Topic: Funzionalità SME Server 7.4

[giosy]

Ciao a tutti.
Ho installato questa distro su un server casalingo sul quale:
- io voglio utilizzarlo come contenent filter, avendo una determinata password
- mio figlio deve crearci un propio forum, avendo un'altra password che non possa interferire con il mio lavoro.
E' possibile?
Grazie

[Stefano]

Ciao a tutti.

Ciao

Ho installato questa distro su un server casalingo sul quale:
- io voglio utilizzarlo come contenent filter, avendo una determinata password

se intendi dire che hai la necessità di filtrare i contenuti del web, leggi questo e questo

- mio figlio deve crearci un propio forum, avendo un'altra password che non possa interferire con il mio lavoro.

cioè deve avere un accesso shell oppure deve poter lavorare su un forum?

ciao
Stefano

[giosy]

se intendi dire che hai la necessità di filtrare i contenuti del web, leggi questo e questo

Ciao Stefano.
Dansguardian va bene per le mie esigenze, tuttavia vorrei anche integrare la funzionalità oraria prevista da Squid, in modo da creare delle fasce orarie autorizzate e altre no.

cioè deve avere un accesso shell oppure deve poter lavorare su un forum?

Deve poter lavorare sul forum e quindi avere la possibilità di costruirsi le pagine tramite php
Grazie per la disponibilità.

[Stefano]

Ciao Stefano.
Dansguardian va bene per le mie esigenze, tuttavia vorrei anche integrare la funzionalità oraria prevista da Squid, in modo da creare delle fasce orarie autorizzate e altre no.

secondo quanto scritto qui solo con dansguardian non lo puoi fare
ritengo tu debba cercare su google con le chiavi "dansguardian timed acl howto".. e scremare le info.. prendi centos come riferimento.. poi fai dei test..

da quel che so non è stato fatto nulla di simile su SME, anche se essendoci la possibilità di mettere su sia squidguard che dansguardian..

in ogni caso, buon lavoro

Deve poter lavorare sul forum e quindi avere la possibilità di costruirsi le pagine tramite php

allora puoi benissimo installare tu il forum e poi dargli accesso in ftp (con il suo utente)

se serchi ftp sul forum in italiano troverai parecchie info

solo una cosa..  se, come penso, il server è esposto, occhio a cosa mettete in linea.. è relativamente facile bucare un server passando da applicazioni web... se queste non sono sicure

Ciao

[giosy]

secondo quanto scritto qui solo con dansguardian non lo puoi fare
ritengo tu debba cercare su google con le chiavi "dansguardian timed acl howto".. e scremare le info.. prendi centos come riferimento.. poi fai dei test..

da quel che so non è stato fatto nulla di simile su SME, anche se essendoci la possibilità di mettere su sia squidguard che dansguardian..

Scusa ma Squid mi risulta essere già installato. Giusto?
Se è così, Squid dispone di acl che tengono conto sia del giorno della settimana, sia dell'orario.
Secondo te perchè non potrei farlo ?
Grazie

[Stefano]

Scusa ma Squid mi risulta essere già installato. Giusto?
Se è così, Squid dispone di acl che tengono conto sia del giorno della settimana, sia dell'orario.
Secondo te perchè non potrei farlo ?
Grazie

allora, ripartiamo dall'inizio: cosa vuoi fare? caching? content filtering euristico o basato su regole? accesso autenticato ad internet e filtri sulla base dell'utente? acl orarie a seconda dell'utente?

ciao
Stefano

[giosy]

allora, ripartiamo dall'inizio: cosa vuoi fare?

Hai ragione cercherò di essere più chiaro.
La mia necessità è quella di fare un classico server casalingo per poter imporre le classiche restizioni che si impongono ai figli.

caching?

No

content filtering euristico

Sinceramente non so cosa significhi

o basato su regole?

Sì. Le regole dovrebbero essere :
- indirizzi ip autorizzati ed altri no
- url di di siti proibiti (le famose black list)
- possibilmente vorrei bloccare determinate porte o applicativi in modo da vietare chat, 
  p2p, giochi in rete.

accesso autenticato ad internet e filtri sulla base dell'utente?

No. Non mi interessa autenticare gli utenti nè differenziare i filtri. Sono regole che voglio applicare ad entrambi i figli in egual modo

acl orarie a seconda dell'utente?

Acl orarie uguali per tutti.
Per il momento mi è sufficiente iniziare così.
Più in là, se il servizio è possibile, differenziare gli orari a secondo degli utenti.
Oltre a queste restrizioni, questo server deve fungere anche da piccolo sito web, un forum, server di stampa, server mail, server ftp.
Potresti spiegarmi i pacchetti/contribs che dovrei installare per ottenere questi servizi?
Grazie per la pazienza

ciao
Giuseppe

[Fumetto]

Per il "filtro" della connessione forse potrebbe essere più semplice farlo con distribuzioni dedicate, dovrai smanettare meno e otterrai quello che cerchi in maniera più veloce...

Prova www.ipcop.org ad esempio...

