Gkhan ALKAN gokhan [at] enderunix [dot] org EnderUNIX Gelitirici http://www.enderunix.org Srm : 1.0 Tarih : 28.03.

2006 Makalenin en yeni versiyonu

http://www.enderunix.org/docs/dansguardian.pdf

edilebilir. 1. 2. 3. 4. 5. 6. 7.

adresinde elde

Dansguardian Nedir?.......................................................................................................... 1 Dansguardian Nasl alr?............................................................................................... 1 Dansguardian Yaplandrmas Ve altrlmas................................................................ 2 Dansguardian Filtreleme in Gerekli Ayar Dosyalar ...................................................... 3 Dansguardian le Filtre Gruplarnn Oluturulmas ........................................................... 6 Dansguardian altrlmas ............................................................................................... 7 Dansguardian Log Takibi................................................................................................... 8

1. Dansguardian Nedir?
Dansguardian Linux , FreeBSD ,OpenBSD , NetBSD , Mac OS X ve Solaris zerinde alan web ierik filtreleme (http trafiini filtreleme ) yazlmdr. Domain , kullanc ve ip bazl filtreleme yeteneklerine sahip bir yazlm olan dansguardiann ana sayfasna

2. Dansguardian Nasl alr?

Dansguardian istemci internet taraycs ile Proxy arasnda bulunur ve aradaki trafik zerinde gerekli ilemleri yapar. stemci taraycsndan kan web istekleri dansguardina ular ve dansguardian filtreleme ilemlerini yaptktan sonra istei Proxyye gnderir. Aada dansguardian almas ekillerle anlatlmtr. Burada dansguardiann 8080 ve Proxy sunucusunun da 3128i posttan alt varsaylmtr.

stemciden web sunucusuna giden istek dansguardin'a gelir. Gerekli filtreleme ilemelerinden sonra paket Proxyye oradan da web sunucusuna iletilir. Web sunucusu paketi ileyip gerekli cevab Proxyye gnderir ve oradan da tekrar dansguardin'a iletilir. Gerekli filtreleme ilemlerinden geirildikten sonra paket istemciye geri dner. Dansguardian basit olarak bu ekilde almaktadr. Dansguardian Kurulumu Kullanlan datma gre kurulum gerekletirilebilir. Burada kaynak koddan kurulumu anlatlacaktr. Kurulum iin gerekli paket http://dansguardian.org/ adresinden temin edinilebilir. Burada dansguardian iin u anda son srm olan 2.9.6.1 srm kurulacaktr.

# cd /usr/local # wget http://mirror2.dansguardian.org/downloads/2/Alpha/dansguardian2.9.6.1.tar.gz # tar zxvf dansguardian-2.9.6.1.tar.gz

alma dizininde dansguardian-2.9.6.1 adndan bir dizin olumaktadr. Kurulum iin bu dizin ierisinde ./configure , make , make install , make clean betikleri altrlarak kurulum temel olarak yaplabilir. zelletirilmi bir kurulum yapmak iin ./configure betiine eitli parametreler verilerek yaplabilir. ./configure help ile bu parametreler renilebilir.

3. Dansguardian Yaplandrmas Ve altrlmas

languagedir = '' Dil dosyalarnn bulunduu dizin. stee gre languagedir ile belirtilen dizin altndaki turkish dizini iindeki dosyalar dzenlenebilir. languagedir = '/usr/local/share/dansguardian/languages' language = '' Bu parametre ile hata mesajlarnn gsterilecei dil belirlenir. language=turkish logfileformat= # 1 = DansGuardian format 2 = CSV-style format # 3 = Squid Log File Format 4 = Tab delimited stee gre bir deer verilebilir. Eer log analiz program olarak sarg kullanlmas dnlyorsa bu deer squid log dosyas biimi olmaldr. nk Sarg ile dansguardian log dosyas biimini analiz edilememektedir. logfileformat=3 loglocation = '' Bu parametre ile dansguardian'n log tutaca dosyann yeri belirtilir. loglocation = '/var/log/dansguardian/access.log'

filterip = Dansguardian'n dinleyecei ip adresi belirtilir. Eer bo braklrsa dansguardian btn ipleri dinleyecektir. filterip=192.168.1.1 filterport = Dansguardiann alaca port numarasn belirtir. filterport=8080 proxyip = Dansguardian ile beraber alacak Proxynin alt ip numaras. Eer dansguardian ve Proxy ayn makine zerinde hizmet veriyorlarsa buraya 127.0.0.1 yazlabilir. proxyip=127.0.0.1 proxyport = Proxynin alaca port numaras. Dansguardian istemciden gelen istei alp deerlendirdikten sonra balanaca Proxynin alt port numaras. proxyport=3128 weightedphrasemode = Sizden yada balanmak istediiniz sitenin bulunduu sunucudaki trafik yknn youn olmasndan dolay dansguardian ge alan siteleri engellemektedir.Bu seenek 0,1,2 deerlerini alabilmektedir. Bu zellii iptal etmek iin bu deer o yaplr. weightedphrasemode = 0

4. Dansguardian Filtreleme in Gerekli Ayar Dosyalar

Dansguardian iin gerekli kstlamalarn yaplaca ayar dosyalar lists dizini altnda bulunur. Genel olarak banned ile balayanlar yasaklamalar exception ile balayanlarsa filtrelemenin yaplmayaca es geilecei ynndedir. Bannedextensionlist: Engellenmek istenen dosya uzantlar belirtilir. rnek tanmlama .exe .tar Bu tanmla ile exe ve tar uzantl dosyalarn indirilmesi engellenmi olur. Bannediplist: Engellenmek istenen ip adresleri belirtilir. rnek Tanmlama 192.168.1.1 Bu tanmlama ile 192.168.1.1 ipsinin internet eriimi yasaklanr.

