DansGuardian est une "pile" supplémentaire Squid et permet de faire du filtrage d'URL ET de contenu (mots clef),

Puisqu'il ne sert a rien de réinventer la poudre, j'ai trouvé cette petite description:

DansGuardian, un logiciel de filtrage de contenu
Introduction

Je suis contre la censure et pour la liberté d'expression.
Cependant, il est des choses qui ne peuvent être vues par tout le monde, et principalement par les enfants. En effet, un enfant a besoin de découvrir certaines choses à certains moments opportuns et certainement pas de manière trop précoce. Le sexe vient immédiatement à l'esprit, mais il en est de même pour la violence gratuite ou le racisme. Ces choses existent, doivent être montrées, mais pas à un public qui n'est pas en mesure de les recevoir.

Internet est le lieu de la libre expression absolue: n'importe qui peut, en quelques secondes, publier n'importe quoi. Dès lors, il convient de protéger le public sensible des contenus qu'il ne doit pas voir. C'est le rôle des logiciels de filtrage, qui agissent au niveau de la connexion de l'utilisateur final. De nombreux logiciels existent, certains payants, d'autres gratuits. La plupart d'entre eux utilisent une liste noire de sites que l'éditeur du logiciel met régulièrement à jour. Les sites présents dans la liste ne peuvent alors pas être consultés. Cette approche fonctionne assez bien mais présente néanmoins une lacune: le nombre de sites proposant un contenu inapproprié augmente rapidement et les listes ne peuvent dès lors jamais être exhaustives.

Un logiciel libre fait cependant figure d'extraterreste dans la multitude de solutions disponibles.
Le filtrage de contenu

Le monde du logiciel libre réserve souvent de bonnes surprises. Lorsqu'il a été question de placer un filtre sur la connexion Internet de l'école où j'enseigne, je me suis mis en quête d'une solution qui soit à la fois efficace et abordable pour un établissement scolaire. Un critère important était également la capacité de fonctionner sous Linux. Après avoir passé en revue plusieurs solutions commerciales assez chères et, pour la plupart, fonctionnant exclusivement sous Windows, je suis tombé un peu par hasard sur le site de DansGuardian. Il se présentait sous la forme d'un filtre de contenu, une technique que je ne connaissais pas vraiment. Et pourtant, le principe est on ne peut plus simple. La première étape est la comparaison de l'adresse du site avec une liste de sites interdits. En cela, DansGuardian rejoint ses équivalents commerciaux. Mais il va plus loin en comparant les mots présents dans la page avec une liste de mots dont chaque présente un certain "poids". Si le poids total de la page dépasse un certain niveau paramétrable, l'accès est refusé. Simple, mais redoutablement efficace !
Cette approche présente l'avantage de pouvoir filtrer des sites qui n'ont pas (encore) été intégrés dans la liste noire. Ainsi, DansGuardian présente un niveau de filtrage tout à fait satisfaisant même s'il ne dispose pas d'une liste mise à jour.
Fonctionnellement

DansGuardian est écrit en C++ et peut être téléchargé sous forme de sources ou sous forme de paquetage installable. Il existe actuellement des paquetages pour Fedora, RedHat 8 et RedHat 9.
Il peut être compilé avec g++ sur diverses plateformes Unix et Unix-Like, dont Linux, FreeBSD, OpenBSD, NetBSD, MacOS X, Solaris et HP-UX.

Son fonctionnement est similaire à celui d'un proxy: les clients effectuent leurs requêtes web non plus directement vers le site qu'ils veulent consulter, mais via DansGuardian. Cependant, DansGuadian se contente de filtrer, il ne réalise pas de mise en cache. D'ailleurs, il a besoin d'un proxy complémentaire pour fonctionner. Le site de DansGuardian affirme qu'il peut fonctionner de concert avec Squid ou oops. Tous les deux constituent d'excellents proxies dont il serait dommage de se priver dans un réseau d'une certaine envergure, de toute façon.

Typiquement, une requête effectuée par un client sur le réseau suit le cheminement suivant:
Client --> site web.
Si un proxy est déjà disponible, cela devient:
Client --> Proxy --> site web.
Lorsque DansGuardian intervient, nous avons alors le schémas suivant:
client --> DansGuardian --> Proxy --> site web.
Ce dernier cheminement impose deux réflexions supplémentaires. D'abord, le filtrage de contenu est basé sur des manipulations de chaînes de caractères assez complexes et exige donc un certaine puissance processeur et une bonne quantité de mémoire. Ensuite, il faut éviter que les clients ne puissent contourner DansGuardian, ce qui aurait pour effet d'éliminer tout filtrage.

