Установка и обслуживание клиента контентной фильтрации Netpolice(Mandriva) в версии 2.0

Введение.

Настоящий документ описывает процесс установки и обслуживания клиента контентной фильтрации
Netpolice версии 2.0 для операционной системы Mandriva.

Клиент Netpolice поддерживает функции доступа (политики доступа) к интернет-ресурсам как на основе списка категорий,
так и на основе белых и черных списков и их комбинаций. Кроме того, поддерживается персонифицированный доступ,
то есть для каждого пользователя есть возможность настроить свой профиль (настраивается администратором системы).
Политики доступа определяются посредством настройки ролей, которые затем присваиваются пользователям системы.
Роли поддерживают механизм наследования. При запуске системы используется политика доступа по умолчанию (см. Приложение 1),
которая применяется ко всем ролям. Если роль не определена, то используется роль по умолчанию.

Системные требования.

Минимальные системные требования: процессор от 667 МГц, ОЗУ от 512 Мб.

1. Быстрый старт.

Для начала установки необходимо убедиться, что подключены необходимые репозитории Mandriva.
Для этого запустите под правами root программу установки и удаления пакетов (программа rpmdrake)
Необходимо убедится, что подключены все официальные репозитории Mandriva. Для этого надо открыть пункт меню
"Параметры"-"Менеджер источников"ю
Должны быть обязательно подключены источники "Main","Main Updates","Contrib","Contrib Updates"
Eсли они не подключены, то это можно сделать на странице urpmi.mandriva.ru на которую можно зайти
через веб-браузер, или
с помощью консольной команды с правами суперпользователя root:
urpmi.addmedia --distrib '$MIRRORLIST'


1.1. Установка Netpolice.

Если настроены все необходимые репозитории, то установка может быть выполнена с помощью следующей команды
из консоли под правами root:
urpmi netpolice-main

Для обеспечения работоспособности системы Netpolice ее необходимо настроить на категоризирующий DNS сервер.
В зависимости от версии Netpolice необходимо открыть файл /etc/sysconfig/host2cat на редактирование или /etc/powerdns/pdns.conf установить параметр
DNS_LIST.

Для подключения фильтра Netpolice необходимо открыть файл /etc/c-icap.conf на редактирование и в конце файла добавить строку Include srv_url_filter.conf

Альтернативой перезагрузки компьютера является запуск нескольких команд под правами root:
/etc/rc.d/init.d/memcached restart
/etc/rc.d/init.d/host2cat restart
/etc/rc.d/init.d/c-icap restart
/etc/rc.d/init.d/squid restart
/etc/rc.d/init.d/powerdns restart

1.2. Настройка веб-браузера (в случае прозрачного squid настройка не требуется).

Устанавливаем доступ веб-браузера через прокси-сервер (IP-сервера, на котором установлен Netpolice), порт 3128 для компьютеров пользователей.
Например, в Firefox это выглядит следующим образом: необходимо запустить из главного окна firefox -> "Правка" -> "Настройки" ->
вкладка "Дополнительно" -> "Сеть" -> кнопка "Настроить" - в появившемся окне выбрать "Настроить параметры подключения прокси вручную" и
ввести IP адрес прокси-сервера и порт, далее нажать "ok" и выйти из настроек Firefox.

1.3. Проверка работы фильтра.

После настройки веб-браузера введите запрещенный ресурс.
В появившемся окне авторизации введите логин netpolice и пароль netpolice.
В результате должна появится страница с надписью Permission denied!

2. Эксплуатация.

2.1. Запуск консоли администратора системы Netpolice.

Выполнить пункт 1.2. если он еще не выполнен на компьютере, с которого будет осуществляться администрирование.
На компьютере, на котором был выполнен пункт 1.1, необходимо запустить сервис Apache:
/etc/rc.d/init.d/httpd start

Далее необходимо в браузере набрать адрес http://localhost:9000
Имя пользователя: root
Пароль: root
После успешной авторизации рекомендуется сразу изменить пароль root.

2.2. Создание нового администратора.

Для создания нового администратора зайдите в меню "Администраторы", назначьте ему пароль и зайдите
под его логином по адресу http://localhost:9000

2.3. Создание новой роли.

Создание новой роли осуществляется под администратором, созданным в пункте 2.2.
Для этого зайдите в меню "Роли", введите имя роли и выберете одного (нескольких) из родителей.

2.4. Создание нового пользователя.

Создание нового пользователя осуществляется под администратором, созданным в пункте 2.2.
Для этого зайдите в меню "Пользователи", введите:

Имя юзера: например,user (в случае прозрачного squid должно оставаться пустым)
IP адрес: (реальный IP пользователя - в случае прозрачного squid должно заполняться)
Маска подсети/суффикс: (в случае прозрачного squid должно заполняться)
Роль: (выбрать из списка)

Теперь на компьютере, на котором установлен Netpolice (по пункту 1.1), необходимо
добавить пользователя proxy сервера (в случае прозрачного squid это не требуется):
htpasswd2 /var/lib/netpolice/squid/passwd user (после ввода этой команды возникнет приглашение для создания пароля пользователю)

2.5. Редактирование политики доступа.

