<p>こんにちは。<br>
学校のWebフィルタリングの仕組みと、その解除方法について説明しようと思います。</p>
<h2 id="%E3%81%AA%E3%81%AB%E3%82%92%E8%AA%AC%E6%98%8E%E3%81%99%E3%82%8B%E3%81%8B">
<a class="header-anchor-link" href="#%E3%81%AA%E3%81%AB%E3%82%92%E8%AA%AC%E6%98%8E%E3%81%99%E3%82%8B%E3%81%8B" aria-hidden="true"></a> なにを説明するか</h2>
<p>ここでの「Webフィルタリング」とは、自動プロキシ構成ファイル<code>proxy.pac</code>を用いたフィルタリングのことを指します。<br>
また、iPadを用いています。</p>
<p>ここに書いてあることが当てはまらない場合もあります。</p>
<h2 id="%E5%AF%BE%E8%B1%A1%E8%AA%AD%E8%80%85">
<a class="header-anchor-link" href="#%E5%AF%BE%E8%B1%A1%E8%AA%AD%E8%80%85" aria-hidden="true"></a> 対象読者</h2>
<ul>
<li>学校のフィルタリングの仕組みが気になる人</li>
<li>学校のフィルタリングを解除してみたい人</li>
<li>学校のフィルタリングが解除されないように対策したい人</li>
</ul>
<p>また、以下の知識があるとわかりやすいと思います。</p>
<ul>
<li>プロキシ自動設定ファイル</li>
<li>プロキシ</li>
<li>DNS</li>
<li>Linux</li>
<li>IP</li>
</ul>
<h2 id="%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF">
<a class="header-anchor-link" href="#%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF" aria-hidden="true"></a> フィルタリングの仕組み</h2>
<p>フィルタリングの仕組みを解説します。</p>
<h3 id="%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%A7%E6%8E%92%E9%99%A4%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%A7%E6%8E%92%E9%99%A4%E3%81%99%E3%82%8B" aria-hidden="true"></a> プロキシで排除する</h3>
<p>一般的なWebフィルタリングは、フィルタリング運営のプロキシを通すことで排除しています。</p>
<p>以下の図がわかりやすいと思います。(わかりやすく作ったので)<br>
<img src="https://user-images.githubusercontent.com/79000684/277160664-e2a3a2de-4847-479a-b90a-f73176e3d729.png" alt="図" loading="lazy" class="md-img"></p>
<p>通常時には、普通にiPadとウェブサイトがインターネットを通じて直接通信します。</p>
<ul>
<li>ユーザー「<code>https://abunai-site.com/</code>の内容ください！」</li>
<li>iPad（<code>https://abunai-site.com/</code>にアクセスします...）</li>
<li>ウェブサイト「はいよ、htmlどうぞ」</li>
</ul>
<p>って感じです。</p>
<p>フィルタリング時には、「フィルタリングプロキシ(仮称)」を通してアクセスします。<br>
直接ではなく、フィルタリングプロキシという代行屋さんを通します。</p>
<ul>
<li>ユーザー「<code>https://abunai-site.com/</code>の内容ください！」</li>
<li>iPad（フィルタリングプロキシ、<code>filter.com:443</code>に<code>https://abunai-site.com/</code>に代わりにアクセスしてもらおう！)</li>
<li>フィルタリングプロキシ「ふむむ。<code>https://abunai-site.com/</code>にアクセスしてほしいのか。<br>
なるほど。アクセスしてやろう... ん？<br>
<code>https://abunai-site.com/</code>は有害なサイトだ！ブロックしなければ！<br>
かわりに代行結果としてブロックページをiPadに渡すぞ！」</li>
<li>iPad（何も知らずに「ブロックされました」ページを渡す）</li>
<li>ユーザー「わー、ブロックされちゃったー」</li>
</ul>
<p>って感じです。プロキシは「代行屋」です。代わりにウェブサイトにアクセスしてあげます。<br>
この場合、プロキシはURLを判断して、有害なサイトならブロックする、有害でなければ正常に代行してあげます。</p>
<p>このような仕組みで成り立っています。</p>
<h3 id="%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%AF%E3%81%A9%E3%81%86%E3%82%84%E3%81%A3%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B%E3%81%AE%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%AF%E3%81%A9%E3%81%86%E3%82%84%E3%81%A3%E3%81%A6%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> プロキシはどうやって設定するの？</h3>