En terme de puissance processeur et de mémoire, de nombreux facteurs entrent en jeu. Les deux principaux sont le nombre de clients sur le réseau et le vitesse de la connexion avec le fournisseur d'accès Internet. Il est évident que si la machine filtrante doit servir deux clients, sa configuration devra être moins imposante que si elle en a deux cents à servir. De même, la rapidité de filtrage peut être moins importante si la connexion vers le fournisseur d'accès est une ligne ISDN à 64Kb/s que dans le cas d'un accès ADSL ou câble, puisque le débit de données à filtrer sera de toute façon moins important. Dans le cas de notre réseau, nous utilisons un Pentium III 866Mhz nanti de 256 Mo de mémoire. Notre connexion se fait par câble, à 1Mb/s en voie descendante et 512Kb/s en voie montante, pour servir 80 clients. Cette configuration est tout à fait suffisante, d'autant plus que le serveur sert également de passerelle de courrier, de serveur web et de serveur DNS.

Pour éviter le contournement du filtre, la meilleure solution est d'imposer son utilisation au niveau du serveur. En effet, même si on parvient à bloquer toute modification des paramètres relatifs au proxy dans les navigateurs des clients, il est toujours possible d'installer un navigateur alternatif qui ne tiendra pas compte des paramètres bloqués. Grâce aux possibilités de redirection d'ipchains (Linux 2.2.x) et d'iptables (Linux 2.4.x et 2.6.x), ou des possibilités offertes par les autres Unix sur lesquels DansGuardian peut fonctionner (je ne le connais malheureusement pas), on peut forcer toute requête effectuée vers le port 80 à traverser un programme en mode utilisateur. C'est la cible REDIRECT d'ipchains et iptables. Il faudra également veiller à interdire la connexion au proxy (Squid ou Oops) à partir des clients, via une règle dans le firewall du serveur. DansGuardian et le proxy communiquant entre eux par le biais de l'interface réseau de bouclage (127.0.0.1). Squid nécessite une configuration spéciale pour fonctionner selon ce mode. L'explication est disponible dans un document faisant partie du HOWTO de DansGuardian.
Les effets négatifs

Bien sûr, comme tout en ce monde, DansGuardian n'est pas parfait. Il filtre très complètement les sites indélicats et nous n'avons pas vu l'ombre d'un contenu interdit depuis son installation. Par contre, il interdit également l'accès à certains sites qui sont pourtant inoffensifs. Ainsi, dernièrement, l'accès à un site concernant l'élevage des chiens s'est vu refusé car il contenait plusieurs occurences des mots " chienne", "chaleur" et "sexe" (des discussions sur les chaleurs des chiennes pendant la période de reproduction et sur le sexe des chiots, soit deux sujets relevant de la biologie et non de la pornographie). Cependant, ces faux positifs se révèlent assez rares, et les avantages de la technologie de filtrage par contenu dépassent largement ses inconvénients. Par ailleurs, il est possible de définir une liste blanche de sites autorisés en dépit de leur contenu.

Nous avons également constaté un petit allongement de la latence d'accès aux sites web. En effet, un temps d'attente supplémentaire est nécessaire, durant lequel DansGuardian effectue les tests relatifs au filtrage. Cette latence est perceptible mais ne dépasse pas une seconde pour la majorité des pages. Elle ne constitue donc pas un handicap sérieux. Il est à noter que le taux de transfert, quant à lui, reste inchangé.
Mais encore...

La mise en place d'un filtre est un impératif légal dans les écoles belges. DansGuardian permet de s'y conformer facilement et à coût réduit.
DansGuardian est un logiciel libre, couvert par la Licence Publique Générale. Il peut être utilisé sans restriction et sans coût d'achat par n'importe qui. Cependant, la liste noire maintenue et à jour disponible pour DansGuardian est un service qu'il convient de rémunérer. Mais même pour une école, le coût mensuel n'est pas prohibitif et devrait s'intégrer facilement dans un budget scolaire. La liste noire est disponible sur http://urlblacklist.com.
Conclusion

Il convient de saluer le travail effectué par l'auteur de DansGuardian. En effet, c'est un logiciel performant et stable. On peut également le remercier de lui avoir donné le status de logiciel libre.
D'autres solutions existent bien sûr, mais celle-ci est particulièrement bien adaptée à un environnement scolaire. De plus, son coût raisonnable et sa capacité à fonctionner directement sur le serveur sont des atouts indéniables.

Source