Implementing Google's Tech Note

You cannot have both the ability to control what sites people go to as well as not interfering with their devices.  It is a trade off - convenience versus control/security.

Is the church really concerned that people will be doing google searches for ****ography?  How common is that inside a church?  Either the church sets a bar for admission (eg if you want to browse the web you must install this first) or it trusts its congregation (we'll block what we can easily, but if you transgress the rules that is on you).

I have not tried Google's Tech Note about forcing to non-SSL only.  If it can be implemented, it may work.

I don't quite understand what you mean by text searches work and image searches don't.  It is the exact same implementation.  If there are images that are coming through that is on Google.  There was a bunch of news stories a few months ago about students who would image search for 0000000 and get nude pictures - this is because those numbers were in the filename and Google had not flagged the picture as ****ographic.  That is a google flagging issue.  If that is what you are running into, then the tech note wont help you.

Search for the word "p o r n".  You should see the following text in both text and image search.  If it is one and not the other, let me know.
>The word "****" has been filtered from the search because Google SafeSearch is active.

You can't do it in WebAdmin, and, since it's a paid license, you probably don't want to do it from the command line as that could void support.

You could change the configuration in /var/sec/chroot-bind, if you know how to work with BIND.

That probably leaves you with another name server inside the church's network.

Cheers - Bob
PS Yeah, a neighborhood church gets similar help from me.  They've been very helpful to the neighborhood and I was on the neighborhood board for ten years.

Thank you again BAlfson and William Dunn!

You cannot have both the ability to control what sites people go to as well as not interfering with their devices. It is a trade off - convenience versus control/security.

It might be obvious to some, but the above concept is fundamental and what I suspected to be the state-of-the art. I just could not find it stated this way in the docs or here.  Thanks you!

Is the church really concerned that people will be doing google searches for ****ography?

There is a saying among pastors you may not have heard "When Satan fell from heaven he landed in the Choir loft" [;)]

You can't do it in WebAdmin...

Maybe a feature request?

Looks like I'll be putting up a Raspberry Pi with dnsmasq....

Thanks Michael Dunn,
I'm not crazy [;)]

So the scenario is a church that wants to content filter, yet allow people to bring their own devices.  BTW, I'm volunteering my time to figure this out.

There is no AD in place to push out a policy, besides it's basically public access to a segmented wireless AP.  
The URL filtering works great, it's the image search that's the issue.

So given this, implementing Google's tech-note seems like a reasonable solution, yes?

Can I do the CNAME change in UTM or do I need to have an external DNS server to do this?

Thanks again

No.  I have a church client.  it is understood as a matter of policy that if you BYOD it is on the free wifi network..it is not able to connect to the internal wifi or network...period.  It is also understood that the free wifi is subject to the same filtering policies of the internal network.  If you don't like it..don't connect.

If they want the image search to be implemented within https HTTPS scanning must be fully enabled on everything.  That's the nature of https.  I'm not a fan of BYOD.  I think it's a horrid idea and i do not have a single client that has access to anything sensitive on non corporate owned devices..simply because of the pretzel you are trying to turn your IT environment into.  I've had several clients turn me down due to this stance only to come back to me later once they had the inevitable breach the BYOD brings.

So just to follow-up on this issue....
I pointed the DNS forwarders in UTM to a RaspberryPi running dnsmasq on the same network.  
dnsmasq is configured to use the /etc/hosts file to resolve name requests, so I've added 

216.239.32.20    www.google.com

 to the /etc/hosts file on the RaspberryPi.  216.239.32.20 is the ip address for nosslsearch.google.com.  
BTW, dnsmasq then uses OpenDNS (family friendly of course) if the name is not in the local cache. (note: I added a dns firewall rule to let just the RaspberryPi get out to OpenDNS).

In Web Protection.Web Filter Profiles.Filter Actions.Edit.Additional Options: Google, Bing and Yahoo safe search are turned on.  The proxy is in transparent  mode and URL filtering only.  

Now, with a workstation w/o a UTM cert, if I search for something like "naked girls" on google.com I get the safe search message in the results that says "naked" was removed from the search and google-cleaned results are returned.  If I click the "images" link in the same search results, I just get image results from "girls" with the note that safe search has removed "naked" from the search as well.

This is the result I predicted/expected based on the concepts discussed here.  Prior to this the Google safe search would not "work" unless I put a UTM cert on the client workstation.

All said, if, in a feature update, an option could be added to alias www.google.* with nosslsearch.google.com that would be cool for these kinds of situations.

Thanks all for the clarifications.  Hope this is of value to someone else down the line.

Ciao

Thanks William for your input.

Just as an aside to the topic at hand.  The wireless access is segmented and logically isolated.

The above solution I've described improves the content filtering for these BYOD's.

So just to follow-up on this issue....
I pointed the DNS forwarders in UTM to a RaspberryPi running dnsmasq on the same network.  
dnsmasq is configured to use the /etc/hosts file to resolve name requests, so I've added 

216.239.32.20    www.google.com

 to the /etc/hosts file on the RaspberryPi.  216.239.32.20 is the ip address for nosslsearch.google.com.  
BTW, dnsmasq then uses OpenDNS (family friendly of course) if the name is not in the local cache. (note: I added a dns firewall rule to let just the RaspberryPi get out to OpenDNS).

In Web Protection.Web Filter Profiles.Filter Actions.Edit.Additional Options: Google, Bing and Yahoo safe search are turned on.  The proxy is in transparent  mode and URL filtering only.  

Now, with a workstation w/o a UTM cert, if I search for something like "naked girls" on google.com I get the safe search message in the results that says "naked" was removed from the search and google-cleaned results are returned.  If I click the "images" link in the same search results, I just get image results from "girls" with the note that safe search has removed "naked" from the search as well.

This is the result I predicted/expected based on the concepts discussed here.  Prior to this the Google safe search would not "work" unless I put a UTM cert on the client workstation.

All said, if, in a feature update, an option could be added to alias www.google.* with nosslsearch.google.com that would be cool for these kinds of situations.

Thanks all for the clarifications.  Hope this is of value to someone else down the line.

Ciao

don't expect the nosslsearch to work for long.  google is actively pushing for and will use ssl only for everything.  For now your solution works..glad it does..[:)]