[Stefano]

Hai ragione cercherò di essere più chiaro.

ottimo

La mia necessità è quella di fare un classico server casalingo per poter imporre le classiche restizioni che si impongono ai figli.

ok.. quindi nulla che SME non possa fare

Sinceramente non so cosa significhi

mentre squidguard si basa su blacklist, dansguardian usa una tecnica diversa per filtrare i contenuti.. un po' come l'antivirus, che lavora sia sulla base delle firme che su una analisi diversa, euristica appunto.. mi sono spiegato?

Le regole dovrebbero essere :
- indirizzi ip autorizzati ed altri no
- url di di siti proibiti (le famose black list)
- possibilmente vorrei bloccare determinate porte o applicativi in modo da vietare chat, 
  p2p, giochi in rete.

allora... quello che vuoi fare è fattibile, ma ci sono dei MA:

- le blacklist di squidguard sono soprattutto anglosassoni ed anglofone.. ergo domini più o meno espliciti in italiano e siti dal contenuto "proibito" in italiano difficilmente (per mia esperienza, ma felice di essere smentito) sono listati.. da questo è da attendersi una scarsa attendibilità ed efficacia della cosa
- il blocco di protocolli/porte/reti per filtrare un certo tipo di applicativi non è semplice da implementare su SME (e sui firewall in generale (*)) perchè spesso le applicazioni da te citate lavorano su porte "buone" (80,443 e via dicendo) e quindi non possono essere bloccate, pena il blocco anche della navigazione.. per filtrare quel tipo di traffico hai 2 scelte: implementare su SME un filtro sul layer 7 della pila ISO-OSI (livello applicativo) con opportuni moduli per il kernel (da compilarsi) e modifiche alle regole di firewalling, oppure, come suggerito da Fumetto, usi una distibuzione atta allo scopo, come IPCOP/SMOOTHWALL/ENDIAN (linux) o PFSENSE (BSD); queste distribuzioni hanno il vantaggio di avere già una interfaccia grafica atta allo scopo (che su SME manca) e di essere studiate appositamente per quel lavoro.. di contro richiedono una macchina dedicata

questo è un ottimo link se scegli una soluzione separata..

ah, se scegli un firewall esterno puoi "bloccare" il P2P rendendolo... inutile.. se usi il bandwidth shaping e concedi 1k/s al P2P, la voglia di scaricare passa molto in fretta

Sono regole che voglio applicare ad entrambi i figli in egual modo
Acl orarie uguali per tutti.
Per il momento mi è sufficiente iniziare così.
Più in là, se il servizio è possibile, differenziare gli orari a secondo degli utenti.

per il momento allora io procederei così:
- installerei squidguard come da wiki
- creerei un template che contenga delle acl del tipo
1) fasce orarie limitate (figli)
2) fasce orarie illimitate (genitori)
3) ip pc genitori
4) ip pc figli
5) permetto ip_figli in fasce_limitate
6) permetto ip_genitori in fasce_illimitate
7) blocco tutto il resto.

in questo modo, anche se i pc dei figli cambiassero ip non scamperebbero al "controllo"

per la sintassi, cerca su google una qualsiasi guida per squid/squidguard e le sue acl, tenendo presente che la versione di squid su SME 7.4 è la 2.5.STABLE14-4.el4

un esempio, trovato con le chiavi "squid time acl example" è questo

per il template, devi impratichirti un po' se non sai di cosa stiamo parlando.. nella guida per sviluppatori (link manual in alto) trovi tutto quello che ti serve sapere.. in inglese

Oltre a queste restrizioni, questo server deve fungere anche da piccolo sito web, un forum, server di stampa, server mail, server ftp.
Potresti spiegarmi i pacchetti/contribs che dovrei installare per ottenere questi servizi?

l'unico contrib che ti serve è per il forum, il resto è tutto già installato (ed in parte configurato) su SME..
per il contrib guarda nell'apposita sezione del wiki, mi pare ci sia qualcosa, per la configuazione degli altri servizi c'è la documentazione.

Grazie per la pazienza

per così poco?

se trovi 2 minuti, leggi questo e "segnati"

ah, eventuali donazioni di pizza e birra sono sempre benviste

Ciao e buon lavoro

Stefano

p.s. se riesci, come spero, a fare quello che vuoi, crivi come qui sul forum, sarebbe certamente utile anche agli altri

(*) a meno di non investire molto [denaro|tempo], a seconda delle soluzioni scelte

[Fumetto]

...
questo è un ottimo link se scegli una soluzione separata..
...

Per completezza, giusto perchè con l'anno nuovo voglio smanettarci un po sopra (ISO già scaricate), aggiungerei ClarkConnect che sembra fare al caso tuo e Zeroshell per il solo fatto di essere italiana...

[giosy]

mentre squidguard si basa su blacklist, dansguardian usa una tecnica diversa per filtrare i contenuti.. un po' come l'antivirus, che lavora sia sulla base delle firme che su una analisi diversa, euristica appunto.. mi sono spiegato?

Sì, ti sei spiegato benissimo. Dansguardian filtra il traffico non in base agli indirizzi, ma in base al "contenuto" della pagina web, rendendo inutile il camuffamento con url "innocui".
Ma questo non provoca un rallentamento della navigazione?