Bannedmimetypelist Engellenmek istenen MIME tiplerinin belirtilir. rnek Tanmlama

audio/mpeg

Bannedregexpurllist URLde geen kelimeler iin dzenli ifade deyimleri ile url baznda filtreleme yaplr.Bannedurllist dosyasndan fark dzenli ifade deyimlerinin kullanlabilmesidir. rnek Tanmlama (nix|rosoft|nux) rnein bu dosya iinde yaplacak (nix|rosoft|nux) gibi bir tanmla www.unix.org www.chinaunix.net , www.microsoft.com gibi siteler engellenmi olur. Ayrca daha ileri dzeyde dzenli ifade terimleri kullanlabilmektedir. Bannedsitelist Domain baznda filtrelemenin yapld dosya. Bu dosyaya yazlacak domain isimleri engellenir. rnek Tanmlama google.com Bu tanmlama ile sadece google.com domaini yasaklanr. Yani www.google.com yada mail.google.com yasaklanm olur ancak www.google.com.tr iin yasaklama sz konusu deildir. Bannedurllist stenilen URLlerin bir ksmn yada tamamnn engellenmesi iin filtrelemenin uyguland dosya. rnek Tanmlama google.com/bsd Bu tanmlama ile www.google.com/bsd adresine eriim yasaklanm olur ancak www.google.com/linux adresine eriim yaplabilir. Domain baznda deil url baznda filtreleme yaplr. rnek Tanmlama yahoo.com Bu tanmla yapld takdirde www.yahoo.com adresine eriim yasaklanm olur ancak mail.yahoo.com adresine eriim salanabilir. Exceptionfilesitelist Dosya indirilecek olan sitelerin isimlerinin bulunduu dosya. rnek tanmlama windowsupdate.microsoft.com

Exceptioniplist Engellenmek istenen ip adreslerinin bulunduu dosya. rnek Tanmlama

192.168.1.1 Bu tanmlama ile 192.168.1.1 ipsi iin filtreleme uygulanmaz. Exceptionregexpurllist URLde geen kelimeler iin filtreleme yaplmamas istenen adresler belirtilir. rnek Tanmlama ender Bu tanmlama ile URLde ender geen adresler filtrelenmez Exceptionsitelist Filtrelemenin yaplmayaca domain isimleri belirtilir. rnek Tanmlama yahoo.com Bu tanmlama ile yahoo.com sitesi iin filtreleme yaplmaz. Exceptionurllist Filtrelemenin yaplmayaca site blmleri belirtilir. google.com/bsd yada enderunix.org/openbsd doru tanmlamalardr. rnek Tanmlama google.com/bsd Bu tanmlama ile google.com/bsd adresi iin filtreleme uygulanmaz. Blacklist SquidGuarddan alnan kara liste uygulamasnn yapld siteler ve URLler bulunur. stee gre bu klasr ierisindeki dosyalara eklemeler yaplarak engellenmek istenen domain yada URLler yazlabilir. Greysitelist Dansguardian alma mantna gre grey listeleri banned listelerinin stne yazar. Ayn ekilde exception listeleri de banned listelerinin stne yazar. Grey listesinin exception listesinden fark url filtrelemesini es gemek ve dier filtreleme kurallarnn yaplmasdr. Aadaki dosyalarda gerekli belirtimler yaplsn Bannedsitelist enderunix.org Bannedextensionlist .tgz Bu ekilde ne enderunix.org adresine nede http://www.enderunix.org/isoqlog/isoqlog2.2.1.tar.gz dosyasna eriim yaplabilir. Eer enderunix.org ile ilgili hibir filtrelememenin yaplmamas isteniyorsa enderunix.org exceptionsitelist dosyasnda belirtilmelidir. Exceptionsitelist enderunix.org

Bu ekilde hem enderunix.org adresine hemde http://www.enderunix.org/isoqlog/isoqlog2.2.1.tar.gz dosyasna eriim yaplabilir. Ancak enderunix.org adresine eriim salansn ancak

enderunix.org sitesi iin gerekli dier filtrelemeler yaplsn istenirse burada grey listeleri kullanlmaldr. Bannedsitelist enderunix.org Bannedextensionlist .tgz Greysitelist enderunix.org

