Ordenador para los chavales

El mayor de mis chicos ya tiene su primer ordenador, y viendo lo que puede haber por ahí quiero establecer un mecanismo de control parental para limitar su acceso a según qué contenidos.

Sistema operativo: Debian.

He estado buscando y he encontrado esta solución: DansGuardian[1] + Privoxy[2] + Tor (como servicio). Así consigo también cierto anonimato

He configurado DansGuardian como proxy del sistema y también en IceCat[3] (fork de GNU sobre FireFox), al que también he añadido: EFF Privacy Badger[4] + Selft Destructing Cookies + uBlock Origin + CanvasBlocker.

He intentado ver porno, ver sitios chuscos de .onion, etc y me ha bloqueado correctamente y me ha dejado pasar correctamente.

¿Tenéis experiencia al respecto? ¿Alternativas fiables?

Supuestamente si mi niño en un futuro supiera cambiar la configuración proxy del navegador o de entorno no serviría de nada. ¿iptables por usuario?

[1]: DansGuardian: http://dansguardian.org/
[2]: Pivoxy: https://www.privoxy.org/
[3]: IceCat: https://en.wikipedia.org/wiki/GNU_IceCat
[4]: EFF Privacy Badger: https://www.eff.org/privacybadger

Acabo de encontrar esto[1] que precisamente usa iptables para salidas a puertos 80 y 443:

sudo iptables -A OUTPUT -m owner --uid-owner root -j ACCEPT
sudo iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m owner --uid-owner privoxy -j ACCEPT
sudo iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j DROP
sudo iptables -A OUTPUT -o lo -p tcp --dport 8118 -m owner --uid-owner dansguardian -j ACCEPT
sudo iptables -A OUTPUT -o lo -p tcp --dport 8118 -m owner --uid-owner USUARIO_A_APLICAR -j ACCEPT
sudo iptables -A OUTPUT -o lo -p tcp --dport 8118 -j DROP

Cambiando USUARIO_A_APLICAR por el usuario concreto, aunque creo que:

sudo iptables -A OUTPUT -o lo -p tcp --dport 8118 -m owner --uid-owner USUARIO_A_APLICAR -j ACCEPT

debería usar el puerto 8080 (de DansGuardian) en vez de 8118 de Privoxy.

¿Algún maqui en iptables?

[1]: http://blog.bodhizazen.net/linux/web-content-filtering-made-easy/

Jejeje, bueno, perdonad la matraca. Ya he resuelto el tema de los iptables. Como la restricción quiero que sea aplicable únicamente al usuario concreto, sólo necesito esta regla:

sudo iptables -A OUTPUT -p tcp -m multiport --dports 80,443,8118,9050 -m owner --uid-owner USUARIO_A_APLICAR -j DROP

Para que sea persistente en los arranques del sistema, hay que instalar el paquete iptables-persistent e indicar esto en /etc/iptables/rules.v4:

*filter
:INPUT ACCEPT [1162:1295677]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1060:1046515]
-A OUTPUT -p tcp -m multiport --dports 80,443,8118,9050 -m owner --uid-owner USUARIO_A_APLICAR -j DROP
COMMIT

(el contenido es el resultado de ejecutar sudo iptables-save tras haber aplicado la regla anterior)

De esta manera, o sale por DansGuard o no sale.

No obstante, ¿alternativas?

Hola @Andy me parece estupendo y, un gran trabajo de configuración e explicación aquí para nosotros los otros.

Sólo un apunte, canvia Tor por una VPN, en tu escenario descrito lo encuentro más adecuado ya que Tor no es más que ir de una máquina a otra y … vete tú a saber a qué máquina vas a parar … ¿ me explico ? ¿ estás deacuerdo conmigo ?

Saludos.

Hola @xxavi, no entiendo bien a qué te refieres con una VPN. No quiero establecer una red privada de unos cuantos dispositivos. Quiero que pueda acceder a internet, pero sólo a aquellos sitios que sean «aptos» (y aquí es donde tengo el problema/duda) para su edad.

Lo de usar Tor es sólo una manía mía. Normalmente siempre salgo por Tor y utilizo lo que puedo para anonimizarme. Podía haber usado Squid[1] que es lo que indica la configuración por defecto.