<p>プロキシは、<a href="https://developer.mozilla.org/ja/docs/Web/HTTP/Proxy_servers_and_tunneling/Proxy_Auto-Configuration_PAC_file" target="_blank" rel="nofollow noopener noreferrer">プロキシ自動設定ファイル(<code>*.pac</code>)</a>によって構成されることがほとんどです。</p>
<p>プロキシ自動設定ファイルは、プロキシを自動で設定するプログラムを基準するファイルです。</p>
<p>以下の感じに通信しています。(さっきの図の詳細版的なのです)<br>
<img src="https://user-images.githubusercontent.com/79000684/277162097-e272a272-ba6f-4a29-9fc1-d591c98aec4e.png" alt="図2" loading="lazy" class="md-img"></p>
<p>プロキシ自動設定ファイルには、プロキシのリンクが含まれています。そのリンクにそって、フィルタリングプロキシを設定していくのです。<br>
この例の場合、iPadに標準で<code>http://school-filter.com/proxy.pac</code>を使えと指示されているのです。</p>
<p>逆に言えば、この<code>proxy.pac</code>を偽造すればフィルタリングが解除できちゃう、というわけなのです。</p>
<h4 id="tips%3A-proxy.pac%E3%81%AE%E6%8E%A2%E3%81%97%E6%96%B9(ipad)">
<a class="header-anchor-link" href="#tips%3A-proxy.pac%E3%81%AE%E6%8E%A2%E3%81%97%E6%96%B9(ipad)" aria-hidden="true"></a> Tips: <code>proxy.pac</code>の探し方(iPad)</h4>
<p>設定から、一般を開き、VPNとデバイス管理を押します、<br>
<img src="https://user-images.githubusercontent.com/79000684/277163810-f940621f-bf07-41f8-b9e4-28283c8eb507.jpeg" alt="IMG_1935" loading="lazy" class="md-img"><br>
そこにある、モバイルデバイス管理の一項目を開きます。</p>
<p>その中からいろいろ見て探してください。</p>
<p>私の場合は、その中の学校の標準Wifiの箇所にありました。</p>
<h2 id="%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%92%E8%A7%A3%E9%99%A4%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%AA%E3%83%B3%E3%82%B0%E3%82%92%E8%A7%A3%E9%99%A4%E3%81%99%E3%82%8B" aria-hidden="true"></a> フィルタリングを解除する</h2>
<p>さあ、多分待ち望んでいたであろうことを解説します。</p>
<p>「プロキシはどうやって設定するの？」で解説したとおり、<code>proxy.pac</code>を偽造すればいいのです。<br>
できるの？って思うかもしれません。それができるんです！</p>
<h3 id="%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 方法</h3>
<p>方法としては、DNSサーバーをたてます。<br>
DNSサーバーをたてて、上の例でのフィルタリング自動設定ファイルのドメイン<code>school-filter.com</code>のIPアドレスを変えるのです。</p>
<p>正常時には、以下の図のように<code>proxy.pac</code>を取得しています。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--90fq9iuU--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://github.com/nakasyou/zenn-content/assets/79000684/a44fe92c-709d-41a1-9093-24baaa41ab6d" alt="無題の図形描画 3" loading="lazy" class="md-img"></p>
<p>偽造すると、以下の図のようになります。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--WfJWO90t--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://github.com/nakasyou/zenn-content/assets/79000684/f0101e13-24e0-4b66-aaec-3fa5c4053c9e" alt="無題の図形描画 4" loading="lazy" class="md-img"></p>
<p>このように、偽造した<code>proxy.pac</code>をiPadに送信して読み込ませることによってフィルタリングを解除します。</p>
<p><code>proxy.pac</code>にはもちろんフィルタリングプロキシを通さない設定をしています。</p>
<h3 id="%E7%92%B0%E5%A2%83">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83" aria-hidden="true"></a> 環境</h3>
<p>ここでは、以下の環境を用いています。しかし、他の環境でも動くかもしれません。</p>
<ul>
<li>DNSサーバー用
<ul>
<li>Raspberry Pi 400</li>
<li>Raspberry Pi OS</li>
</ul>
</li>
</ul>
