Protezione totale navigazione internet per minori nella propria lan
3 partecipanti
Pagina 1 di 1
Protezione totale navigazione internet per minori nella propria lan
Visto che è un problema che interessa diverse persone penso possa essere utile riportare come ho risolto (penso in maniera abbastanza sicura) il problema nella mia rete.
Cosa serve:
- Un fritxbox
- Un ambiente Linux o un emulatore per crearsi un fw modificato freetz
- Un account opendns
Parte 1 (crearsi un fw modificato)
Si lo so, arrivati a questo punto molti scartano subito l'opzione, ma vi assicuro che è molto più facile di quello che possa sembrare.
L'esempio che riporto è relativo al mio modello di fritzbox ma potete facilmente adattarlo al vosto.
Lo scopo è quello di aggiungere al fw pacchetti:
- curl
- iptables
Curl in particolare ci servirà per mantenere sempre agganciato il servizio di filtraggio di opendsn
Iptables per evitare di bypassare i filtri
Accedere ad un ambiente Linux (esempio Ubuntu) direttamente o tramite emulatore. Dopo aver caricato i pacchetti richiesti per il funzionamento di freetz (vedi wiki) digitare da terminale
>> svn co http://svn.freetz.org/trunk/ freetz-trunk
Al termine della operazione si creerà una cartella freetz-trunk contenente il pacchetto freetz
accedere alla cartella in questione con i seguenti comandi
>> cd freetz-trunk
>> make menuconfig
Si aprirà una finestra come questa:
I dati del modello ovviamente devono essere quelli relativi al proprio fritzbox
Scorrere nella parte bassa fino a trovare la voce
"Packages"
selezionando questa voce avremo due opzioni aggiuntive
- packages
In Packages"/Packages" selezionare le voci di curl
Con analoga metodologia selezionare anche il pacchetto di iptables
Uscire dalla configurazione salvando i cambiamenti.
A questo punto da terminale digitare
>> make
ed attendere che il fw sia compilato,
I pacchetti che si sono caricati non hanno necessità di molto spazio per cui non dovrebbero esserci grossi problemi nella compilazione, nel caso ci fosse il messaggio che lo spazio in memoria non è sufficiente bisognerà prevedere una installazione come external (al limite se ne riparla)
Il file image da caricare sul Fritz lo troverete nella cartella
freetz-trunk/image
Come potete vedere fino a questo punto il Fritz non è stato minimamente toccato per cui non ci deve essere nessun timore di provare a crearsi un fw con freetz .
Anche il caricamento del fw modificato non comporta particolari problemi gli unici accorgimenti sono quelli di tenersi salvate le impostazioni e un eventuale recovery alla versione di partenza.
Caricare il fw come un normale aggiornamento forzando l'opzione quanto verrà segnalato che il fw non è originale.
All'apertura il fw non presenterà particolari differenze da quello originale, per accedere alle funzionalità aggiuntive dovremo digitare da browser
Dal browser digitare: http://192.168.178.1:81/
Utilizzare per il primo accesso:
user: admin
pw: freetz
Modificare la pw di default personalizzandola
La prima fase è conclusa
Cosa serve:
- Un fritxbox
- Un ambiente Linux o un emulatore per crearsi un fw modificato freetz
- Un account opendns
Parte 1 (crearsi un fw modificato)
Si lo so, arrivati a questo punto molti scartano subito l'opzione, ma vi assicuro che è molto più facile di quello che possa sembrare.
L'esempio che riporto è relativo al mio modello di fritzbox ma potete facilmente adattarlo al vosto.
Lo scopo è quello di aggiungere al fw pacchetti:
- curl
- iptables
Curl in particolare ci servirà per mantenere sempre agganciato il servizio di filtraggio di opendsn
Iptables per evitare di bypassare i filtri
Accedere ad un ambiente Linux (esempio Ubuntu) direttamente o tramite emulatore. Dopo aver caricato i pacchetti richiesti per il funzionamento di freetz (vedi wiki) digitare da terminale
>> svn co http://svn.freetz.org/trunk/ freetz-trunk
Al termine della operazione si creerà una cartella freetz-trunk contenente il pacchetto freetz
accedere alla cartella in questione con i seguenti comandi
>> cd freetz-trunk
>> make menuconfig
Si aprirà una finestra come questa:
I dati del modello ovviamente devono essere quelli relativi al proprio fritzbox
Scorrere nella parte bassa fino a trovare la voce
"Packages"
selezionando questa voce avremo due opzioni aggiuntive
- packages
In Packages"/Packages" selezionare le voci di curl
Con analoga metodologia selezionare anche il pacchetto di iptables
Uscire dalla configurazione salvando i cambiamenti.
