Comments on: Realizzare un rudimentale content filtering usando un server DNS

By: Andrea Beggi » Un tapullo per filtrare gratis il traffico internet

Andrea Beggi » Un tapullo per filtrare gratis il traffico internet — Mon, 08 Mar 2010 07:22:59 +0000

[...] I sistemi di content filtering possono essere costosi e/o impegnativi nella manutenzione per aziende di piccole dimensioni che magari dispongono a malapena un firewall. Ci sono un paio di tecniche che permettono di filtrare abbastanza agevolmente senza dover fare alcun investimento. Il principio è controllare le query DNS, intercettando i domini da bloccare e/o utilizzando l’apposito servizio gratuito fornito da OpenDNS. Della situazione speculare, il blocco totale con pochi domini in whitelist avevo già parlato qui. [...]

By: Helena

Helena — Fri, 21 Nov 2008 10:39:57 +0000

Ciao, ho utilizzato questa opzione del DNS sul Server di Dominio. Ho inserito una trentina di siti e funzionava tutto alla perfezione.
Due giorni fa’ senza che fosse stato fatto nessun cambiamento sul Server alcuni siti sono tornati visibili mentre altri sono rimasti bloccati; non capisco il perche’ e con quale criterio.
Ho chiaramente provato a fermare e riavviare il servizio e riavviare il Server, ma niente non funziona piu’ al 100%.
A cosa puo’ essere dovuto ?
Grazie anticipatamente.

Hel.

By: Fabio

Fabio — Mon, 29 Sep 2008 09:10:08 +0000

Andrea,
se forzi su tt i pc il default gateway verso una macchina che non esiste (o che esiste ma che non è il router, che verrebbe inondata di traffico…),
e se forzi allo stesso tempo una rotta statica verso l’ip dell’unico sito consentito, utilizzando come next hop il router, è una soluzione più a prova di smanettone ?
utenti che vanno a curiosare la “tabella di routing” del pc… diventa davvero improbabile!
coniugando questa route poisoning con il server dns non ricorsivo..
che ne pensi ?

By: RSS Week #22: articoli interessanti che ho trascurato - Matteo Moro

RSS Week #22: articoli interessanti che ho trascurato - Matteo Moro — Sat, 27 Sep 2008 08:01:19 +0000

[...] Realizzare un rudimentale content filtering usando un server DNS [...]

By: Gianni

Gianni — Fri, 26 Sep 2008 14:58:27 +0000

Salve Dr BEGGI!

Complimenti per il suo formative blog!!

Sfruttando la sua competenza in NETWORKING (ah se potessi tornare indietro…) Le vorrei fare una domanda:

come si fa a bloccare l’accesso al proprio sito o forum a utenti indesiderati?

Lei o i qui presenti poterste indicarmi un link dove c’è un TUTORIAL per BEGINNERS (quindi non troppo complicato…LOL!) in cui si spiega passo per passo la procedura da attuare (va bene anche in inglese)??

So che occorre introdurre un codice JAVASCRIPT…e ho sentito parlare anche di un file denominato file .htaccess (da mettere nel root folder del sito??? Boh!!) ma questi per ora sono tutti concetti solo teorici e astratti per me, non essendo un informatico!!

Voi mi insegnate che il blocco può essere applicato a:

* utenti registrati al sito con un email account
* indirizzi IP anonimi (PROXY)
* gruppi di indirizzi IP in caso di IP dinamici
* aree territoriali o interi paesi (si veda qui:http://www.maxlaconca.com/517/bloccare-laccesso-al-proprio-sito-da-un-intero-paese e http://www.blockacountry.com/)

So anche che è possibile impedire di visualizzare una determinata pagina web a determinati utenti o mettere FILTRI AD PERSONAM ad alcune parole usate più spesso dagli utenti indesiderati (nick o parole o parolacce maggiormente presenti nei loro messaggi…):giusto??

E come si fa in pratica a fare tutto questo??

Vi chiederete: ma perché ti interessano improvvisamente queste cose se non hai conoscenze di NETWORKING e soprattutto se non sei mai stato un AMMINISTRATORE DI UN SITO?

