Protezione totale navigazione internet per minori nella propria lan

[graymalking]

Visto che è un problema che interessa diverse persone penso possa essere utile riportare come ho risolto (penso in maniera abbastanza sicura) il problema nella mia rete.
Cosa serve:
- Un fritxbox
- Un ambiente Linux o un emulatore per crearsi un fw modificato freetz
- Un account opendns

Parte 1 (crearsi un fw modificato)
Si lo so, arrivati a questo punto molti scartano subito l'opzione, ma vi assicuro che è molto più facile di quello che possa sembrare.
L'esempio che riporto è relativo al mio modello di fritzbox ma potete facilmente adattarlo al vosto.
Lo scopo è quello di aggiungere al fw pacchetti:
- curl
- iptables
Curl in particolare ci servirà per mantenere sempre agganciato il servizio di filtraggio di opendsn
Iptables per evitare di bypassare i filtri

Accedere ad un ambiente Linux (esempio Ubuntu) direttamente o tramite emulatore. Dopo aver caricato i pacchetti richiesti per il funzionamento di freetz (vedi wiki) digitare da terminale
>> svn co http://svn.freetz.org/trunk/ freetz-trunk

Al termine della operazione si creerà una cartella freetz-trunk contenente il pacchetto freetz
accedere alla cartella in questione con i seguenti comandi
>> cd freetz-trunk
>> make menuconfig

Si aprirà una finestra come questa:


I dati del modello ovviamente devono essere quelli relativi al proprio fritzbox

Scorrere nella parte bassa fino a trovare la voce
"Packages"
selezionando questa voce avremo due opzioni aggiuntive
- packages


In Packages"/Packages" selezionare le voci di curl

Con analoga metodologia selezionare anche il pacchetto di iptables

Uscire dalla configurazione salvando i cambiamenti.
A questo punto da terminale digitare
>> make
ed attendere che il fw sia compilato,

I pacchetti che si sono caricati non hanno necessità di molto spazio per cui non dovrebbero esserci grossi problemi nella compilazione, nel caso ci fosse il messaggio che lo spazio in memoria non è sufficiente bisognerà prevedere una installazione come external (al limite se ne riparla)
Il file image da caricare sul Fritz lo troverete nella cartella
freetz-trunk/image

Come potete vedere fino a questo punto il Fritz non è stato minimamente toccato per cui non ci deve essere nessun timore di provare a crearsi un fw con freetz .

Anche il caricamento del fw modificato non comporta particolari problemi gli unici accorgimenti sono quelli di tenersi salvate le impostazioni e un eventuale recovery alla versione di partenza.
Caricare il fw come un normale aggiornamento forzando l'opzione quanto verrà segnalato che il fw non è originale.

All'apertura il fw non presenterà particolari differenze da quello originale, per accedere alle funzionalità aggiuntive dovremo digitare da browser
Dal browser digitare: http://192.168.178.1:81/

Utilizzare per il primo accesso:
user: admin
pw: freetz

Modificare la pw di default personalizzandola

La prima fase è conclusa

[graymalking]

Parte 2 servizio filtraggio opendns

registrarsi su:
https://login.opendns.com
(ovviamente la prima volta andando su Don't have an account? Get started!), una volta entrati selezionare parental control



E quindi OPENDNS HOME


Creare il proprio account compilando l’apposito form
Confermare l’attivazione sulla email che sarà arrivata all’indirizzo di registrazione
Verremo rimandati alla pagina principale del sito, selezionare add a network->


Nello spazio apposito potremo inserire l’ip della nostra connessione (che appare scritto anche nella schermata centrale) e quindi si aprirà una schermata come questa



Introdurre il nome che sarà associato alla nostra rete e tenere spuntata la casellina se si ha in dotazione un ip dinamico, lasciare stare il discorso del download perché verrà risolto in modo più consono che dover installare un sw su tutti gli apparecchi che abbiamo in rete.