A questo punto da terminale digitare
>> make
ed attendere che il fw sia compilato,
I pacchetti che si sono caricati non hanno necessità di molto spazio per cui non dovrebbero esserci grossi problemi nella compilazione, nel caso ci fosse il messaggio che lo spazio in memoria non è sufficiente bisognerà prevedere una installazione come external (al limite se ne riparla)
Il file image da caricare sul Fritz lo troverete nella cartella
freetz-trunk/image
Come potete vedere fino a questo punto il Fritz non è stato minimamente toccato per cui non ci deve essere nessun timore di provare a crearsi un fw con freetz .
Anche il caricamento del fw modificato non comporta particolari problemi gli unici accorgimenti sono quelli di tenersi salvate le impostazioni e un eventuale recovery alla versione di partenza.
Caricare il fw come un normale aggiornamento forzando l'opzione quanto verrà segnalato che il fw non è originale.
All'apertura il fw non presenterà particolari differenze da quello originale, per accedere alle funzionalità aggiuntive dovremo digitare da browser
Dal browser digitare: http://192.168.178.1:81/
Utilizzare per il primo accesso:
user: admin
pw: freetz
Modificare la pw di default personalizzandola
La prima fase è conclusa
Ultima modifica di graymalking il Lun Dic 08, 2014 5:32 am - modificato 3 volte.
Re: Protezione totale navigazione internet per minori nella propria lan
Parte 2 servizio filtraggio opendns
registrarsi su:
https://login.opendns.com
(ovviamente la prima volta andando su Don't have an account? Get started!), una volta entrati selezionare parental control
E quindi OPENDNS HOME
Creare il proprio account compilando l’apposito form
Confermare l’attivazione sulla email che sarà arrivata all’indirizzo di registrazione
Verremo rimandati alla pagina principale del sito, selezionare add a network->
Nello spazio apposito potremo inserire l’ip della nostra connessione (che appare scritto anche nella schermata centrale) e quindi si aprirà una schermata come questa
Introdurre il nome che sarà associato alla nostra rete e tenere spuntata la casellina se si ha in dotazione un ip dinamico, lasciare stare il discorso del download perché verrà risolto in modo più consono che dover installare un sw su tutti gli apparecchi che abbiamo in rete.
Riceveremo una ulteriore email per confermare che l’ip è quello corretto dopo di che potremo iniziare.
Riaccediamo se non automaticamente indirizzati alla pagina
Dashboard
Del nostro account opendns e selezioniamo setting, dovremo trovare una cosa del genere
In termini generali l’ip teorico e quello attuale devono coincidere, ovviamente il problema si pone per coloro che hanno ip dinamici di connessione adsl, di seguito vedremo come risolvere il problema
Passiamo ad impostare i filtri alla nostra rete domestica.
Clicchiamo sul l’ip teorico
Ecco delle impostazioni fatte a titolo di esempio
Possiamo anche personalizzare le opzioni selezionando custom e salvando le nostre scelte.
Ovviamente basta poco per capire che le impostazioni possono essere anche più approfondite con selezione di siti da escludere etc.
Finite le impostazioni sul sito opendns passiamo a gestire il fritzbox.
registrarsi su:
https://login.opendns.com
(ovviamente la prima volta andando su Don't have an account? Get started!), una volta entrati selezionare parental control
E quindi OPENDNS HOME
Creare il proprio account compilando l’apposito form
Confermare l’attivazione sulla email che sarà arrivata all’indirizzo di registrazione
Verremo rimandati alla pagina principale del sito, selezionare add a network->
Nello spazio apposito potremo inserire l’ip della nostra connessione (che appare scritto anche nella schermata centrale) e quindi si aprirà una schermata come questa
Introdurre il nome che sarà associato alla nostra rete e tenere spuntata la casellina se si ha in dotazione un ip dinamico, lasciare stare il discorso del download perché verrà risolto in modo più consono che dover installare un sw su tutti gli apparecchi che abbiamo in rete.
Riceveremo una ulteriore email per confermare che l’ip è quello corretto dopo di che potremo iniziare.