- le blacklist di squidguard sono soprattutto anglosassoni ed anglofone.. ergo domini più o meno espliciti in italiano e siti dal contenuto "proibito" in italiano difficilmente (per mia esperienza, ma felice di essere smentito) sono listati.. da questo è da attendersi una scarsa attendibilità ed efficacia della cosa

Ok. Ma io posso usare i due metodi combinati?
Ovvero, filtrare i contenuti con Dansguardian e usare  Squid solo per le tabelle orarie ?
E poi, al limite, potrei completare le blacklist straniere con gli url italiani ?
Con quali dei due metodi posso utilizzare un'interfaccia grafica?

- il blocco di protocolli/porte/reti per filtrare un certo tipo di applicativi non è semplice da implementare su SME

Ma SME dispone di un firewall accessibile da pannello web?
Se volessi aprire una porta, da dove agisco ?

oppure, come suggerito da Fumetto, usi una distibuzione atta allo scopo, come IPCOP/SMOOTHWALL/ENDIAN (linux)

Nulla a che vedere con la completezza di SME.
Casomai, pensavo ad una distribuzione tradizionale tipo OpenSuSE con la quale mi trovo molto bene.

per il template, devi impratichirti un po' se non sai di cosa stiamo parlando..

Effettivamente non so di cosa stiamo parlando. Prima che mi imbarchi nella lettura della documentazione indicata, puoi dirmi cosa sono i template? Delle specie di modelli da cui si generano parti di codice?

se trovi 2 minuti, leggi questo e "segnati"

Fatto

ah, eventuali donazioni di pizza e birra sono sempre benviste

Spiegami quali istruzioni seguire, provvederò al più presto (nel mio piccolo).
Aspetto con ansia delucidazioni.
Ciao e grazie

[Stefano]

Ciao

Sì, ti sei spiegato benissimo. Dansguardian filtra il traffico non in base agli indirizzi, ma in base al "contenuto" della pagina web, rendendo inutile il camuffamento con url "innocui".
Ma questo non provoca un rallentamento della navigazione?

beh, si.. la macchina infatti dovrebbe non essere un "mulo" ed avere ram.. certo che se parliamo di 3/4 utenti..
comunque si, un rallentamento è possibile

Ok. Ma io posso usare i due metodi combinati?
Ovvero, filtrare i contenuti con Dansguardian e usare  Squid solo per le tabelle orarie ?

non sono un esperto né di squid né di Dansguardian, ma ritengo di si..
passo comunque la parola a chi ne sa più di me

E poi, al limite, potrei completare le blacklist straniere con gli url italiani ?

certo, ma è un lavoraccio.. e le BL sono per squidguard.. vorresti avere squid+squidguard+dansguardian?

Con quali dei due metodi posso utilizzare un'interfaccia grafica?
Ma SME dispone di un firewall accessibile da pannello web?
Se volessi aprire una porta, da dove agisco ?

allora.. per squid, squidguard e dansguardian, di interfaccia web per SME, gratuita, non c'è nulla..
se non erro Dungog.net ha qualcosa a pagamento
SME non possiede una interfaccia di gestione del firewall.. ha solo una pagina per fare il portforward (che funziona solo quando il server è settato come server & gateway)
il resto della configurazione del fw (apertura delle porte) viene fatta "dietro le quinte" abilitando i servizi, sia da interfaccia web che da riga di comando.. da riga di comando posso anche cambiare le porte dei servizi.

Nulla a che vedere con la completezza di SME.
Casomai, pensavo ad una distribuzione tradizionale tipo OpenSuSE con la quale mi trovo molto bene.

alt.. separiamo gli ambiti..

se il tuo scopo primario è filtro sulla navigazione, le distribuzioni suggerite surclassano per praticità e efficienza sia SME che opensuse.. e richiedono, spesso, di una frazione delle risorse (ho un ipcop per un ufficio con 8 pc e wan da 2 mbit che gira su un 486 con 16 mb di ram.. vedi tu )

implementare un filtro come quello che vuoi su SME non è banale

Effettivamente non so di cosa stiamo parlando. Prima che mi imbarchi nella lettura della documentazione indicata, puoi dirmi cosa sono i template? Delle specie di modelli da cui si generano parti di codice?

esatto.. ma se non conosci come funziona SME da "dentro", fare quello che vuoi è ancora più difficile..
non voglio spaventarti, sia chiaro, ma il rischio di sbatterci le corna è abbastanza alto.
Se ti trovi bene con opensuse e i suoi tool (yast ecc) e l'interfaccia grafica, allora ti dirotterei direttamente su di lei.

nel frattempo usa una delle tecnologie di virtualizzazione e prova SME in tutte le salse, facendo tutti i test che vuoi.

Fatto

visto, grazie

Spiegami quali istruzioni seguire, provvederò al più presto (nel mio piccolo).

era una boutade, la mia..

comunque se passo dalle tue parti ti avviso e vengo a mangiarmi la pizza, ok?

Aspetto con ansia delucidazioni.

fatto, anche se non so se sono quelle che speravi

ciao
Stefano