<h3 id="dns%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%82%92%E3%81%9F%E3%81%A6%E3%82%8B">
<a class="header-anchor-link" href="#dns%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%82%92%E3%81%9F%E3%81%A6%E3%82%8B" aria-hidden="true"></a> DNSサーバーをたてる</h3>
<p>DNSサーバーのツールとして、dnsmasqを使います。<br>
まず、インストールしましょう。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> <span class="token function">apt</span> <span class="token function">install</span> dnsmasq
</code></pre></div><p>いつもの感じですね。</p>
<p>すると、<code>/etc/dnsmasq.conf</code>にコンフィグファイルができるはずなので、編集しましょう。<br>
まず、念のためバックアップをとっておきましょう。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> <span class="token function">cp</span> /etc/dnsmasq.conf /etc/dnsmasq.conf.back
</code></pre></div><p>では、編集します。</p>
<p>以下の内容に書き換えましょう。</p>
<div class="code-block-container"><pre class="language-conf"><code class="language-conf"># 自分でもよくわかってない
domain-needed
bogus-priv

# サーバーが解決できなかった時に頼る親DNSサーバ
# ここではGoogle DNS
server=8.8.8.8
server=8.8.4.4

# 名前解決
local=/school-filter.com/ # proxy.pacがあるドメイン
address=/school-filter.com/192.168.2.133 # サーバのアドレス(偽造先)
</code></pre></div><p>のようにします。ここでは、<code>school-filter.com</code>にアクセスしたときに<code>192.168.2.133</code>が表示されるようにします。</p>
<p>設定が完了したので、スタートしましょう。<br>
dnsmasqは53番ポートを使うので、BINDが起動している場合は競合しないようにオフにします。(少なくとも私はオフにしました。依存している可能性もあるので、慎重に)</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">systemctl disable named <span class="token comment"># 自動起動オフ</span>
systemctl stop named <span class="token comment"># ストップ</span>
</code></pre></div><p>さあ、起動します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">systemctl <span class="token builtin class-name">enable</span> dnsmasq <span class="token comment"># ラズパイの電源起動時に自動で開始</span>
systemctl restart named <span class="token comment"># リスタート</span>
</code></pre></div><p>エラーが出なければ、これで起動しました！</p>
<h3 id="dns%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#dns%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> DNSサーバーを設定する</h3>
<p>サーバーで、<code>ifconfig</code>を使い、IPアドレスを取得しましょう。<br>
そのIPアドレスを、iPadの</p>
<ul>
<li>設定 → Wifi → {SSID} → DNSを構成</li>
</ul>
<p>をオンにして、入力すればOKです。</p>
<p>しかし、うまくいかない場合があります。ネットに繋がらなかったり...<br>
その場合は、<code>ifconfig</code>のときに出たIPv4アドレスだけでなく、IPv6アドレスも一緒にiPadに入力してあげればうまくいきます。(うまくいきました)</p>
<h3 id="%E5%81%BD%E9%80%A0%E3%82%B5%E3%83%BC%E3%83%90%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E5%81%BD%E9%80%A0%E3%82%B5%E3%83%BC%E3%83%90%E3%82%92%E4%BD%9C%E6%88%90%E3%81%99%E3%82%8B" aria-hidden="true"></a> 偽造サーバを作成する</h3>
<p><code>proxy.pac</code>の偽造サーバーを作ります。これは超簡単です。</p>
<p><code>proxy.pac</code>にアクセスされたとき、</p>
