Discussione:
Come limitare la navigazione?
(troppo vecchio per rispondere)
Federico
2004-02-17 17:30:19 UTC
Permalink
Salve a tutti,
ho una piccola rete di 5 pc collegata attraverso uno switch della 3com.
Allo switch è collegato per la navigazione du internet
un piccolo router della zyxel precisamente il Prestige 642R.

Come faccio a limitare la navigazione di
alcuni computer solo su determinati siti??

Grazie anticipatamente a tutti.
fed
Cujo
2004-02-17 17:31:06 UTC
Permalink
Post by Federico
Salve a tutti,
ho una piccola rete di 5 pc collegata attraverso uno switch della 3com.
Allo switch è collegato per la navigazione du internet
un piccolo router della zyxel precisamente il Prestige 642R.
Come faccio a limitare la navigazione di
alcuni computer solo su determinati siti??
Un'idea potrebbe essere quella di usare un DNS interno, fare in modo che
risolva con 127.0.0.1 qualunque dominio che tu vuoi che non sia
raggiungibile E (per evitare che gli utenti si impostino un DNS
alternativo sui clients), proibire tramite il router/fw le connessioni
uscenti dirette alla porta DNS, con l'unica eccezione del dns interno
(che dovrà poter forwardare le richieste).

Non è certo l'UNICA soluzione.

ciao, f.
--
Cujo.
<***@despammed.com>
<http://www.cujo.it>

PGP signed / encrypted mail welcome:
PGP Public Key: <http://www.cujo.it/pgp.txt>
Cosimo
2004-02-17 17:38:54 UTC
Permalink
Post by Cujo
Post by Federico
Come faccio a limitare la navigazione di
alcuni computer solo su determinati siti??
Un'idea potrebbe essere quella di usare un DNS interno, fare in modo
che risolva con 127.0.0.1 qualunque dominio che tu vuoi che non sia
raggiungibile E (per evitare che gli utenti si impostino un DNS
alternativo sui clients), proibire tramite il router/fw le connessioni
uscenti dirette alla porta DNS, con l'unica eccezione del dns interno
(che dovrà poter forwardare le richieste).
Scusa Cujo,
ho capito solo che la tua risposta e' interessante ma non ho capito
perche'? ;-)
Potresti ripetere piu' in dettaglio, per favore? Immagino che tu ti
riferisca alla presenza di un dominio. Non so se la situazione e' quella
di Federico, ma tu intanto argomenti pure sul dominio.

Ciao, MimmoL
Cujo
2004-02-17 18:29:22 UTC
Permalink
Post by Cosimo
Scusa Cujo,
ho capito solo che la tua risposta e' interessante ma non ho capito
perche'? ;-)
LOL :)))))))
Post by Cosimo
Potresti ripetere piu' in dettaglio, per favore? Immagino che tu ti
riferisca alla presenza di un dominio. Non so se la situazione e' quella
di Federico, ma tu intanto argomenti pure sul dominio.
Vediamo se mi riesce di chiarire:

Vuoi evitare che i clients della tua rete vedano il sito
www.superporno.it (ad esempio, non so nemmeno se esiste).

Innanzitutto, installi e configuri un server DNS interno alla tua rete.
Se hai un server Windows devi installare il servizio DNS, altrimenti usa
Bind per Linux.

Tale server deve poter risolvere anche i nomi esterni, ci sono due modi
per farlo: forwarders o root hints. Per motivi che sarebbe lungo
spiegare qui, ti conviene usare i forwarders con connessioni lente (ADSL
comprese, vista la banda tipica in USCITA), altrimenti (HDSL, Fastweb ip
pubblico, ecc) usa le root hints (in ogni caso, funzionano entrambe le
soluzioni, è solo questione di "prestazioni").

Ora, sul server DNS metti una entry per il dominio www.superporno.it,
che punti a 127.0.0.1 (cioè localhost). In questo modo, i clients che
useranno il tuo dns si vedranno restituire l'indirizzo "localhost" al
posto dell'ip di www.superporno.it.

Ora non resta che OBBLIGARE i clients ad usare il TUO dns e non altri
dns. Prima di tutto li devi configurare in modo che abbiano come default
DNS quello da te creato (nelle proprietà di rete se usi ip statici, sul
server DHCP se passi il DNS tramite DHCP).

Resta ancora una cosa, cioè PROIBIRE che i clients usino un DNS
arbitrario impostato dall'utente:

Sul router, fa' in modo che solo l'ip del tuo DNS server possa fare
query dns, ovvero vieta tutto il traffico USCENTE diretto verso la porta
42 (la well known port che corrisponde al servizio DNS), ma consentilo
solo all'ip corrispondente al tuo server DNS (in modo che possa
forwardare le richieste al dns del tuo provider). Per intenderci, in
iptables sarebbe una roba del genere:

iptables -A FORWARD -p tcp --dport 42 -s ! 192.168.123.1 -i eth0 -j DROP

dove 192.168.123.1 è l'ip del tuo server dns interno,
eth0 è l'interfaccia di rete INTERNA al tuo router.

