1. Qu'est-ce que SafeSearch ?

Le mode SafeSearch proposé par Google permet de filtrer les résultats du moteur de recherche en retirant les liens vers des contenus pornographiques ou violents.

C'est un outil qui peut servir si des enfants sont amenés à utiliser l'un de vos ordinateurs ou à se connecter à Internet par l'intermédiaire de votre réseau.

Les moteurs de recherche Bing et DuckDuckGo ou encore YouTube proposent des fonctions similaires.

2. Objectif

Aujourd’hui, beaucoup d’équipements permettent à vos enfants d’aller sur Internet (téléphone, console de jeu, ordinateur, tablette…). Cependant, certains appareils n'intègrent pas de fonction de filtrage ou nécessitent un paramétrage compliqué.

L’objectif de cet article est de pouvoir filtrer les résultats à caractère sexuel ou violent fournis par les moteurs de recherche grâce à votre routeur OPNsense .

3. Configuration

a. Activez un service DNS.

Désormais, le serveur DNS Unbound est activé en priorité par rapport à Dnsmasq. Ceci étant, ajouter un "Host override" se fait de manière similaire.

1. Rendez-vous dans Services / Unbound DNS / General et assurez-vous que la case "Enable Unbound" soit cochée.
2. Sauvegardez.

b. Créez une règle pour forcer l'interception des requêtes DNS.

Remarque : il existe désormais la possibilité sur la plupart des navigateurs web ou des systèmes d'exploitation d'avoir recours au DNS over HTTPS (DoH).
L'utilisation de DoH neutralise l'interception des requêtes DNS et les tentatives de filtrage par défaut des résultats des moteurs de recherche.

1. Allez dans Firewall / NAT / Port forward et cliquez sur ajouter pour créer une nouvelle règle.
2. Suivez les paramètres ci-dessous :

   Interface = LAN
   Protocol = TCP/UDP
   Destination = any
   Destination port range / from = DNS
   Destination port range / to = DNS
   Redirect target IP = Single host or network = 127.0.0.1
   Redirect target port = DNS
   Description = redirection DNS

3. Sauvegardez
4. Allez à Firewall / Rules / LAN et assurez-vous que la règle que vous venez de créer est au-dessus de votre règle éventuelle permettant d'autoriser toutes les connexions.
   
   Pour déplacer une ou plusieurs règles, cochez celles-ci puis cliquez sur l'une des flèches dans la colonne de droite.
   

   

5. Sauvegardez.

c. Création des surcharges de noms de domaine

1. Accédez à Services / Unbound DNS / Overrides et créer des "Host override" pour appliquer la modération à l'aide d'OPNsense.
2. Créez un Host override pour Google.
   1. Cliquez sur ajouter et suivez les paramètres ci-dessous :

      Host = www
      Domain = google.com
      IP = 216.239.38.120
      Description = forcesafesearch.google.com
      Alias: Host = www / Domain = google.fr
      Alias: Host = www / Domain = google.be
      Alias: Host = www / Domain = google.ch

   2. Sauvegardez

Remarque: Idéalement, il faudrait ajouter en alias la totalité des nombreux noms de domaine d'accès à Google du type google.com.hk ou google.hu dont on peut trouver une liste ici - https://gist.github.com/danielpunkass/2029185 .

3. Créez un Host override pour DuckDuckGo.
   1. Cliquez sur ajouter et suivez les paramètres ci-dessous :

      Host = duckduckgo
      Domain = com
      IP = 52.142.126.100
      Description = safe.duckduckgo.com

   2. Sauvegardez
4. Créez un Host override pour Bing.
   1. Cliquez sur ajouter et suivez les paramètres ci-dessous :

      Host = www
      Domain = bing.com
      IP = 204.79.197.220
      Description = strict.bing.com

   2. Sauvegardez
5. Créez un Host override pour YouTube.
   1. Cliquez sur ajouter et suivez les paramètres ci-dessous :

      Host = www
      Domain = youtube.com
      IP = 216.239.38.120
      Description = restrict.youtube.com
      Alias: Host = m / Domain = youtube.com
      Alias: Host = youtube / Domain = googleapis.com
      Alias: Host = youtubei / Domain = googleapis.com
      Alias: Host = www / Domain = youtube-nocookie.com
      

   2. Sauvegardez et cliquez sur "Appliquer les changements"
   3. Remarque: Safe Search sur YouTube: certains contenus sécurisés sont filtrés ou bloqués.

4. Tester

Une fois la configuration de OPNsense terminée, il faut effacer le cache DNS du système d'exploitation ainsi que le cache DNS de votre navigateur web.

Sous Windows

• Invite de commande :

  ipconfig /flushdns

Sous Mac

• de OS X Yosemite (10.10.4) à macOS Sierra (10.12) , tapez dans un terminal :

  sudo killall -HUP mDNSResponder

• avec une version postérieure, tapez dans un terminal :

  sudo killall -HUP mDNSResponder; sudo killall mDNSResponderHelper; sudo dscacheutil -flushcache

Sous Linux

• Si vous utilisez le serveur DNS nscd en tant que cache, tapez dans un terminal :

  sudo nscd --invalidate=hosts

• Si vous utilisez le service systemd-resolve, il faut utiliser :

  sudo systemd-resolve --flush-caches

• Si vous utilisez le logiciel dnsmasq, il faut utiliser :

  sudo systemctl restart dnsmasq

• Si vous utilisez le logiciel BIND / le service named, il faut utiliser :

  sudo rndc flush

Pour vider le cache DNS du navigateur web, il faut :

• Avec Google Chrome
  • aller à chrome://net-internals/#dns puis cliquer sur "Clear host cache".
• Avec Mozilla Firefox
  • aller à about:networking#dns puis cliquer sur "Vider le cache DNS".

Enfin, visitez ou effectuez une recherche sur certains sites porn / adult que vous connaissez.

Vous pouvez aussi essayer de rechercher des scenes de violences sur YouTube.