Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:ipcop:internetfilter_urlfilter]] 

Internetzugriffsfilter des IPCOP

..in lockerer Folge einige Tipps hierzu aus der Mailingliste. - Bitte die angepassten Listen unten auf der Seite gelegentlich aktualisieren!

IPCOP -> Dienste -> URL-Filter

URL-Filter-Einstellungen und -Start

– Der URL-Filter startet erst, wenn unter IPCOP –> Dienste –>URL-Filter (https://10.16.1.254:445/cgi-bin/urlfilter.cgi) –> URL-Filter Wartung: –> Aktualisierung der Blacklist –> Automatisches Blacklist-Update eine Downloadquelle ausgewählt wurde (SquidGuard, MESD, Univ. Toulouse, Shalla-Lists, Angepasste Quellen-URL) und mindestens einmal ein Update von Hand angestoßen wurde. Die Fertigstellung des Updates kann je nach Größe der Updatedatei und der daraus vom Server anzulegenden Datenbank schon mal einige Minuten dauern! Nach dem Update sieht man ganz oben die neu angelegten Filterkategorien.

Achtung: Der Wechsel auf eine andere Updatequelle mit anschließendem Anstoßen des Updates führt zur Anlage weiterer Datenbanken, bei denen es eventuell zu Überschneidungen kommt, sodass die Datenbanken dann nicht mehr vom URL-Filter lesbar sind und der URL-Filter abschaltet (Emergency-Zustand). Dann ist nach meiner Erfahrung eine Neuanlage der Datenbanken nötig, wie sie weiter unter beschrieben ist.
Den Betriebszustand des URL-Filters kontrollieren kann man unter IPCOP-Dienste-URLFilter-Logs (https://10.16.1.254:445/cgi-bin/logs.cgi/urlfilter.dat), oben links „Abschnitt: SquidGuard“, dann rechts oben „Aktualisieren“. Vorher jedoch einmal im URL-Filter „Speichern und Neustart“ klicken, damit überhaupt für den aktuellen Tag logs produziert werden.

Weitere Einstellungen und eigene Ergänzungslisten zu den URL-Filtereinstellungen siehe unten (Beispiel von Screenshots und Listen - Wäre schön, wenn die Listen gelegentlich ergänzt und aktualisiert würden!).

Eine sehr sinnvolle Ergänzungsliste ist die Angepasste Ausdrucksliste, in die man die „gängigen Fäkalsprachenausdrücke“ in möglichst kurzer Form hineinschreibt. Den Haken bei „Angepasste Ausdrucksliste aktivieren:“ nicht vergessen.
Will man zu gesperrte Ausdrücke trotzdem im Lexikon nachlesen lassen, kann man in der „Angepassten Whitelist“ darüber ja z.B. de.wikipedia.org als Domain eintragen.

URL-Filter Wartung:

– Nachdem wir mit den nachfolgenden Listen trotz aller Probiererei auch bei einem neuaufgesetzten Server immer wieder das Problem hatten, dass der URL-Filter wegen angeblicher Datenbankfehler sich abschaltete (Emergencymodus) haben wir unter „URL-Filterwartung“ wieder auf „Downloadquelle:squidGuard“ zurückgestellt, auch wenn diese wohl nicht aktuell ist. Wir pflegen seitdem nur noch die selbsterstellen Listen (s.u.). (E. Enninga, BvSGESiegen)

– Die Shalla-Liste wird bei der openML 4.01 neben der MESD- und der Univ. Toulouse-Liste als Standardliste zur Auswahl gestellt. Sie berücksichtigt auch deutsche bzw. europäische Belange und hat auch eine sehr feine Einteilung von Kategorien.
Bei der paedML 3 wird sie so eingestellt: https://ipcop:445/cgi-bin/urlfilter.cgi → „Downloadquelle auswählen:“ –> „Angepasste Quellen-URL“ –> http://www.shallalist.de/Downloads/shallalist.tar.gz
Bitte Groß- bzw. Kleinschreibung beachten. Nähere Infos unter www.shallalist.de. Nach dem Speichern der Updateeinstellungen und dem ersten Update (dauert etwas), erstrahlt der URL-Filter in anderem Glanz.
Unter http://www.shallalist.de/search.html , dem Verzeichnis über /domain, kann man URLs testen und erkennen, in welcher Kategorie sie sind . – Ein Screenshot zu den Shalla-Listen-Kategorien s. u. (Martin Kurz)

– Die Blacklist von urlblacklist.com scheint momentan die umfassendste zu sein. Von Zeit zu Zeit spielt man sich manuell ein neues Update ein (man sollte jedoch zahlen, wenn man sich die Liste regelmäßig herunterlädt). Wenn das letzte Update etwas zurück liegt, ist das nicht so schlimm, denn sie sperrt schon mal sehr viel und 100% aktuell kann eine Liste im Internet ja ohnehin nicht sein. Diese Blacklist erweitert den Standard-URLFilter um viele weitere Sperrkategorien. Ergänzen sollte man sie um eine Custom-Blacklist, die die nach den Erfahrungen an der Schule nervigsten Seiten enthält.
Damit fährt man ganz gut und man bekommt das Gefühl, dass die Kids erst gar nicht mehr so viele Schmuddelseiten aufrufen, wenn sie merken, dass…
a. …überhaupt gefiltert wird und die „Standardseiten“ geblockt werden.
b. …die private Nutzung der Rechner und des Internetzuganges per Schulvertrag untersagt ist und Konsequenzen drohen bei Nichtbeachtung.
c. …ab und an mal die Logdateien angeschaut und den Leuten tatsächlich auf die Finger geklopft wird.
Wenn man nicht ständig Logdateien lesen will, was auf Dauer wohl auch keiner macht, hat man damit einen ziemlich wartungsarmen URLFilter. (Jochen Rupp)

Filter userbezogen einstellen?