Se il tuo router non fa NAT/firewalling non credo tu lo possa fare.

Nota: E' sempre possibile, in questo modo, navigare sui siti "bloccati"
inserendo l'ip. Tuttavia è molto scomodo farlo. Se hai esigenze
"maggiori" dovresti installare un server proxy, obbligare i clients ad
usarlo (o con l'escamotage di cui prima sulla porta 80 anzichè 42, o
configurandolo come "transparent").

Infine puoi sempre cazziare gli ip che vuoi non siano raggiunti dal
router/firewall, ma non ritengo proficuo metter mano alle regole del
firewall ogni volta che vuoi bannare un sito. Ho come l'idea che le
regole di filtering debbano essere più brevi e chiare possibili, e ci si
debba metter mano meno possibile.

Gran parte di quello che ho scritto, è da intendersi "IMHO" ... :)

ciao, f.
--
Cujo.
<***@despammed.com>
<http://www.cujo.it>

PGP signed / encrypted mail welcome:
PGP Public Key: <http://www.cujo.it/pgp.txt>
Cosimo
2004-02-17 18:54:38 UTC
Permalink
Cujo, sono contento di averti provocato. Sei stato chiarissimo! Non era
vero che non avevo capito proprio niente ;-) ma la tua idea era
interessante e mi interessava che tu la sviluppassi piu' concretamente e
Post by Cujo
Vuoi evitare che i clients della tua rete vedano il sito
www.superporno.it (ad esempio, non so nemmeno se esiste).
Io ci ho cliccato sopra (figurati se non lo inventavano) ma sono rimasto
deluso. Ecco il risultato:
"Impossibile trovare il server o errore DNS". :-D

Adesso Federico ci dovrebbe dire se e' soddisfatto o se nel suo caso ha
a che fare con un woorkgroup e, allora, la questione rimarrebbe aperta.
[Si potrebbe intervenire ugualmente sul router con qualche
filtraggio...?]

MimmoL
Cujo
2004-02-18 02:53:15 UTC
Permalink
Post by Cosimo
Io ci ho cliccato sopra (figurati se non lo inventavano) ma sono rimasto
"Impossibile trovare il server o errore DNS". :-D
Provato anch'io... :)
Post by Cosimo
Adesso Federico ci dovrebbe dire se e' soddisfatto o se nel suo caso ha
a che fare con un woorkgroup e, allora, la questione rimarrebbe aperta.
Workgroup o no non fa alcuna differenza. Fai le stesse cose nello stesso
modo.

<divagazione>

La parola "dominio", in ambito Microsoft, per intenderci la parola
"dominio" in contrapposizione a "workgroup" è una delle solite ca..ate
alla Microsoft.

A dire il vero la parola "dominio" è sicuramente adatta a descrivere ciò
che Microsoft intende, ma avrebbero potuto tranquillamente sceglierne
un'altra ("ambito", "scope", ...) prevedendo che gran parte delle
persone avrebbe fatto (e infatti fa) confusione tra il loro significato
di dominio e quello più diffuso di nome di dominio (nel senso "web").

Anzi, io avrei "droppato" del tutto il termine "dominio" per usare solo
"active directory". E' vero che i domini NT esistevano da ben prima di
Active Directory, tuttavia a quel tempo non erano che "autenticazioni
centralizzate", nulla di strabiliante e che meritasse un nome così
"pomposo". IMHO. :)

</divagazione>

ciao, f.
--
Cujo.
<***@despammed.com>
<http://www.cujo.it>

PGP signed / encrypted mail welcome:
PGP Public Key: <http://www.cujo.it/pgp.txt>
Federico
2004-02-18 10:14:23 UTC
Permalink
Grazie ragazzi siete stati gentilissimi,
anche se speravo in un altro sistema...
tipo gestire una access list nel bios del router

