# [Porno] Eviter que les gamins...

## gbetous

Ouais, je sais, le titre est un peu raccoleur   :Wink: 

Dans quelques jours ma fille aura 7 ans, et c'est décidé on lui met un ordi dans sa chambre (mine de rien ça fait 3 ans qu'elle nous le demande !). Dans un premier temps, il n'aura pas accès Internet, mais d'ici peu (que je me bouge pour lui mettre une prise reseau dans sa chambre) ce sera le cas. Je précise (c'est important) qu'elle aura un double boot windows/linux.

Elle joue pas mal aux jeux flash pour enfants, va sur quelques sites de coloriage etc... bref utilisera Internet régulièrement.

Je voudrais donc mettre en place des méthodes de filtrage sur mon reseau local. J'ai dans la tete que ça se passe via un proxy transparent, mais je suis prêt à tout entendre !

Je voudrais au moins les fonctionnalités suivantes :

- Gestion de profils (authentification sur le proxy ?)

- Possibilité de fonctionner sur liste blanche seule

- Possibilité de faire du filtrage sémantique (porno, piratage etc...)

- Coupure de l'accès Internet selon les horaires et les profils

- En option : antivirus (histoire de pas m'inquiéter à mettre à jour ses antivirus)

Vers quel logiciel me tourner ?

Merci pour vos suggestions !

----------

## ercete

Salut,

Je ne vais pas te servir à grand chose pour le moment, mais sache que je suis attentif à cela autant que toi.

Je peux cependant te parler d'un logiciel dont j'ai entendu parler qui effectuait une "surveillance" sur le clavier selon une liste de mots-clefs.

Le but était d'éviter que, innocemment, un petiot entre son numéro de téléphone ou son adresse sur MSN par exemple. Je trouvais l'idée intéressante.

Peut-être ce logiciel peut s'ajouter à ta liste ?

En revanche pas moyen de me souvenir pour quel OS il a été conçu, mais il me semble que c'était un logiciel libre créé par une association.

Si je retrouve des infos je t'en fait part. Sinon les réponses que tu choisiras m'intéresses aussi : penses à nous tenir au courant  :Wink: 

----------

## lesourbe

fais la vivre en chine.

sinon regarde ça, y'a ptetre des trucs qui t'interesseront

----------

## man in the hill

Bonjour,

Tu as squid+ squidGuard ( le https ne passe pas chez moi, pour l'instant)

http://irp.nain-t.net/doku.php/220squid:start

http://www.squid-cache.org/

http://www.squidguard.org/

aussi dansguardian

http://dansguardian.org/

Tu peux faire pas mal de chose avec ces softs.

----------

## razer

Jette aussi un coup d'oeil à :

http://www.ac-grenoble.fr/slis/

Ce sont des distribs serveur pour l'éduc. Je sais que le système utilise squid, bannerfilter, et probablement un des softs sus-cités. En tout cas, cela filtre bien, j'en fait l'expérience tous les jours au boulot, et çà permet de faire à peu près tout ce que tu souhaites.

Probablement qu'un doublon de la conf. squid te facilitera la tâche

----------

## gbetous

Ok, merci à tous !

Je suis en train de potasser http://irp.nain-t.net/doku.php/220squid:start c'est pas mal du tout !

Je risque de me diriger sur le couple squid+squidgard, ça a l'air de répondre à toutes mes attentes   :Cool: 

Merci à tous, je vous tiendrai au courant...

----------

## gbetous

Voilà la config (finalement assez simple) de squidGuard à laquelle je suis arrivé :

```

dbhome /var/lib/squidguard/db

logdir /var/log/squidGuard

src parents {

     user nom1 nom2

      }

src enfants {

     user nom3 nom4

      }

time jour {

   weekly * 08:00 - 20:00

}

dest sites_enfants {

   domainlist enfants

}

acl {

        enfants within jour {

                pass sites_enfants none

                redirect http://localhost/interdit.html

        } else {

                pass none

                redirect http://localhost/interdit.html

               }

        default {

                pass all

        }

}

```

Qques infos :

j'ai anonymé le script en remplaçant nos comptes par "nom1", "nom2" etc... mais ça correspond à des comptes squid (j'authentifie donc mes utilisateurs)

"domainlist enfants" désigne un fichier "enfants" qui contient la liste des sites que je leur autorise

C'est aussi simple que ça !