Geht nicht! LehrerInnen schalten sich den Filter für die laufende Sitzung selbst oder dem ganzen Raum über die Schulkonsole ab.

IPCOP filtert nicht?

  • Sind im URL Filter ganz oben Filterlisten angehakt?
  • Trag mal eine zu sperrende Domain „Angepasste Blacklist

Gesperrte Domains (eine pro Zeile)“ und klicke auf „Speicher und Neustart“ des URL-Filters. (Der Knopf ist nicht ganz unten, nur fast ganz unten!)und versuch danach dein Glück aus dem Schulnetz.

  • Der Webfilter ist auch nicht für die entsprechenden Clients in der Schulkonsole ausgeschaltet?
  • Steht unter IPCOP –> Dienste –> advanced Proxy etwas unter „Ausnahme MAC adressen“ und ist der URL Filter dort auch aktiviert?
  • Haken bei Blacklist, Whitelist etc. gesetzt, gespeichert und neu gestartet?
  • Taucht dein Client in dem Feld „Netzwerkbasierte Zugriffskontrolle - ungefilterte IP-Adressen“ * bei IPCOP –> Dienste –> URL-Filter auf?
  • Hat die Blacklists deiner IPCop-Installation (openML4) vielleicht teilweise falsche Rechte bzw. owner, ging daher SquidGuard in den Emergency-mode (alles durchlassen!) u. kann man die Blacklists auch nicht updaten? Zeigt squidGuard.log keinen Zugriff des IPCOP auf die Blacklist-Datenbankdateien unter /var/log/squidGuard/ ? - Möglicher Grund: Nicht existenter Besitzer von /var/ipcop/urlfilter/ -Dateien. - Abhilfe: chown nobody.nogroup * -R

Nichts geht trotz aller Tipps? - Filterdatenbank neu anlegen

Diese Vorgeshensweise half schließlich bei mir, gibt aber keine Garantie für Störungsbeseitigung in anderen Fällen! Fast weniger aufwändig und vielleicht eher erfolgsversprechend ist es vielleicht nach Handbuch, Kapitel ipcop-desaster-recovery den integrierten ipcop neu aufzusetzen .

  • Die angepassten eigenen Listen sichern (z.B. markieren und in eine txt-Datei kopieren), ebenso alle weiteren Einstellungen des URL-Filters merken (z.B. mit Screenshots), IPCOP-Seite https://10.16.1.254:445/cgi-bin/urlfilter.cgi offen lassen während der nachfolgenden Aktion, um nach der Löschaktion durch ein erneutes „Speichern“ alle Einstellungen auf einem Schlag wieder zurück zu bekommen.
  • Einwahl in das Dateisystem des IPCOP: Z.B. via putty auf den Server gehen (<servername>, Port 22), Einloggen als root und ssh -p 222 10.16.1.254 an der Konsole eingeben.
  • Die Datei „/var/ipcop/urlfilter/settings“ und das Verzeichnis „/var/ipcop/urlfilter/blacklists“ löschen. (MidnightCommander nachinstallieren im IPCOP, Linuxbefehlsübersicht, Verzeichnis löschen: rm -r ,Datei löschen: rm)
  • Im noch offenen Fenster IPCOP - Dienste - URL-Filter nun einmal speichern anklicken, damit die eigenen Listen erneut angelegt werden. Die Kategorien müssten nun alle verschwunden sein, weil sie ja gelöscht wurden. Nun unter „URL-Filter Wartung“ eine Donwloadquelle für die Blacklist auswählen (z.B. „shalla-secure-services“ o. „Univ. Toulouse“ ), „Updateeinstellungen speichern“ und „Jetzt updaten“ anklicken. Das Fenster offen lassen, nach einigen Minuten(!), wenn die Aktion beendet ist, einmal die Seite aktualisieren. Nun tauchen auch wieder die Filterkategorien zur Auswahl auf, die man nun auswählt. Falls die angepassten eigenen Listen nicht erhalten werden konnten, wie es oben beschrieben wurde, diese noch aus der Sicherungstextdatei erneut hineinkopieren. Nun alle weiteren Einstellungen des URL-Filters vornehmen, „Speichern“ ohne Neustart klicken!
  • Den IPCOP - Dienste - Advanced Proxy nun „Speichern und neu starten“.
  • Mit einer verbotenen Seite die Filteraktivität testen und/oder unter IPCOP - Dienste - URL-Filter - Logs - Abschnitt SquidGuard/Aktualisieren ansehen, wie die Datenbanken dadurch nun neu initialisiert wurden und (hoffentlich) der URL-Filter _nicht_ in den „Emergency“ Status gegangen ist wegen angeblicher db-Listfehler.
  • Selbst als jetzt einmal nun doch wieder ein Emergency-Fehler (alles durchlassen!) angezeigt wurde bei uns, war es schon mal so, dass am nächsten Tag (wohl durch einen nächtlichen Neustart des Squid bedingt?) der Filter doch lief!

Beispiele angepasster Filterlisten zum IPCOP-URL-Filter

Screenshots von Alois zu seinen Einstellungen:

agepasste_black_u_whitelist.jpg

Angepasste Black u. Whitelist

blacklist.jpg

Blacklist

shallaliste-kategorien.jpg

Shalla-Liste-Kategorien

 [[anwenderwiki:ipcop:internetfilter_urlfilter]] anwenderwiki/ipcop/internetfilter_urlfilter.txt · Zuletzt geändert: 2013/01/03 10:55 (Externe Bearbeitung)