Cmq provero' come dite voi.
grazie mille
Post by Cujo
Post by Cosimo
Io ci ho cliccato sopra (figurati se non lo inventavano) ma sono rimasto
"Impossibile trovare il server o errore DNS". :-D
Provato anch'io... :)
Post by Cosimo
Adesso Federico ci dovrebbe dire se e' soddisfatto o se nel suo caso ha
a che fare con un woorkgroup e, allora, la questione rimarrebbe aperta.
Workgroup o no non fa alcuna differenza. Fai le stesse cose nello stesso
modo.
<divagazione>
La parola "dominio", in ambito Microsoft, per intenderci la parola
"dominio" in contrapposizione a "workgroup" è una delle solite ca..ate
alla Microsoft.
A dire il vero la parola "dominio" è sicuramente adatta a descrivere ciò
che Microsoft intende, ma avrebbero potuto tranquillamente sceglierne
un'altra ("ambito", "scope", ...) prevedendo che gran parte delle
persone avrebbe fatto (e infatti fa) confusione tra il loro significato
di dominio e quello più diffuso di nome di dominio (nel senso "web").
Anzi, io avrei "droppato" del tutto il termine "dominio" per usare solo
"active directory". E' vero che i domini NT esistevano da ben prima di
Active Directory, tuttavia a quel tempo non erano che "autenticazioni
centralizzate", nulla di strabiliante e che meritasse un nome così
"pomposo". IMHO. :)
</divagazione>
ciao, f.
--
Cujo.
<http://www.cujo.it>
PGP Public Key: <http://www.cujo.it/pgp.txt>
Infinity
2004-02-18 10:06:58 UTC
Permalink
Il giorno Tue, 17 Feb 2004 18:54:38 GMT, nel gruppo it.comp.reti.locali,
Post by Cosimo
Post by Cujo
www.superporno.it (ad esempio, non so nemmeno se esiste).
Io ci ho cliccato sopra (figurati se non lo inventavano) ma sono rimasto
"Impossibile trovare il server o errore DNS". :-D
Beh, ha ".IT" come dominio di primo livello, ed in Italia quei siti sono
(quasi) del tutto vietati. Se provi con .COM, l'URL va a buon fine. ;)
No, non ci sono andato: ho visto con Whois che l'indirizzo esiste. :))
Ciao! :-)
--
-----
| NFINITY is so far as you want to see.
-----
Se vuoi rispondermi in E-Mail, occhio alla FREGATURA. ;-)
ObiWan
2004-02-17 18:06:26 UTC
Permalink
Post by Cujo
Un'idea potrebbe essere quella di usare un DNS interno, fare
in modo che risolva con 127.0.0.1 qualunque dominio che tu vuoi
che non sia raggiungibile E (per evitare che gli utenti si impostino
un DNS alternativo sui clients), proibire tramite il router/fw le
connessioni
Post by Cujo
uscenti dirette alla porta DNS, con l'unica eccezione del dns interno
(che dovrà poter forwardare le richieste).
Hm interessante idea ... oltretutto si potrebbero utilizzare
le "views" di BIND9 per limitare tale "blocco" soltanto a
determinati clients (IP) lasciando gli altri liberi di navigare
senza limitazioni... (per inciso ho già fatto una cosa simile)
un'altra soluzione potrebbe essere quella di utilizzare un
proxy (e forzare l'uso del proxy) che filtri le richieste .. ma

<quote>
ho una piccola rete di 5 pc collegata attraverso uno switch
della 3com. Allo switch è collegato per la navigazione su
internet un piccolo router della zyxel precisamente il
Prestige 642R.
</quote>

suppongo che al momento tutti i clients siano "paritetici" e
che non ci sia un "server" sulla LAN, per cui a meno di non
installare un'ulteriore computer entrambe le soluzioni non
sono attuabili .. e .. installando un'ulteriore computer .. beh
la soluzione potrebbe essere IPCop + DansGuardian :-)

Ciao
--
* ObiWan

DNS "fail-safe" for Windows 2000 and 9X clients.
http://ntcanuck.com

Support and discussions forum
http://ntcanuck.com/net/board

408 XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Cujo
2004-02-18 03:10:46 UTC
Permalink
Post by ObiWan
Hm interessante idea ...
grazie ! :)
Post by ObiWan
oltretutto si potrebbero utilizzare
le "views" di BIND9 per limitare tale "blocco" soltanto a
determinati clients (IP) lasciando gli altri liberi di navigare
senza limitazioni... (per inciso ho già fatto una cosa simile)
Hmmm... io invece no, ma mi pare interessante e indagherò. Bind mi sono
limitato a compilarlo, installarlo e configurarlo in situazioni molto
semplici, e non ho ancora avuto tempo di smanettarci oltre.