Beh la risposta è un pò per curiosità (mi hanno spesso bloccato in altri FORUM l’IP o persino i PROXIES con l’operazione di BLINDING o la mia email con cui mi ero certificato al sito semplicemente perché non la pensavo come la maggioranza dei partecipanti al medesimo forum…ci credete??) e un pò perché ho intenzione di aprire presto un sito o un blog anticonformiste che penso farà molto rumore fornendo notizie che difficilmente si trovano in rete …

E siccome mi sono fatto molti NEMICI IN RETE (ma non chiedetemi perché essendo troppo lungo a spiegarvelo…LOL!!) ho come la sensazione che sarò assaltato da SPAMMERS, HACKERS, LAMERS etc…e da altra gentaglia pronta a distruggermi il blog o sito.

Attendo con ansia una sua esauriente risposta al riguardo.

Saluti

By: Lorenzo

Lorenzo — Thu, 25 Sep 2008 18:15:33 +0000

Come indicato nei “contro”, è una soluzione forse poco elegante, ma decisamente semplice da realizzare e da mantenere, sempre che non ci siano utenti smanettoni, ma sicuramente Andrea, che l’ha realizzato, ha tarato la soluzione in base all’utenza che utilizza il sistema.

By: marco

marco — Thu, 25 Sep 2008 07:47:46 +0000

a-haaa, ma non è possibile … l’ho fatto anch’io una volta, in uno studio dentistico a Brescia! Soluzione abbandonata dopo 3 settimane, causa solito piratello in erba!
io però cercai di fare anche una zona per microsoft.com. per consentire il windows update, che mi dette un mucchio di problemi, a causa dei redirect che fa il servizio. Alla fine, visto che soprattutto il primo problema non era risolvibile, si optò per il firewall.

By: Andrea

Andrea — Wed, 24 Sep 2008 22:14:11 +0000

Matteo: è un server con un db delicato, voglio toccarlo poco e soprattutto fare cose semplici.

Mc100: il router lo ha fornito Telecom; come sai avere una linea “nuda” da quei mentecatti è complicato e foriero di scaricabarile in caso di problemi.

By: alezzandro

alezzandro — Wed, 24 Sep 2008 21:50:30 +0000

“Se i domini da risolvere cambiano IP, la modifica non si propaga…”

Secondo me con la ASL non corri questo problema…

By: mc100

mc100 — Wed, 24 Sep 2008 21:11:07 +0000

mah… questa volta non sono molto d’accordo.
Se prima non aveva internet, non aveva neppure un router, quindi un router doveva comunque comperarlo.

Tanto valeva spendere 2 spicci (ma proprio 2 spicci) in piu’ e prendere un qualsiasi modello con le funzioni di firewall.

By: Matteo

Matteo — Wed, 24 Sep 2008 19:58:31 +0000

Ma perché invece non installi VirtualBox sul server Windows e crei una vm IPCop che filtri il traffico? In alternativa potresti provare Untangle per Windows.

By: Fabio

Fabio — Wed, 24 Sep 2008 15:47:13 +0000

semplice e immediato.
il tuo amico sarà sicuramente contento.

in effetti si aggira in un secondo, tuttavia conosco un utente su 100 che sappia cosa sia, a cosa serva un DNS server ed eventualmente come si faccia a cambiare sul pc.
ci sono buone chances che il sistema non venga bypassato.

Per bloccare il server dns sulle macchine locali potresti impostare gli utenti del dominio, come non administrator (user) della macchina locale (se non devono installare ogni 5 minuti un software spazzatura potrebbe anche essere un’idea buona) o forzarlo con una GPO.

Stavo riflettendo…
se il server avesse due schede di rete, abiliti il servizio routing sul server, e sulla NIC “WAN” (quella che è collegata al router ADSL) metti un bel filtro in modo che possa consentire il traffico solo verso il pubblico del sito.
costa una scheda di rete, e un’ora di lavoro!
A quel punto… non vedo come si possa aggirare il sistema!

By: Max

Max — Wed, 24 Sep 2008 15:06:31 +0000

per semplificare ulteriormente, se non hai un dns sottomano fai la stessa cosa con il file hosts, oltretutto puoi fare la “include” (o import, non ricordo bene) di un file comune a tutti, cosi le modifiche le fai solo li…

Max.