamav, mas sugiro que vocês dêem uma olhada em como instalá-lo e já adicionar assinaturas 3rd Party em conjunto. Antes de prosseguir, tenha certeza que
o seu Proxy Squid está configurado e funcionando. Vamos instalar o pacote:
# apt-get install dansguardian
Quando o pacote termina de instalar ele avisa que o DansGuardian ainda não está configurado e é preciso editar as configurações antes de tentar reiniciá-lo.
O Dansguardian nos possibilita filtrar durante a navegação por vírus, para isso, nosso ambiente prevê então que será utilizada a filtragem desta forma. Vamos ver como deixar nosso arquivo de configuração funcional. Primeiro, comente a linha
UNCONFIGURED - Please remove this line after configuration
que vai estar no início do arquivo, veja abaixo como ficou nosso arquivo de configuração:
reportinglevel = 3 languagedir = '/etc/dansguardian/languages' language = 'ptbrazilian' loglevel = 2 logexceptionhits = 2 logfileformat = 1 filterip = IP_PUBLICO filterport = 8080 proxyip = 127.0.0.1 proxyport = 3128 accessdeniedaddress = 'http://FQND/cgi-bin/dansguardian.pl' nonstandarddelimiter = on usecustombannedimage = on custombannedimagefile = '/usr/share/dansguardian/transparent1x1.gif' filtergroups = 1 filtergroupslist = '/etc/dansguardian/lists/filtergroupslist' bannediplist = '/etc/dansguardian/lists/bannediplist' exceptioniplist = '/etc/dansguardian/lists/exceptioniplist' showweightedfound = on weightedphrasemode = 0 urlcachenumber = 1000 urlcacheage = 900 scancleancache = on phrasefiltermode = 2 preservecase = 0 hexdecodecontent = off forcequicksearch = off reverseaddresslookups = off reverseclientiplookups = off logclienthostnames = off createlistcachefiles = on maxuploadsize = -1 maxcontentfiltersize = 256 maxcontentramcachescansize = 2000 maxcontentfilecachescansize = 20000 filecachedir = '/tmp' deletedownloadedtempfiles = on initialtrickledelay = 20 trickledelay = 10 downloadmanager = '/etc/dansguardian/downloadmanagers/fancy.conf' downloadmanager = '/etc/dansguardian/downloadmanagers/default.conf' contentscanner = '/etc/dansguardian/contentscanners/clamav.conf' contentscannertimeout = 60 contentscanexceptions = off recheckreplacedurls = off forwardedfor = on usexforwardedfor = off logconnectionhandlingerrors = on logchildprocesshandling = off maxchildren = 120 minchildren = 8 minsparechildren = 4 preforkchildren = 6 maxsparechildren = 32 maxagechildren = 500 maxips = 0 #Limita o número de conexões IP ipcfilename = '/tmp/.dguardianipc' urlipcfilename = '/tmp/.dguardianurlipc' ipipcfilename = '/tmp/.dguardianipipc' nodaemon = off nologger = off logadblocks = off loguseragent = off daemonuser = 'clamav' daemongroup = 'clamav' softrestart = off mailer = '/usr/sbin/sendmail -t'
o detalhe de configuração mais importante é definir o usuário do Clamav como o usuário que vai gerenciar o dasnguardian. Não podemos esquecer de definir as permissões dos logs também para o clamav:
# chown -R clamav:clamav /var/log/dansguardian
se você tentar inicializar o Dansguardian, vai receber o erro de que ele não consegue se comunicar com o Proxy, caso você não tenha configurado ainda, configure por exemplo o Proxy Squid e tente novamente. Sugerimos ler a documentação para entender como funcionam os esquemas de grupos, autenticação e outras funcionalidades.
Se você pretende usar Proxy transparente e que todo o tráfego seja redirecionado da porta http (80) padrão para a porta do Dansguardian, use a regra do Iptables abaixo para fazer o serviço:
# iptables -t nat -A PREROUTING -p tcp --dport http -j REDIRECT --to-port 8080
--Brivaldo 04h46min de 14 de maio de 2010 (UTC)