A dire il vero, il prossimo passo che mi ero proposto è quello di
configurare Bind e dhcpd in modo che i clients vengano registrati nel
DNS quando viene loro assegnato un ip. Suppongo che la strada sia quella
dei Dynamic Updates, ma dovrò scartabellare ancora un po' prima di
riuscire a farlo. :)
Post by ObiWan
suppongo che al momento tutti i clients siano "paritetici" e
che non ci sia un "server" sulla LAN, per cui a meno di non
installare un'ulteriore computer entrambe le soluzioni non
sono attuabili .. e .. installando un'ulteriore computer .. beh
la soluzione potrebbe essere IPCop + DansGuardian :-)
Questo senz'altro ! (La soluzione migliore non mi viene mai in mente per
prima). Se poi le sue esigenze sono solo ban sui siti (conoscendo l'ip),
se la cava anche senza dansguardian, ovvero:

Se la rete NON ha Active Directory ALLORA PUO' fare a meno di un server
DNS interno. Ma allora, la soluzione più comoda è quella di abilitare il
DNS proxy su ipcop. A quel punto, dovrebbe bastare mettere le entry
fittizie (www.superporno.com -> 127.0.0.1) nel file hosts di ipcop, che
dovrebbe essere parsato PRIMA di sparare la query all'esterno. Scrivo
"dovrebbe" perchè non mi giocherei i testicoli sul fuoco che il
comportamento sia questo, tuttavia lo ritengo probabile. Anzi, domani lo
verifico.

Se però c'e' Active Directory hai già per forza (requisito di AD) un DNS
interno, e ti tocca agire lì.

ciao, f.
--
Cujo.
<***@despammed.com>
<http://www.cujo.it>

PGP signed / encrypted mail welcome:
PGP Public Key: <http://www.cujo.it/pgp.txt>
ObiWan
2004-02-18 10:23:37 UTC
Permalink
Post by Cujo
Post by ObiWan
Hm interessante idea ...
grazie ! :)
:-)
Post by Cujo
Post by ObiWan
oltretutto si potrebbero utilizzare
le "views" di BIND9 per limitare tale "blocco" soltanto a
determinati clients (IP) lasciando gli altri liberi di navigare
senza limitazioni... (per inciso ho già fatto una cosa simile)
Hmmm... io invece no, ma mi pare interessante e indagherò. Bind mi sono
limitato a compilarlo, installarlo e configurarlo in situazioni molto
semplici, e non ho ancora avuto tempo di smanettarci oltre.
Beh ... diciamo che BIND l'ho compilato, ricompilato, modificato
e molto altro <g> in pratica l'ho rivoltato come un calzino ed ho
pure corretto una marea di buchi nel sorgente :-)
Post by Cujo
A dire il vero, il prossimo passo che mi ero proposto è quello di
configurare Bind e dhcpd in modo che i clients vengano registrati nel
DNS quando viene loro assegnato un ip. Suppongo che la strada sia quella
dei Dynamic Updates, ma dovrò scartabellare ancora un po' prima di
riuscire a farlo. :)
Si .. vedi l'opzione "allow-update" occhio cmq ad impostare
le keys (rndc.key ....) corrette sia in BIND che in DHCPD in
modo da permettere al DHCP di aggiornare il tutto :-)
Post by Cujo
Se la rete NON ha Active Directory ALLORA PUO'
fare a meno di un server DNS interno.
Beh .. riposto il messaggio originale ..

<post>
Post by Cujo
ho una piccola rete di 5 pc collegata attraverso uno switch della 3com.
Allo switch è collegato per la navigazione du internet
un piccolo router della zyxel precisamente il Prestige 642R.
</post>

non credo che una rete come sopra abbia AD o tantomeno un server
sono solo 5 pc connessi allo zyxel che probabilmente fa anche da
DHCP e DNS forward...
Post by Cujo
Ma allora, la soluzione più comoda è quella di abilitare il DNS proxy
su ipcop. A quel punto, dovrebbe bastare mettere le entry fittizie
(www.superporno.com -> 127.0.0.1) nel file hosts di ipcop, che
dovrebbe essere parsato PRIMA di sparare la query all'esterno.
Scrivo "dovrebbe" perchè non mi giocherei i testicoli sul fuoco che
il comportamento sia questo, tuttavia lo ritengo probabile. Anzi,
domani lo verifico.
Hmm .. non sono sicuro che hosts funzioni.. a questo punto meglio
(molto meglio imo) utilizzare le ACL di squid per bloccare i siti, ad
esempio qui http://pgl.yoyo.org/adservers/ trovi un comodissimo
script che genera la block list in vari formati (incluso BIND e SQUID)
Post by Cujo
Se però c'e' Active Directory hai già per forza (requisito di AD) un
DNS interno, e ti tocca agire lì.
Naaa .. basterebbe configurare il DNS interno (AD) in modo da usare
il "DNS" (è solo un forward/cache) di IPCop come forwarder e le cose
resterebbero come sopra :-)

Ciao

PS: a proposito di BIND .. dai un'occhiata in "sig" :-)
--
* ObiWan

DNS "fail-safe" for Windows 2000 and 9X clients.
http://ntcanuck.com

Support and discussions forum
http://ntcanuck.com/net/board

408 XP/2000 tweaks and tips
http://ntcanuck.com/tq/Tip_Quarry.htm
Continua a leggere su narkive:
Loading...