Pertanyaan Bagaimana Anda dapat memenuhi persyaratan Google untuk memberlakukan TelusurAman di tingkat jaringan?


Saya memiliki anak-anak yang cukup besar untuk mulai penasaran, dan, sementara saya tidak berpikir itu adalah masalah yang aktif, saya lebih suka menghindari sampah biasa yang datang dengan pencarian rata-rata Google. Google SafeSearch adalah filter yang bagus, tetapi memaksanya untuk digunakan di tingkat jaringan adalah proposisi yang sulit. Ini (setidaknya) iterasi ke-3 mereka dari proses.

Per Google arus saran untuk memaksa pengguna jaringan ke TelusurAman:

https://support.google.com/websearch/answer/186669?hl=id&ref_topic=3427534

Untuk memaksa TelusurAman untuk jaringan Anda, Anda harus memperbarui konfigurasi DNS Anda. Setel entri DNS untuk www.google.com (dan semua subdomain negara Google ccTLD lainnya yang mungkin digunakan pengguna Anda) untuk menjadi CNAME untuk forcesafesearch.google.com.

Saya telah melihat beberapa artikel tentang mengkonfigurasi dnsmasq untuk melakukan ini, tetapi saya menjalankan contoh lokal dari bind sebagai server penerusan cache (menggunakan OpenDNS), tetapi juga menghosting domain internal saya. Bagaimana cara mengkonfigurasi bind dengan hanya CNAME satu ini untuk semua Google? Saya tidak dapat membayangkan bagaimana saya akan mulai membuat server saya bertindak sebagai kanonik untuk google.com, tetapi melewati semuanya kecuali host "www".

(Di masa lalu, saya sudah mencoba penulisan ulang Dansguardian. Sekarang, saya baru saja melalui upaya mencoba pengalihan SquidGuard. Sepertinya saya tidak bisa menyelesaikan ini tanpa merusak Google sama sekali. Jika ada jawaban di proksi-tanah, atau bahkan iptables, saya bisa melakukan itu juga. Katakan saja.)


5
2017-10-15 01:00


asal


Pertanyaan bagus. Saya ingin tahu untuk melihat jawabannya. Saya bahkan tidak pernah tahu bahwa ini adalah sebuah kemungkinan. Ini mungkin akan bermigrasi ke Superuser, karena itu adalah pertanyaan jaringan rumah. - EEAA
Saya bergulat dengan itu sendiri, tetapi jawaban Google adalah tentang cara melindungi jaringan sekolah, jadi saya pikir ini adalah opsi yang sedikit lebih baik-dari-dua. - David Krider
Lihatlah RPZ yang ditargetkan pada skenario ini dan yang serupa. (en.wikipedia.org/wiki/Response_policy_zone) - Brian


Jawaban:


Dari ISC Docs tentang kebijakan tanggapan itu menunjukkan beberapa contoh konfigurasi BIND9 yang telah saya modifikasi dan diposting di bawah ini. (ftp://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt):

options {
  // other stuff
  response-policy {
     zone "www.google.com" policy CNAME forcesafesearch.google.com;
     zone "www.google.ca" policy CNAME forcesafesearch.google.com;
  };
};

2
2017-10-15 01:41



Wow. Trik baru. Saya belum pernah mendengar hal ini di BIND. Saya mencoba menyalin-paste cuplikan Anda ke dalam named.conf.options, tetapi pesan kesalahan membuatnya jelas bahwa tidak akan cukup. Terima kasih atas tip dan tautan Anda, saya temukan http://jpmens.net/2011/04/26/how-to-configure-your-bind-resolvers-to-lie-using-response-policy-zones-rpz/, yang membuat saya membuat file zona "db.response" baru yang berisi header yang ditampilkan di sana, dan satu entri: www.google.com CNAME forcesafesearch.google.com. Ini bekerja dengan baik. Di Chrome, bahkan ada pesan: "Jaringan Anda telah mengaktifkan TelusurAman ..." - David Krider


Berikut sedikit informasi yang lebih spesifik dan terperinci tentang cara melakukan ini. Saya membuat direktori bernama / config / bind untuk mempertahankan named.conf.default-zones, named.conf.local, dan named.conf.options. Lalu saya masuk ke /etc/bind/named.conf dan memasukkan termasuk. Ini tidak terlalu penting untuk tugas tertentu, tetapi itu membuatnya sehingga Anda dapat memperbarui mengikat nanti tanpa kehilangan file konfigurasi Anda. Anda hanya perlu masuk ke /etc/bind/named.conf menambahkan pernyataan include kembali setelah named.conf ditimpa (jika ya).

/etc/bind/named.conf

//these are the only entries in my entire named.conf file
include "/config/bind/named.conf.options";
include "/config/bind/named.conf.local";
include "/config/bind/named.conf.default-zones";

/config/bind/named.conf.local

zone "rpz" {
    type master;
    file "/config/bind/db.rpz";
    allow-query {none;};
};

/config/bind/named.conf.options

//note: I added the following lines to this file. 
//There are/were three other lines in it that weren't comments.
    listen-on-v6 { none; };
    listen-on { 192.168.1.1; };
    forwarders { 8.8.8.8; 8.4.8.4; };

    response-policy { zone "rpz"; };

db.rpz file teks yang harus saya buat sendiri. Kebanyakan tutorial lain menunjukkannya ada di direktori data yang berbeda. Saya tidak peduli karena saya menganggapnya sebagai bagian dari konfigurasi saya. Perhatikan bahwa saya mencoba untuk mencakup banyak negara / domain berbahasa Inggris internasional. Saya tahu saya tidak mendapatkan semuanya. Saya juga tidak yakin bagaimana konfigurasi seperti ini akan bekerja untuk seseorang di luar AS karena google tampaknya tidak memiliki domain pencarian aman yang dikonfigurasi untuk setiap negara.

/config/bind/db.rpz 

$TTL 60
@ IN SOA localhost. root.localhost. (
        2014110500;
        10800;
        3600;
        604800;
        10800 )
        IN      NS      localhost.
;
; Google forced Safe Search zone and data
google.com              CNAME forcesafesearch.google.com.
www.google.com          CNAME forcesafesearch.google.com.
google.ca               CNAME forcesafesearch.google.com.
www.google.ca           CNAME forcesafesearch.google.com.
google.co.uk            CNAME forcesafesearch.google.com.
www.google.co.uk        CNAME forcesafesearch.google.com.
www.google.com.au       CNAME forcesafesearch.google.com.
google.com.au           CNAME forcesafesearch.google.com.
www.google.co.in        CNAME forcesafesearch.google.com.
google.co.in            CNAME forcesafesearch.google.com.
www.google.ie           CNAME forcesafesearch.google.com.
google.ie               CNAME forcesafesearch.google.com.
www.google.com.jm       CNAME forcesafesearch.google.com.
google.com.jm           CNAME forcesafesearch.google.com.
www.google.co.za        CNAME forcesafesearch.google.com.
google.co.za            CNAME forcesafesearch.google.com.
google.com.ph           CNAME forcesafesearch.google.com.
www.google.com.ph       CNAME forcesafesearch.google.com.

Setelah selesai mengedit file Anda, jangan lupa untuk memulai ulang layanan. Saya menggunakan:

sudo service bind9 restart

Anda mungkin juga menemukan bahwa Anda perlu mengubah izin pada file setelah memindahkannya. Atau Anda harus mengkonfigurasi bind / named untuk memulai saat boot, tetapi itu adalah topik di luar lingkup dari apa yang kami coba capai di sini.


1
2018-05-12 01:59