<div class="code-block-container"><pre class="language-js"><code class="language-js"><span class="token keyword">function</span> <span class="token function"><span class="token maybe-class-name">FindProxyForURL</span></span><span class="token punctuation">(</span><span class="token parameter">url<span class="token punctuation">,</span> host</span><span class="token punctuation">)</span> <span class="token punctuation">{</span>
  <span class="token keyword control-flow">return</span> <span class="token string">"DIRECT"</span>
<span class="token punctuation">}</span>
</code></pre></div><p>と返せば良いだけです。<br>
中身は<code>FindProxyForURL</code>というJavaScriptの関数になっていて、リクエストが飛ぶたびに実行されます。<br>
<code>url</code>と<code>host</code>を受け取り、どのような挙動をするかを返します。</p>
<p>返り値は、だいたいこんな感じです(<a href="https://developer.mozilla.org/ja/docs/Web/HTTP/Proxy_servers_and_tunneling/Proxy_Auto-Configuration_PAC_file#%E8%BF%94%E5%80%A4%E3%81%AE%E5%BD%A2%E5%BC%8F" target="_blank" rel="nofollow noopener noreferrer">実際もっとあります</a>)</p>
<ul>
<li>
<code>DIRECT</code> リクエストはプロキシを介さずに、直接行われます。</li>
<li>
<code>PROXY {host:port}</code> 指定されたプロキシーを使用します。</li>
<li>
<code>SOCKS {host:port}</code> 指定されたSOCKSサーバーを使用する</li>
</ul>
<p>このコードでは常に<code>return "DIRECT"</code>しているので、常にプロキシサーバを使わないという意味です。つまりフィルタリングが解除されます。</p>
<p>私の場合、Denoで</p>
<div class="code-block-container"><pre class="language-ts"><code class="language-ts">Deno<span class="token punctuation">.</span><span class="token function">serve</span><span class="token punctuation">(</span><span class="token punctuation">{</span>
  port<span class="token operator">:</span> <span class="token number">80</span>
<span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token keyword">new</span> <span class="token class-name">Response</span><span class="token punctuation">(</span><span class="token template-string"><span class="token template-punctuation string">`</span><span class="token string">function FindProxyForURL(url, host) {
  return "DIRECT"
}</span><span class="token template-punctuation string">`</span></span><span class="token punctuation">)</span><span class="token punctuation">)</span>
</code></pre></div><p>って書いて実行させました。<br>
ハマりポイントとして、80番ポートはLinuxでは<code>sudo</code>がないと動きません…</p>
<h3 id="%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 動作確認</h3>
<p>試しに、<code>proxy.pac</code>にアクセスしてみてください。偽造されたはずです！</p>
<p>次に、ブロックされるはずのサイトにアクセスすると、回避されるはずです！</p>
<p>そしたら、おめでとうございます！🥳🎉🎉🎉<br>
うまくいかなかったら、残念です😢😢😢</p>
<p>うまくいかなくて元々なんですけどね…w</p>
<h3 id="%E6%B3%A8%E6%84%8F">
<a class="header-anchor-link" href="#%E6%B3%A8%E6%84%8F" aria-hidden="true"></a> 注意</h3>
<p>これらの作業はローカルで動かしているので、家の中じゃないと動かないと思います。</p>
<p>学校でもやって自慢したいって場合は、自分でトンネル作ったりして、外からDNSサーバーと偽造サーバーにアクセスできるようにしてください。</p>
<h2 id="%E5%85%8D%E8%B2%AC%E4%BA%8B%E9%A0%85">
<a class="header-anchor-link" href="#%E5%85%8D%E8%B2%AC%E4%BA%8B%E9%A0%85" aria-hidden="true"></a> 免責事項</h2>
<p>ここに書いてあることについて、私は一切の責任を負いません。</p>


学校のWebフィルタリングの仕組みとその解除方法

プロキシはどうやって設定するの？

zenn-content

Discussion