----------

## bob1977

Bonsoir gbetous,

 A propos de l'antivirus, tu pourrais essayer net-proxy/havp qui utilise clamav et qui peut s'interfacer entre 2 proxy ( au hasard squid et squidguard). Je n'ai pas essayé mais s'il ne ralentit pas trop les téléchargements et qu'il élimine les virus en plus  :Smile: , c'est parfait.

  Je pense que ça serait utile que tu donnes le fichier de config de squid et dire comment faire pour ajouter des utilisateurs autorisés, comme ça les gens qui voudraient un proxy cache filtrant antivirus avec liste blanche aurait une idée de ce qu'il faut faire.

----------

## gbetous

Ok pour l'anti-virus, je regarderai ça à l'occasion.

D'ici-là, voici donc la config de squid (j'ai mis un commentaire devant les lignes que j'ai ajouté, le reste c'est la conf par défaut dispo lors de l'install).

```

# permettre une authentification simple

auth_param basic program /usr/libexec/squid/ncsa_auth /etc/squid/users

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl Safe_ports port 901         # SWAT

acl purge method PURGE

acl CONNECT method CONNECT

# on définit le reseau local

acl LocalNet src 192.168.0.0/24

# on définit une règle des utilisateurs authentifiés

acl Users proxy_auth REQUIRED

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

# on autorise seulement les utilisateurs authentifiés dans le reseau local (voir les 2 définitions ci-dessus)

http_access allow LocalNet Users

http_access deny all

icp_access allow all

http_port 3128

hierarchy_stoplist cgi-bin ?

access_log /var/log/squid/access.log squid

acl QUERY urlpath_regex cgi-bin \?

cache deny QUERY

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern .               0       20%     4320

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

visible_hostname sam

forwarded_for off

coredump_dir /var/cache/squid

error_directory /usr/share/squid/errors/French

# utiliser squidGuard

url_rewrite_program /usr/bin/squidGuard -c /etc/squidGuard/squidGuard.conf

url_rewrite_children 5

```

Ensuite la création d'une utilisateur est on ne peut plus simple :

```

cd /etc/squid

htpasswd -b users <nom_utilisateur> <mot_de_passe_en_clair>

```

"users" c'est le nom de mon fichier des mots de passe, j'y fais référence tout en haut dans le squid.conf dans la ligne traitant de "ncsa_auth".

----------

## bob1977

Je te remercie. Avec cette configuration toute prete, ca fera surement gagner du temps a ceux qui veulent quelque chose d'a peu pres semblable. 

 Je m'éloigne un peu du sujet, mais si plus tard, si tu veux faire du filtrage par liste noire, je te conseille dansguardian ( je n'ai pas essaye squidguard mais il peut le faire aussi). Tu peux telecharger une grosse blacklist http://urlblacklist.com/cgi-bin/commercialdownload.pl?type=download&file=bigblacklist qui contient des repertoires de sites,domaines,regexp.. de sites a blocker ou a autoriser le tout classé par categorie (pub,porno...) ( squidguard peut le faire aussi). Il peut aussi faire du filtrage de contenu pour les sites qui ont passé le premier filtrage par url ce que squidguard ne sait pas faire. Une fonctionalité que j'apprécie de dansguardian, c'est de pouvoir afficher malgré tout un site bloqué http://img388.imageshack.us/img388/5507/gkrellshoot200808161743fp5.jpg. Ainsi, dansguardian est, pour moi un remplacant de adblock en plus puissant[/list]

----------

## gbetous

Pour les blacklists, je sais que squidGuard le fait.

Des listes à jour sont maintenues à l'université de Toulouse 1.

----------