Bu ekilde yaplan bir tanmlama ile www.enderunix.org sitesine eriim yaplabilir ancak http://www.enderunix.org/isoqlog/isoqlog-2.2.1.tar.gz dosyas temin edilemez nk www.enderunix.org iin gerekli filtrelemeler yaplm ve bannedextensionlist dosyasnda tgz uzantl dosyalar yasakland iin isoqlog-2.2.1.tar.gz dosyasna eriim yaplamaz. Greyurllist Greysitelist dosyasnda exception listeleri banned listelerinin stne yazar.grey listeleri de banned listelerinin stne yazar ancak exception listelerinden fark; exception listeleri filtrelemeyi tamamen kaldrr.Grey listeleri ise filtrelemede istenilen bir blm kaldrr tm filtrelemeyi deil. Bannedsitelist Greyurllist enderunix.org enderunix.org/isoqlog

Bu ekilde bir tanmlama ile www.enderunix.org/isoqlog iin filtreleme yaplmaz ve www.enderunix.org/isoqlog adresine eriim yaplabilir.

5. Dansguardian le Filtre Gruplarnn Oluturulmas

Dansguardianda filtreleme gruplar oluturarak istenilen kullanclar belirlenen gruplara atayarak gruplara zg filtreleme seenekleri oluturulabilir. ncelikle dansguardian.conf dosyas ierisindeki deiikliklerin yaplmas gerekiyor.
# vi dansguardian.conf filtergroups = 4 filtergroupslist = '/usr/local/etc/dansguardian/lists/filtergrouplist' # filtergroups

deikeni ile ka tane filtre grubu oluturulaca belirleniyor. Burada 4 tane filtreleme grubu oluturularak rnekler verilecek.
filtergroupslist = '/usr/local/etc/dansguardian/lists/filtergrouplist'

ile de filtreleme gruplarnn tanmlarnn yaplaca yer belirtiliyor.

192.168.195.159=filter1 192.168.193.47=filter2 192.168.195.250=filter3 81.213.183.239=filter4

authplugin = '/usr/local/etc/dansguardian/authplugins/ip.conf'

bu deer ile de ip bazl tanmlamlamalarn yaplaca belirtiliyor .

/usr/local/etc/dansguardian/authplugins/ip.conf

ip bazl tanmlamalar yaplrken oluturulacak gruplarn bulunaca dosya belirtiliyor.

plugname = 'ip' ipgroups = '/usr/local/etc/dansguardian/lists/authplugins/ipgroups'

filtreleme gruplar oluturuluyor. stee gre dzenlenip gruplar oluturulabilir.

192.168.195.159=filter1 192.168.193.47=filter2 192.168.195.250=filter3 81.213.183.239=filter4

6. Dansguardian altrlmas
Kurulum esnasnda ./configure betiine verilen sysvdir seeneine gre scripts dizini altnda balang iin hazr betikler bulunur. Kullanlan sisteme gre buradaki hazr betikler kullanlabilir yada zelletirilebilir. Burada OpenBSD zerine kurulum gerekletirildii iin
# # # # cp bsd-init /usr/bin/dansguardian-hazir-betik chmod 755 cp bsd-init /usr/bin/dansguardian-hazir-betik dansguardian-hazir-betik start dansguardian-hazir-betik stop

balang iin kullanlacak hazr betik dosyas PATH deikeninin tanml olduu bir dizine kopyalanr ve altrlabilir olmas iin gerekli izinler chmod komutuyla verilir. PATH deikenin tanml olduu dizinleri renmek iin env kullanlabilir.

# env | grep PATH PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/local/sbin:/usr/local/bin #

Ardndan betie verilerek start ve stop komutlaryla dansguardian balatlr yada durdurulur. ps ile dansguardian almas kontrol edilebilir.
# ps auwx | grep dansguardian nobody 29716 0.0 0.4 23604 1856 ?? /usr/local/sbin/dansguardian nobody 6783 0.0 0.3 23688 1740 ?? /usr/local/sbin/dansguardian . . # Ss I 12:23PM 12:31PM 0:00.08 0:00.03

Ayar dosyalarnda gerekli deiiklikler yapldktan sonra deiikliklerin etkin olabilmesi iin ya dansguardian durdurulup yeniden balatlmaldr yada dansguardian r parametresi verilerek altrmaldr. which komutuyla dansguardian tam yolu bulunmaldr.
# which dansguardian /usr/local/sbin/dansguardian #

ardndan r parametresi ile deiikliklerin etkin olmas salanr.

# /usr/local/sbin/dansguardian r

Ayn ekilde dansguardian durdurmak iin q parametresi verilebilir yada hazr betikleri ile de ayn ilem gerekletirilebilir.
# dansguardian q

7. Dansguardian Log Takibi

Dansguardian.conf dosyas iinde loglocation parametresiyle belirtilen deikene verilen dizinde dansguardian loglar tutulur. Buradan eriim yaplan adresler takip edilebilir.
# tail f /var/log/dansguardian/access.log 1143025442.897 1196 192.168.195.250 TCP_MISS/200 17529 GET http://www.enderunix.org/ - DEFAULT_PARENT/127.0.0.1 #