您如何满足Google在网络级别强制执行安全搜索的要求？

5

我有足够大的孩子开始变得好奇，而且，虽然我不认为这是一个活跃的问题，但我宁愿避免普通谷歌搜索中常见的垃圾。谷歌的安全搜索是一个很好的过滤器，但强制它在网络层面使用是一个困难的主张。这是（至少）他们过程的第3次迭代。

根据谷歌目前的建议，强制网络用户进入安全搜索：

https://support.google.com/websearch/answer/186669?hl=en&ref_topic=3427534

要强制安全搜索您的网络，您需要更新DNS配置。将www.google.com（以及您的用户可能使用的任何其他Google ccTLD国家/地区子域）的DNS条目设置为forcedafesearch.google.com的CNAME。

我已经看过几篇关于配置dnsmasq来做这件事的文章，但我正在运行一个本地的bind实例作为转发缓存服务器（使用OpenDNS），但也托管我的内部域。如何为所有Google 配置只有这一个CNAME的绑定？我无法理解我是如何开始让我的服务器充当google.com的规范，但通过除主机“www”之外的所有内容。

（过去，我尝试过Dansguardian重写。现在，我刚刚尝试了尝试SquidGuard重定向。我似乎无法在不破坏谷歌的情况下完成这项工作。如果在代理区域有答案，甚至iptables，我也可以这样做。只是说'。'）

ubuntu bind google-search

— 大卫克里德
source

好问题。我很想看到答案。我甚至都不知道这是可能的。这可能会迁移到超级用户，因为这是一个家庭网络问题。

— EEAA 2014年

我自己也在努力解决，但Google的答案是如何保护学校网络，所以我认为这是两个稍微好一点的选择。

— David Krider 2014年

看一下针对此类和相似场景的RPZ。（en.wikipedia.org/wiki/Response_policy_zone）

— 布莱恩

2

从有关响应策略的ISC文档中，它显示了一些示例BIND9配置，我已修改并在下面发布。（ftp://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt）：

options {
  // other stuff
  response-policy {
     zone "www.google.com" policy CNAME forcesafesearch.google.com;
     zone "www.google.ca" policy CNAME forcesafesearch.google.com;
  };
};

— 布赖恩
source

哇。新技巧。我从未在BIND中听说过这个。我尝试将您的代码段复制粘贴到named.conf.options，但错误消息表明这是不够的。但是，感谢您的提示和链接，我发现http://jpmens.net/2011/04/26/how-to-configure-your-bind-resolvers-to-lie-using-response-policy-zones-rpz/，这导致我创建了一个新的“db.response”区域文件，其中包含显示在那里的标题，还有一个条目：www.google.com CNAME forcesafesearch.google.com.它工作得很好。在Chrome中，甚至还有一条消息：“您的网络已启用安全搜索...”

— David Krider 2014年

1

以下是有关如何执行此操作的更具体和详细的信息。我创建了一个名为/ config / bind的目录来保存named.conf.default-zones，named.conf.local和named.conf.options。然后我进入/etc/bind/named.conf并输入包含。这对于特定任务来说并不是特别重要，但它确实可以让您以后更新bind而不会丢失配置文件。你只需要进入/etc/bind/named.conf，在named.conf被覆盖之后再添加include语句（如果有的话）。

/etc/bind/named.conf

//these are the only entries in my entire named.conf file
include "/config/bind/named.conf.options";
include "/config/bind/named.conf.local";
include "/config/bind/named.conf.default-zones";

/config/bind/named.conf.local

zone "rpz" {
    type master;
    file "/config/bind/db.rpz";
    allow-query {none;};
};

/config/bind/named.conf.options

//note: I added the following lines to this file. 
//There are/were three other lines in it that weren't comments.
    listen-on-v6 { none; };
    listen-on { 192.168.1.1; };
    forwarders { 8.8.8.8; 8.4.8.4; };

    response-policy { zone "rpz"; };

db.rpz我自己创建的文本文件。大多数其他教程都表明它存在于不同的数据目录中。我没有打扰，因为我认为它是我的配置的一部分。请注意，我试图覆盖很多国际，英语国家/地区。我知道我没有得到它们。我也不确定这样的配置如何适用于美国以外的人，因为谷歌似乎没有为每个国家/地区配置安全的搜索域。

/config/bind/db.rpz

$TTL 60
@ IN SOA localhost. root.localhost. (
        2014110500;
        10800;
        3600;
        604800;
        10800 )
        IN      NS      localhost.
;
; Google forced Safe Search zone and data
google.com              CNAME forcesafesearch.google.com.
www.google.com          CNAME forcesafesearch.google.com.
google.ca               CNAME forcesafesearch.google.com.
www.google.ca           CNAME forcesafesearch.google.com.
google.co.uk            CNAME forcesafesearch.google.com.
www.google.co.uk        CNAME forcesafesearch.google.com.
www.google.com.au       CNAME forcesafesearch.google.com.
google.com.au           CNAME forcesafesearch.google.com.
www.google.co.in        CNAME forcesafesearch.google.com.
google.co.in            CNAME forcesafesearch.google.com.
www.google.ie           CNAME forcesafesearch.google.com.
google.ie               CNAME forcesafesearch.google.com.
www.google.com.jm       CNAME forcesafesearch.google.com.
google.com.jm           CNAME forcesafesearch.google.com.
www.google.co.za        CNAME forcesafesearch.google.com.
google.co.za            CNAME forcesafesearch.google.com.
google.com.ph           CNAME forcesafesearch.google.com.
www.google.com.ph       CNAME forcesafesearch.google.com.

完成编辑文件后，不要忘记重新启动服务。我正在使用：

sudo service bind9 restart

您可能还发现在移动文件后需要修改文件的权限。或者您必须将bind / named配置为在启动时启动，但这些主题超出了我们在此处尝试完成的范围。

— HK1
source