[1]: Squid: http://www.squid-cache.org/

@Andy tu sabes que a los chiquillos hay que dejarlos que se hagan chichones y todo eso no? XD

PD: Danos una charla de esto, que este tinglado hay que ponérselo en todo caso a las abuelas y madres, que si saben meter el número de la tarjeta de crédito si el rey de Nigeria las solicita

Por curiosidad, ¿de que edad estamos hablando?

ains, recuerdo los primeros gifs eróticos en discos de tres y medio. Qué tiempos
Y luego lo mas fue la llegada del cd con jpgs, jejejej

A mi de niño me dio por leer a Poe y Lovecraft, eso si que es peligroso y no el porno

@RadW: 7 años. Me gustaría que lo empezara a utilizar como una herramienta para obtener información de lo que le gusta (dinosaurios, países/geografía, planetas en estos momentos ), y sobretodo me gustaría introducirle a modo de juego a programar (muy básico) en Python (lo de la tortuga, tablas de multiplicar, listas con países, y cosillas que le puedan interesar).

@klin: Vale, voy a empaparme bien sobre las alternativas y propongo fecha. Hay añadidos que se solapan entre sí. Y de iptables no estoy verde, más bien lo siguiente. Sería genial que algún alma inquieta hiciera una intro al respecto. En ese caso quizá podríamos hacer un dos-en-uno.

Hola @Andy dices ‘+ Tor (como servicio). Así consigo también cierto anonimato’ para anonimato actualmente -basicamente- solo existe bien Tor o bien una VPN1. En internet hay intensos debates sobre si es mejor utilizar una tecnica o bien la otra. Es decir, no estoy hablando de una LAN sinó de privacidad y seguridad en las comunicaciones desde y, hacia internet.

Saludos.

@Andy sabes que llegará el momento a que tus chavales escriban un post «Como saltarse DansGuardian y otras restricciones», ¿verdad?

@MiguelAngelLV el señor @Andy está creando unos monstruos XD

Jajajaja , claro. Y el de salir a tomar cubatas o que me pidan un móvil. Pero ya tendré tiempo de cortarme las venas a lo largo o de arrancarme los pocos pelos que me queden a tirones.

Me preocupa lo que puedan encontrar por ahí, mucho. Y como eso de prohibir creo que no es bueno quizá sea mejor mantener su inocencia creyendo que no existe nada más allá de las sombras de la cueva de Platón.

Hace algún tiempo mi mujer le dejó a los niños el móvil para ver Peppa Pig en Youtube (íbamos en el coche). Estuvieron viéndolo tan campantes durante un rato y de repente los dos mayores empezaron a llorar. Se pusieron muy muy nerviosos diciendo algo de que era feo, no recuerdo bien qué. Por lo visto, uno de los vídeo que salieron era de que alguien mataba a Peppa, pero tenía que ser tipo gore o así porque los niños se asustaron mucho.

No es país para niños… XD

[…]

bien qué. Por lo visto, uno de los vídeo que salieron era de que alguien
mataba a Peppa, pero tenía que ser tipo gore o así porque los niños se
asustaron mucho.

Si alguien ha visto a «esa cerda» comprenderá que es lo mejor que se
podía haber hecho, matarla.

Vaya estupidez de dibujos, en fin.

Volviendo al tema que nos ocupa… precisamente estoy preparando una
máquina para mi sobrina… y me encanta tu configuración porque no había
pensado absolutamente nada del tema.

Soy más de la opción de educar para que comprendan y entiendan que hay
cosas que, por el momento, no hay que ver, aunque existan.

La opción de «esa famosa compañía asquerosa con un ratón por logotipo
que es la responsable de que los plazos de derechos de propiedad
intelectual se vayan alargando cada vez más» de edulcorar la vida no les
va a hacer mejores personas.

¿La ejecutas en la misma máquina o tienes una máquina específica
haciendo de pasarela y cortafuegos? ¿Un router con Openwrt?

Es más… ¿se podría trasladar a una máquina aparte? (Ese router con
OpenWRT.)

Salud y Revolución.

Lobo.

Lo de transladarlo a una máquina con linux aparte que haga funciones de filtrado y enrutamiento, sin problemas.
Lo de utilizar openwrt parece que también:

• http://jakehe.blogspot.com.es/2014/10/openwrt-site-filtering-with-tinyproxy.html
• http://packetprotector.org/

Habría que ver que versión es la que lleva tu enrutador, pero en la lista de paquetes[1] aparece.

[1]: Lista paquete openwrt: https://downloads.openwrt.org/attitude_adjustment/12.09/ar71xx/generic/packages/.