iptables es el nombre de la herramienta de espacio de usuario mediante la cual el administrador puede definir políticas de filtrado del tráfico que circula por la red.

Uncomplicated Firewall (ufw) es un cortafuegos diseñado para ser de fácil uso desarrollado por Ubuntu. Utiliza la línea de comandos para configurar iptables usando un pequeño número de comandos simples.

• Modificamos el archivo /etc/ufw/before.rules, añadiendo al final:

  # nat Table rules
  *nat
  :PREROUTING ACCEPT [0:0]
  :POSTROUTING ACCEPT [0:0]
  :OUTPUT ACCEPT [0:0]
  -A OUTPUT -p tcp --dport 80 -m owner --uid-owner proxy -j ACCEPT
  -A OUTPUT -p tcp --dport 3128 -m owner --uid-owner proxy -j ACCEPT
  -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080
  -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports 8080
  
  # don't delete the 'COMMIT' line or these nat table rules won't be processed
  COMMIT
  

• Activamos el firewall:

  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  sudo ufw enable
  

A partir de ahora, toda conexión TCP dirigida al puerto 80 (http) será redirigida al puerto 8080, siendo filtrada por Dansguardian.

Esta configuración, con proxy transparente, no puede filtrar ni controlar el acceso a través del puerto 443 (https).

Si deseamos bloquear TODA salida a través del puerto 443 (https):

sudo ufw deny out 443/tcp

Índice

1. Control parenteral
2. Control parenteral: Squid
3. Control parenteral: Dansguardian
4. Control parenteral: iptables

Dansguardian

Instalación

sudo apt-get install dansguardian

Configuración

• Editamos el archivo /etc/dansguardian/dansguardian.conf:

  #UNCONFIGURED - Please remove this line after configuration
  

  contentscanner = '/etc/dansguardian/contentscanners/clamav.conf'
  

  daemonuser = 'proxy'
  daemongroup = 'proxy'
  

• Descargamos blacklist y lo instalamos:

  sudo cp bigblacklist.tar.gz /etc/dansguardian/lists/
  cd /etc/dansguardian/lists
  sudo tar xzvf  bigblacklist.tar.gz
  sudo chown -R root:root blacklists
  

• Adaptamos los filtros, añadiendo líneas, comentándolas (#) o eliminando el comentario, en los distintos archivos de /etc/dansguardian/lists/.
  

  Ejemplos:

  • /etc/dansguardian/lists/bannedextensionlist

    #.cab  # Windows setup file
    
    #.gz   # Gziped file
    #.tar  # Tape ARchive file
    #.zip  # Windows compressed file
    #.tgz  # Unix compressed file
    #.bz2  # Unix compressed file
    

  • /etc/dansguardian/lists/bannedsitelist

    #List other sites to block:
    
    tuenti.com
    tuenti.es
    

• Cambiamos el usuario y grupo del directorio donde Dansguardian registra los sucesos e iniciamos:

  sudo chown -R proxy:proxy /var/log/dansguardian
  sudo service dansguardian start
  

Índice

1. Control parenteral
2. Control parenteral: Squid
3. Control parenteral: Dansguardian
4. Control parenteral: iptables

Squid

Instalación

sudo apt-get install squid

Configuración

• Proxy transparente:
  Modificamos el archivo /etc/squid/squid.conf, sustituyendo

  http_port 3128
  

  con

  http_port 127.0.0.1:3128 transparent
  

• Restringir el acceso a la Red:
  Buscamos en el archivo /etc/squid/squid.conf la línea

  # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
  

  y añadimos, por ejemplo:

  # permitimos el acceso a la Red de lunes a viernes, entre las 18:00 y 19:00 horas
  acl MonToFri time MTWHF 18:00-19:00
  http_access allow MonToFri localhost
  
  # permitimos el acceso a la Red los sábados y domingos, entre las 12:00 y 19:00 horas
  acl SatToSun time AS 12:00-19:00
  http_access allow SatToSun localhost
  

• Reiniciamos:
  

  sudo service squid restart
  

Índice

1. Control parenteral
2. Control parenteral: Squid
3. Control parenteral: Dansguardian
4. Control parenteral: iptables

Control parenteral es toda herramienta o aplicación que tiene la capacidad de bloquear, restringir o filtrar el acceso a determinados contenidos o programas, accesibles a través de un ordenador o de la Red, y de dotar de un control sobre el equipo y las actividades que se realizan con él, a la persona que sea el administrador del mismo, que normalmente deberá ser el padre, la madre o tutor del menor.

Situación inicial

El menor dispone de una cuenta, sin privilegios de administrador, en un equipo con Ubuntu y se conecta a internet a través de un router.

Objetivos

• Restringir el acceso a la Red a unos determinados días de la semana y horas.
• Instalar un sistema de control parenteral.
• Sólo se actuará sobre el equipo del menor.

Implementación

cliente web ←→ filtro ←→ proxy ←→ Red

Se utilizará DansGuardian como filtro de contenido de sitios web que trabaja conjuntamente con el servidor proxy Squid, u otro proxy caché similar.
DansGuardian actúa entre el navegador y el proxy, interceptando y modificando la comunicación entre ambos, facilitando la tarea de filtrado de páginas visitadas por el usuario.
Para evitar que el usuario se salte el filtro, configuraremos Squid como proxy transparente y usaremos iptables.

cliente web ←[8080]→ DansGuardian ←[3128]→ Squid ←→ Red

Recomendaciones

• Informar a los menores sobre la posible existencia de riesgos y contenidos no adecuados en la Red.
• Acompañar al menor durante la navegación, cuando sea posible, sin invadir su intimidad, de forma que perciba la existencia de un apoyo continuado por parte de padres y tutores, de forma que en el caso de que durante la navegación identifique una conducta que incómoda o sospechosa pueda informar de ello con confianza.
• Informar al menor de las posibles consecuencias que puede conllevar el hecho de facilitar información personal (nombre, dirección, teléfono, contraseñas, fotografías, etc.) en plataformas o servicios no confiables.
• Establecer tiempos de conexión del menor a Internet y a los servicios de la Sociedad de la Información para propiciar el complemento con otras actividades.
• Utilizar herramientas de control parental que le ayudan en el filtrado de los contenidos accesibles por los menores.
• Crear una cuenta de usuario limitado para el acceso del menor al sistema.

Menores protegidos

Índice

1. Control parenteral
2. Control parenteral: Squid
3. Control parenteral: Dansguardian
4. Control parenteral: iptables

Conky is a free, light-weight system monitor for X, that displays any information on your desktop. Conky is licensed under the GPL and runs on Linux and BSD.