Riceveremo una ulteriore email per confermare che l’ip è quello corretto dopo di che potremo iniziare.
Riaccediamo se non automaticamente indirizzati alla pagina
Dashboard
Del nostro account opendns e selezioniamo setting, dovremo trovare una cosa del genere



In termini generali l’ip teorico e quello attuale devono coincidere, ovviamente il problema si pone per coloro che hanno ip dinamici di connessione adsl, di seguito vedremo come risolvere il problema
Passiamo ad impostare i filtri alla nostra rete domestica.
Clicchiamo sul l’ip teorico
Ecco delle impostazioni fatte a titolo di esempio


Possiamo anche personalizzare le opzioni selezionando custom e salvando le nostre scelte.
Ovviamente basta poco per capire che le impostazioni possono essere anche più approfondite con selezione di siti da escludere etc.
Finite le impostazioni sul sito opendns passiamo a gestire il fritzbox.

[graymalking]

Parte 3 opzioni sul fritzbox

Iniziamo con il caricare gli indirizzi opendns , cosa molto semplice nei nuovi fw


Nei fw più vecchi le impostazioni dei dns sono più complicate, vi rimando ad appositi thread
A questo punto possiamo testare il funzionamento digitando un indirizzo “vietato” , se tutto è ok dovremo ottenere la schermata di diniego.

Vediamo ora come configurare il fritzbox affinché l’indirizzo ip su opendns resti fissato su quello della nostra rete nonostante il nostro ip dinamico.
Per fare questo ci occorre l’interfaccia freetz in cui abbiamo caricato il pacchetto curl (è un pacchetto che funziona solo via terminale) e crontab (presente anche come interfaccia grafica di default).

Accediamo a questa pagina di freetz


Immaginiamo di esserci registrati su opendns con:
myemail@gmail.com
pw = pippo
nome della rete= nomerete
All’interno del riquadro incolleremo le seguenti 3 righe

* * * * * echo curl -s -k -u myemail@gmail.com:pippo https://updates.opendns.com/nic/update?hostname=nomerete>/var/flash/opendns.sh
* * * * * /bin/chmod 777 /var/flash/opendns.sh
* * * * * /var/flash/opendns.sh



Questa impostazione comunica ogni minute al server opendns il proprio ip e ne consente l’aggiornamento costante
Premere apply ed accertarsi che crontab sia attivo in modo automatico.

Per evitare che possano essere utilizzati dns tipo 8.8.8.8 sulle schede dei pc per bypassare l’uso di opendns è necessario chiudere la porta 53.
Ho fatto diverse prove utilizzando il firewall di freetz senza successo, per cui ho provato ad installare sempre con freetz iptables.
Ecco le impostazioni



Queste sono le regole che potete incollare direttamente nell’apposita pagina (premete poi appy)

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I FORWARD -p tcp --dport 53 -j DROP
-I FORWARD -p udp --dport 53 -j DROP
-I FORWARD -d 208.67.222.222 -p tcp --dport 53 -j ACCEPT
-I FORWARD -d 208.67.220.220 -p udp --dport 53 -j ACCEPT
COMMIT



Dopo l’apply avremo nella pagina editor


In questo modo vengono bloccate gli utilizzi della porta 53 se non per i dns di opendns.
Per verificare il funzionamento impostare il dns della scheda di rete del pc a 8.8.8.8 e fare un ping su di un qualunque sito es: www.libero.it che non dovrà essere risolto.
Reimpostare il dns della scheda di rete con l’ip del fritz o con i dns di opendsn rifare il test che dovrebbe portare alla risposta del ping.

FINE

[Giuseppe]

Greymalking, Buongiorno!
domanda da profano...