Редактирование политики доступа осуществляется под администратором, созданным в пункте 2.2.
Выберите роль с типом "Дополнительный" и нажмите "Редактировать".

"Черный список" и "Белый список" - списки URL запрещенных и разрешенных URL адресов соответственно.
"Список редиректов" - это список категорий (идентификаторов) (см. Приложение 2) интернет-ресурсов, определенных как перенаправляемые (по
умолчанию перенаправление происходит на block.netpolice.ru см. Приложение 1).
"Список реджектов" - это список запрещенных категорий (см. Приложение 2) интернет-ресурсов.

3. Возможные проблемы.

-После ввода адреса в браузере появляется сообщение -> "Прокси-сервер отказывается принимать соединения".
Решение. Проверьте настройки веб-браузера (пункт 1.2) и статус прокси сервер. Для этого выполните:
/etc/rc.d/init.d/squid status
Если выдается сообщение Service squid is not running,
тогда выполните: /etc/rc.d/init.d/squid start

-После ввода адреса в браузере появляется сообщение -> "ICAP protocol error".
Решение. Выполните /etc/rc.d/init.d/c-icap status
Если выдается сообщение c-icap is stopped,
тогда выполните: /etc/rc.d/init.d/c-icap start

-После перезагрузки компьютера фильтр Netpolice перестал работать.
Решение. Необходимо выполнить следующие команды под правами суперпользователя root для добавления сервисов в автозапуск:
/sbin/chkconfig --level 345 squid on
/sbin/chkconfig --level 345 c-icap on

-Не работает веб-интерфейс для управления политиками доступа пользователей.
Решение. см. пункт 2.1.

ПРИЛОЖЕНИЕ 1.

Политики доступа по умолчанию. (1-доступ запрещен (reject), 0-доступ разрешен (accept), 2-доступ перенаправляется (redirect))
Политики настраиваются в файле /etc/c-icap.conf

url_filter.RedirectUrl - описывает URL для перенаправления запросов пользователя. По умолчанию: http://www.google.com
url_filter.DBOpenErrorPolicy “<число>”–описывает применяемую политику в случае ошибки при соединении с БД политик. По умолчанию: 1.
url_filter.DBQueryErrorPolicy “<число>”–описывает применяемую политику в случае ошибки при обработке запроса к БД политик. По умолчанию: 0.
url_filter.UnknownRolePolicy “<число>”–описывает применяемую политику в случае неизвестной роли пользователя. По умолчанию: 1.
url_filter.MemcachedConnectErrorPolicy “<число>”–описывает применяемую политику в случае ошибки при соединении с базой данных категорий. По умолчанию: 1.
url_filter.MemcachedMissPolicy “<число>”–описывает применяемую политику в случае ошибки или отсутствия записи при извлечении данных из базы данных категорий. По умолчанию: 0.
url_filter.EmptyCategoryPolicy “<число>”–описывает применяемую политику в случае отсутствия категории для данного интернет ресурса. По умолчанию: 0.
url_filter.CategoryNotFoundPolicy “<число>”–описывает применяемую политику в случае отсутствия категории интернет-ресурса в описании применяемой политики. По умолчанию: 0.

После внесения изменений в файл конфигурации требуется перезапуск сервиса c-icap путем ввода из командной строки следующей команды:
/etc/rc.d/init.d/c-icap restart
 
ПРИЛОЖЕНИЕ 2.

Список категорий и их идентификаторов для категоризирующего DNS сервера.

105 алкоголь
101 эротика, порнография
3 реклама, баннерные сервера
4 власти, правительство
5 авто
6 кино
7 строительство и ремонт
8 предметы потребления
9 кулинария
10 дача
11 курсы, обучение
12 электроника и электротехника
13 оборудование
14 семья
15 мода и стиль
16 финансы
17 изобразительное искусство
18 компьютеры, аппаратное обеспечение
19 здоровье
20 хобби
21 юмор
22 интерьер
23 доступ в интернет
24 юридические услуги
25 литература
26 СМИ
27 машиностроение
28 металлургия
29 мобильная связь
30 музыка
31 общественные организации
113 компьютерные игры
33 домашние животные
34 фото
35 афиша
36 недвижимость
37 религия
38 школа
39 наука
40 спорт
41 театры
42 транспорт
43 туризм
44 университеты
111 работа и вакансии
46 создание сайтов
112 чаты
48 сайты знакомств
49 войска и вооружение
50 форумы и блоги
51 сервера бесплатной электронной почты
52 бесплатные хостинги
107 нелегальная помощь школьникам и студентам
54 убийства, насилие, трупы
110 онлайн-казино
102 социальные сети
57 терроризм
58 торговля
108 нижнее белье, купальники
109 обеспечение анонимности, обход контентных фильтров
103 службы обмена сообщениями
104 файлообменные сети и сайты
106 табак