Riaccediamo se non automaticamente indirizzati alla pagina
Dashboard
Del nostro account opendns e selezioniamo setting, dovremo trovare una cosa del genere
In termini generali l’ip teorico e quello attuale devono coincidere, ovviamente il problema si pone per coloro che hanno ip dinamici di connessione adsl, di seguito vedremo come risolvere il problema
Passiamo ad impostare i filtri alla nostra rete domestica.
Clicchiamo sul l’ip teorico
Ecco delle impostazioni fatte a titolo di esempio
Possiamo anche personalizzare le opzioni selezionando custom e salvando le nostre scelte.
Ovviamente basta poco per capire che le impostazioni possono essere anche più approfondite con selezione di siti da escludere etc.
Finite le impostazioni sul sito opendns passiamo a gestire il fritzbox.
Re: Protezione totale navigazione internet per minori nella propria lan
Parte 3 opzioni sul fritzbox
Iniziamo con il caricare gli indirizzi opendns , cosa molto semplice nei nuovi fw
Nei fw più vecchi le impostazioni dei dns sono più complicate, vi rimando ad appositi thread
A questo punto possiamo testare il funzionamento digitando un indirizzo “vietato” , se tutto è ok dovremo ottenere la schermata di diniego.
Vediamo ora come configurare il fritzbox affinché l’indirizzo ip su opendns resti fissato su quello della nostra rete nonostante il nostro ip dinamico.
Per fare questo ci occorre l’interfaccia freetz in cui abbiamo caricato il pacchetto curl (è un pacchetto che funziona solo via terminale) e crontab (presente anche come interfaccia grafica di default).
Accediamo a questa pagina di freetz
Immaginiamo di esserci registrati su opendns con:
myemail@gmail.com
pw = pippo
nome della rete= nomerete
All’interno del riquadro incolleremo le seguenti 3 righe
* * * * * echo curl -s -k -u myemail@gmail.com:pippo https://updates.opendns.com/nic/update?hostname=nomerete>/var/flash/opendns.sh
* * * * * /bin/chmod 777 /var/flash/opendns.sh
* * * * * /var/flash/opendns.sh
Questa impostazione comunica ogni minute al server opendns il proprio ip e ne consente l’aggiornamento costante
Premere apply ed accertarsi che crontab sia attivo in modo automatico.
Per evitare che possano essere utilizzati dns tipo 8.8.8.8 sulle schede dei pc per bypassare l’uso di opendns è necessario chiudere la porta 53.
Ho fatto diverse prove utilizzando il firewall di freetz senza successo, per cui ho provato ad installare sempre con freetz iptables.
Ecco le impostazioni
Queste sono le regole che potete incollare direttamente nell’apposita pagina (premete poi appy)
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I FORWARD -p tcp --dport 53 -j DROP
-I FORWARD -p udp --dport 53 -j DROP
-I FORWARD -d 208.67.222.222 -p tcp --dport 53 -j ACCEPT
-I FORWARD -d 208.67.220.220 -p udp --dport 53 -j ACCEPT
COMMIT
Dopo l’apply avremo nella pagina editor
In questo modo vengono bloccate gli utilizzi della porta 53 se non per i dns di opendns.
Per verificare il funzionamento impostare il dns della scheda di rete del pc a 8.8.8.8 e fare un ping su di un qualunque sito es: www.libero.it che non dovrà essere risolto.
Reimpostare il dns della scheda di rete con l’ip del fritz o con i dns di opendsn rifare il test che dovrebbe portare alla risposta del ping.
FINE
Iniziamo con il caricare gli indirizzi opendns , cosa molto semplice nei nuovi fw
Nei fw più vecchi le impostazioni dei dns sono più complicate, vi rimando ad appositi thread
A questo punto possiamo testare il funzionamento digitando un indirizzo “vietato” , se tutto è ok dovremo ottenere la schermata di diniego.
Vediamo ora come configurare il fritzbox affinché l’indirizzo ip su opendns resti fissato su quello della nostra rete nonostante il nostro ip dinamico.
Per fare questo ci occorre l’interfaccia freetz in cui abbiamo caricato il pacchetto curl (è un pacchetto che funziona solo via terminale) e crontab (presente anche come interfaccia grafica di default).
