Защищаем детей от интернетов⁠⁠

Так уж совпало что в день защиты детей пришлось заняться защитой "детей" от интернета. Ну так то конечно не детей, пользователи в нашей сети возраст имеют от 17 до 90, однако студенты первого курса могут быть моложе 18 и формально им порну еще рано. Ну и вообще, ходить на порносайты через рабочий инет как бы атата.

Почему именно сегодня. Вообще, проблема насущная уже давно и решалась она по-разному. Сначала на прозрачном прокси использовался редиректор Rejik которому скриптиком подгружал черный список с какого-то некоммерческого буржуинского сайта. Система оказалась крайне неэффективной, потому как черные списки оставляли желать лучшего, а потом и режик из репозиториев FreeBSD выпилили, пришлось искать альтернативы.

Наверное неплохим вариантом стал бы SkyDNS, однако он платный, хотят оне 300 р. в год за 1 ПК. Я с ними общался - говорю вот у меня примерно 300 пк, но запросы все пойдут с одного пк (кэширующий днс сервер), вам платить за 1 пк или за 300. Говорят - за 300. А как вы узнаете что это 300 компов а не 1 ? Ну как-то узнаем. В общем, не договорились мы тогда и не задружили.

В итоге оптимальным вариантом стал яндек.DNS - Семейный. Отлично фильтрует, включает безопасный поиск на всяких там гуглах-яндексах и все хорошо. И настроить проще простого - в named.conf прописаны форвардеры и ура. Однако вчера он почему-то превратился в тыкву. Процентов 30 сайтов стали им определяться как порнографические. Даже портал Агровуз как-то попал в немилость. Пришлось искать замену. Вчера поработали с DNS провайдера, без фильтрации, думал вдруг яндекс одумается, однако чуда не произошло и сегодня решил найти замену, хотя бы на время.

Остановился на Norton SafeWeb с фильтрацией порна. Там есть еще родительский контроль, но думаю хватит и такого. В named.conf прописаны днс нортона, все отлично банит - порносайты не открываются, однако безопасного поиска как у яндекса там не оказалось. В итоге в поиске выдает кучу порносайтов (по ссылкам конечно не переходит, но все же) и поиск по картинкам и видео выдает прям кучи отборного.. Пришлось слегка поднапрячься.

Итак.

1. в named.conf в секцию options добавлено :  response-policy { zone "rpz"; };

2. в view добавлена зона

zone "rpz" {

type master;

file "master/rpz.db";

allow-query {none;};

};

ну и сама зона в master/rpz.db :

$TTL 1H

@ IN SOA localhost. root.localhost. (

201806011020

1d

2h

4w

1h

)

NS localhost.

//www.youtube.com CNAME restrict.youtube.com.

//m.youtube.com CNAME restrict.youtube.com.

//youtubei.googleapis.com CNAME restrict.youtube.com.

//youtube.googleapis.com CNAME restrict.youtube.com.

//www.youtube-nocookie.com CNAME restrict.youtube.com.

google.com IN CNAME forcesafesearch.google.com.

www.google.com IN CNAME forcesafesearch.google.com.

google.com.ru IN CNAME forcesafesearch.google.com.

www.google.com.ru IN CNAME forcesafesearch.google.com.

google.ru IN CNAME forcesafesearch.google.com.

www.google.ru IN CNAME forcesafesearch.google.com.

//yandex.ru IN CNAME family.yandex.ru.

//www.yandex.ru IN CNAME family.yandex.ru

//ya.ru IN CNAME family.yandex.ru.

//www.ya.ru IN CNAME family.yandex.ru

yandex.ru IN A 213.180.193.56

www.yandex.ru IN A 213.180.193.56

Домены гугла заменяются CNAME на forcesafesearch.google.com - все норм.

Пробовал то же сделать с яндексом, однако не прокатило - гугл и фаерфокс дружно ругаются на недействительный сертификат. Почитал руководство "Яндекс семейный поиск для организаций" - они рекомендуют заменять IP, ну ок, так и сделаем - просто добавил записи А : yandex.ru IN A 213.180.193.56 - все ок, поиск с фильтрацией, на сертификаты не ругается.

Попробовал еще и ютуб добавить, весьма забавная кстати штука. Например по запросу "порно" выдает кучу мультиков - свинка пеппа, маша и медведь и т.д., при этом вот вообще все выпилено пытались найти рамштайн, драка, труп и все такое - в выдаче исключительно детский контент - динозаврики, мультики и так далее. Правда тут они уж слишком перестарались, к примеру по запросу "трихонеллез у собак" в выдаче вообще пусто, подумал что прибегут ветеринары и решил пока не свирепствовать особо, оставил ютуб как есть.

В итоге - все вроде работает. Может не вполне корректный конфиг, но таки оставлю это здесь, вдруг кому пригодится.

Всем бобра :)