IPFire: Contrôle parental par les DNS

Posted on by under Informatique, Linux

Il y a quelques temps, j’avais écrit un article sur le contrôle parental via IPFire, qui se basait sur SquidGuard. Tout fonctionnait bien, mais je me suis rendu compte que Google Image n’était pas filtré et j’ai donc fait un second article à ce sujet, mais suite à la mise à jour d’IPFire 106, dnsmasq (sur lequel reposait ce second article) a été remplacé par unbound ce qui désactivait Google Safe Search. Je me suis aussi rendu compte que les blacklists de SquidGuard ne se mettait jamais à jour, même en manuel, et que parfois il fallait redémarrer IPFire car le filtrage ne fonctionnait plus du tout. Après quelques recherches sur internet, je me suis aperçu que beaucoup utilisaient les DNS d’OpenDNS (208.67.222.123 et 208.67.220.123) qui ne renvoie pas les IP des sites déconseillés aux enfants.

J’ai donc modifié les DNS de mon IPFire avec les 2 adresses mentionnées ci-dessus, sauf que ça ne fonctionne pas. Ca aurait très bien fonctionné avec dnsmasq, mais pas avec unbound, car, c’est la raison pour laquelle dnsmasq a été remplacé, ce dernier n’est pas compatible DNSSec, tout comme OpenDNS. Il y a bien un moyen de faire fonctionner unbound avec OpendDNS (au détriment de la sécurité), mais j’ai préféré chercher d’autres DNS compatibles. J’ai trouvé Norton ConnectSafe dont 3 formules (gratuites) existent (repris de cette page):

Filtrage Sécurité

Ces DNS vont bloquer tous les sites connus pour tenter d’installer des logiciels malveillants, soutirer des informations ou afficher des copies de sites pour voler des informations sensibles
DNS principal: 199.85.126.10
DNS secondaire: 199.85.127.10

Filtrage Sécurité + Pornographie

Ces DNS vont bloquer tous les sites du filtrage sécurité ainsi que les sites connus pour afficher du contenu sexuellement explicite
DNS principal: 199.85.126.20
DNS secondaire: 199.85.127.20

Filtrage Sécurité + Pornographie + Non-indiqué pour les enfants

Ces DNS vont bloquer tous les sites du filtrage sécurité + pornographie ainsi que les sites connus pour afficher du contenu incompatible pour une famille avec des enfants, comme par exemple l’alcool, le tabac, les crimes, la drogue, les jeux d’argent, la violence, etc.
DNS principal: 199.85.126.30
DNS secondaire: 199.85.127.30

Il suffit donc de changer les DNS d’IPFire qui seront automatiquement utilisés sur tous les clients du réseau (on lance la commande setup via ssh et on modifie les paramètres DNS and Gateway settings). Il faudra ensuite indiquer dans le paramétrage du DHCP d’IPFire que le DNS est maintenant l’adresse de la machine IPFire (si ce n’est pas déjà fait).

L’activation de Google Safe Search, en migrant vers unbound, reprend exactement le même principe que pour dnsmasq: on va rediriger www.google.com et tous les autres sous-domaines des pays vers forcesafesearch.google.com (216.239.38.120). Pour cela, il faut éditer le fichier /etc/unbound/local.d/blocklist.conf et ajouter pour chaque domaine et sous-domaine la ligne suivante:

local-data: « www.google.com A 216.239.38.120 »

Le fichier complet se trouve ici.

Pour éviter que ce soit contourné (si un utilisateur paramètre les DNS de sa machine lui-même), on pourra ajouter une règle firewall pour bloquer l’accès aux DNS (port 53).

  • Avantages: très simple à configurer, très léger, pas de mise à jour à faire de blacklist
  • Inconvénients: s’applique à toutes les machines (sauf à paramétrer manuellement les DNS de sa machine, ce qui peut être impossible si on bloquer l’accès au port 53 vers l’extérieur).

 

Laisser un commentaire