Comedu, Serveur Linux de Communication

  [ Accueil ] [ Retour à l'article ]

Comedu Ecole
http://www.profetice.org/comedu/article.php3?id_article=145

mardi 16 juin 2015, par Benoît Thébaud

Article mis à jour le 13/01/2016

Le Sirec propose aux écoles une solution de filtrage sous forme de machine virtuelle ou sur une appliance Raspberry. Cette solution intègre aussi la fonctionnalité Wapt (dans la version machine virtuelle) qui est sans doute un des outils les plus prometteurs actuellement en terme de déploiement de logiciels.

Téléchargement

-  On peut trouver la machine virtuelle (version bêta) sur l’article de Profetice consacré à Wapt :

http://www.profetice.org/spip.php ?article448

-   La version Raspberry est à télécharger ici (1,89 Go).

-  Dézipper le fichier et copier l’imge sur la carte SD avec Win32 Disk Imager
-  Insérer la carte SD dans le Raspberry et le connecter à un écran externe
-  root/comedu
-  raspi-config (expand-rootfs Expand root partition to fill SD card)
-  rebooter

Apres saisie du login et du mot de passe (root/comedu par defaut), taper la commande suivante pour paramétrer l’adresse IP de ce serveur : reseau

-  pour mettre à jour la configuration :
wget http://comedu.fr/comeduecole/maj/majcomeduecole.tgz
tar xzvf majcomeduecole.tgz
cd majcomeduecole
sh maj1comeduecole.sh

-  taper les commandes suivantes pour activer les differentes fonctionnalites :

-  filtragegoogle pour parametrer le serveur DNS en fonction de votre reseau
-  configdhcp pour parametrer le serveur DHCP

Elle s’appuie pour la partie filtrage Google Images sur le serveur DNS Bind paramétré selon les excellents conseils de Mikaël LOUSSOUARN sur le forum Atri.

Nous avons ajouté la redirection DNS vers les adresses de Norton DNS ce qui procure un niveau de filtrage global satisfaisant (dans /etc/bind/named.conf.options).

JPG - 88.7 ko

-  /etc/bind/named.conf.options


ptions {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.  
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        query-source address * port 53;

        allow-recursion { any; };
        allow-query { any; };
        allow-query-cache { any; };       


        response-policy { zone "comedu.local"; };

        forwarders {
                       199.85.126.20;
                       199.85.127.20;
               };


        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Dans cette version bêta, il faut encore manuellement modifier et adapter les fichiers /etc/bind/db.comedu.local (remplacer 192.168.1.253 par l’adresse IP donné à ce serveur virtuel) et /etc/bind/named.conf.local (remplacer 1.168.192 en fonction de l’adressage IP du réseau).

-  /etc/bind/db.comedu.local


;
; BIND data file for local loopback interface
;
$TTL        604800
@        IN        SOA        SrvDns.comedu.local. root.comedu.local. (
                              2                ; Serial
                         604800                ; Refresh
                          86400                ; Retry
                        2419200                ; Expire
                         604800 )        ; Negative Cache TTL
;
@        IN        NS        SrvDns.comedu.local.
SrvDns        IN        A        192.168.1.253
@        IN        AAAA        ::


google.com IN CNAME forcesafesearch.google.com.
www.google.com IN CNAME forcesafesearch.google.com.
google.fr IN CNAME forcesafesearch.google.com.
www.google.fr IN CNAME forcesafesearch.google.com.
youtube.com IN CNAME forcesafesearch.google.com.
www.youtube.com IN CNAME forcesafesearch.google.com.

-  /etc/bind/named.conf.local


//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "comedu.local" {
    type master;
    file "/etc/bind/db.comedu.local";
    forwarders{};
};

zone "1.168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/db.comedu.local.inv";
    forwarders{};
};

La machine virtuelle intègre aussi un serveur DHCP désactivé par défaut.

Dans une école, il suffira de remplacer le DNS des postes clients par l’adresse IP de ce serveur (en désactivant par exemple le serveur DHCP de la Box et en activant celui du serveur).

Pour un collège ou un lycée, on peut envisager de "faire tourner" cette machine virtuelle en parallèle du serveur Squid/SquidGuard en paramétrant ce dernier avec le DNS de la VM.

Pour l’heure, le paramétrage DNS est basé sur une Debian 7. Il est sans doute possible de s’en inspirer pour paramétrer un serveur Bind par exemple sur un serveur Scribe, avis aux volontaires ...

Les heureux propriétaires d’un serveur MS Windows 2008 R2 peuvent aussi faire de même en suivant les conseils de cet article :

https://www.solidborder.com/2014/12/google-dns-safe-search-enforcement/

Il est prévu de tester la version Raspberry dans quelques écoles


[ Accueil ] [ Retour à l'article ] [ Haut ]