Possiedo due apparati 7390 (operativo) e 7170 (di backup) e vorrei chiederti se configurando il 7170 in ata - cascata al 7390 (da cui prende la connessione) sarebbe possibile applicare tale impostazione solo ed esclusivamente al 7170, cui connetterei in wifi solo gli apparati sottoposti a monitoraggio?
Grazie

[graymalking]

il servizio di filtro openddns si applica sull'ip di connessione adsl, la funzione di crontab è proprio quella di mantenere il servizio connesso anche con ip variabile, per cui non puoi applicarlo al fritz a cascata.
Posso comunque dire che il filto è personalizzabile, io ho escluso siti a contenuto porno etc e poichè non interessano manco a me di problemi di navigazione non ne ho mai avuti

[Giuseppe]

Grazie per la risposta!

Tuttavia prima di procedere vorrei avere un quadro completo poichè ho una duplice esigenza; da un lato assicurare continuità alle informazioni di lavoro poichè sono uno Psicologo specializzato in Sessuologia Clinica e, come intuibile, accedo in rete a "contenuti" ad alta sensibilità morale, dall'altro evitare che i minori presenti in casa possano accedere a contenuti inappropriati.

Prima di questo inesorabile aggiornamento (6.20) il lavoro "sporco" lo faceva il fritz (BpJm), ora devo trovare una soluzione poichè anche facendo downgrade (6.04, 6.03) il filtro non è piu attivo!
Ho contattato il supporto tecnico avm e mi hanno proposto una soluzione di workaround (http://it.avm.de/nc/assistenza/fritzbox/fritzbox-7390/banca-dati-informativa/publication/show/1576_Il-filtro-BPjM-non-e-piu-disponibile-dopo-l-aggiornamento-di-FRITZ-OS/)
ma l'idea di non vedere applicate le regole di telefonia (inbound-outbound) fa venire meno un altro dei plus del fritz.
Grazie

[graymalking]

Puoi fare una prova, devi verificare se il 7170 ha la possibilità di gestire il filtro BPjM (anche quando collegato in cascata), se si puoi procedere con la tua idea di base (in pratica attivi il filtro sulla wlan del 7170), in caso contrario una opzione può essere quella di non chiudere la porta 53 (attivi solo crontab). In questo caso se nel tuo pc/dispositivo imposti un dns tipo 8.8.8.8 puoi accedere a siti protetti.
A meno di non avere figli scafatissimi in informatica la sicurezza è già buona.
Se poi il problema è solo su pc puoi sempre applicare il servizio Family Safety di windows.
http://windows.microsoft.com/it-it/windows/set-up-family-safety#set-up-family-safety=windows-8
attivandolo nell'account del figlio

ADDED: ma hai fatto la prova suggerita dall'avm?, io tengo normalmente le impostazioni su "germania" (preferisco il tono libero differente per capire immediatamente se ci sono problemi di linea voip, in caso cada il suono diventa il tu tu italiano) e non ho problemi con l'identificativo di chiamata ed il resto.

[DRAGO.NET]

una domanda...

ma per i siti in htps come si fà?

mi spiego:

se su google cerco:"porn" e vado sulle immagini.....si apre tutto....e la protezione non è attiva; quindi non vale per i siti in https.

Come risolvere definitivamente?

[graymalking]

essendo fuori casa ora non posso testare, considera che il blocco di openvpn non è immediato, ci mette almeno tre minuti e prima di fare la verifica cancella il cache del browser se hai fatto una ricerca precedente al blocco
ADDED
in effetti
http://www.hwupgrade.it/forum/archive/index.php/t-2667773.html

[DRAGO.NET]

editando a dovere tinyproxy e iptables si risolve.....


ho letto di tutto e di più su openwrt....


però si può fare....ci vuole solo qualcuno più bravo di me...(ho brikkato il mio Tp-Link WAG320N nel tentativo di riuscire)

Spero che riusciremo.....con il Fritz

[DRAGO.NET]

non sarebbe più semplice al fine di utilizzare al meglio opendns, inserire nel Freetz in modulo ddclient?

[Contenuto sponsorizzato]