Accediamo a questa pagina di freetz
Immaginiamo di esserci registrati su opendns con:
myemail@gmail.com
pw = pippo
nome della rete= nomerete
All’interno del riquadro incolleremo le seguenti 3 righe
* * * * * echo curl -s -k -u myemail@gmail.com:pippo https://updates.opendns.com/nic/update?hostname=nomerete>/var/flash/opendns.sh
* * * * * /bin/chmod 777 /var/flash/opendns.sh
* * * * * /var/flash/opendns.sh
Questa impostazione comunica ogni minute al server opendns il proprio ip e ne consente l’aggiornamento costante
Premere apply ed accertarsi che crontab sia attivo in modo automatico.
Per evitare che possano essere utilizzati dns tipo 8.8.8.8 sulle schede dei pc per bypassare l’uso di opendns è necessario chiudere la porta 53.
Ho fatto diverse prove utilizzando il firewall di freetz senza successo, per cui ho provato ad installare sempre con freetz iptables.
Ecco le impostazioni
Queste sono le regole che potete incollare direttamente nell’apposita pagina (premete poi appy)
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-I FORWARD -p tcp --dport 53 -j DROP
-I FORWARD -p udp --dport 53 -j DROP
-I FORWARD -d 208.67.222.222 -p tcp --dport 53 -j ACCEPT
-I FORWARD -d 208.67.220.220 -p udp --dport 53 -j ACCEPT
COMMIT
Dopo l’apply avremo nella pagina editor
In questo modo vengono bloccate gli utilizzi della porta 53 se non per i dns di opendns.
Per verificare il funzionamento impostare il dns della scheda di rete del pc a 8.8.8.8 e fare un ping su di un qualunque sito es: www.libero.it che non dovrà essere risolto.
Reimpostare il dns della scheda di rete con l’ip del fritz o con i dns di opendsn rifare il test che dovrebbe portare alla risposta del ping.
FINE
Re: Protezione totale navigazione internet per minori nella propria lan
Greymalking, Buongiorno!
domanda da profano...
Possiedo due apparati 7390 (operativo) e 7170 (di backup) e vorrei chiederti se configurando il 7170 in ata - cascata al 7390 (da cui prende la connessione) sarebbe possibile applicare tale impostazione solo ed esclusivamente al 7170, cui connetterei in wifi solo gli apparati sottoposti a monitoraggio?
Grazie
domanda da profano...
Possiedo due apparati 7390 (operativo) e 7170 (di backup) e vorrei chiederti se configurando il 7170 in ata - cascata al 7390 (da cui prende la connessione) sarebbe possibile applicare tale impostazione solo ed esclusivamente al 7170, cui connetterei in wifi solo gli apparati sottoposti a monitoraggio?
Grazie
Giuseppe- medio
- Numero di messaggi : 98
Data d'iscrizione : 19.06.11
Re: Protezione totale navigazione internet per minori nella propria lan
il servizio di filtro openddns si applica sull'ip di connessione adsl, la funzione di crontab è proprio quella di mantenere il servizio connesso anche con ip variabile, per cui non puoi applicarlo al fritz a cascata.
Posso comunque dire che il filto è personalizzabile, io ho escluso siti a contenuto porno etc e poichè non interessano manco a me di problemi di navigazione non ne ho mai avuti
Posso comunque dire che il filto è personalizzabile, io ho escluso siti a contenuto porno etc e poichè non interessano manco a me di problemi di navigazione non ne ho mai avuti
Re: Protezione totale navigazione internet per minori nella propria lan
Grazie per la risposta!
Tuttavia prima di procedere vorrei avere un quadro completo poichè ho una duplice esigenza; da un lato assicurare continuità alle informazioni di lavoro poichè sono uno Psicologo specializzato in Sessuologia Clinica e, come intuibile, accedo in rete a "contenuti" ad alta sensibilità morale, dall'altro evitare che i minori presenti in casa possano accedere a contenuti inappropriati.
Prima di questo inesorabile aggiornamento (6.20) il lavoro "sporco" lo faceva il fritz (BpJm), ora devo trovare una soluzione poichè anche facendo downgrade (6.04, 6.03) il filtro non è piu attivo!
Ho contattato il supporto tecnico avm e mi hanno proposto una soluzione di workaround (http://it.avm.de/nc/assistenza/fritzbox/fritzbox-7390/banca-dati-informativa/publication/show/1576_Il-filtro-BPjM-non-e-piu-disponibile-dopo-l-aggiornamento-di-FRITZ-OS/)
ma l'idea di non vedere applicate le regole di telefonia (inbound-outbound) fa venire meno un altro dei plus del fritz.
Grazie
Tuttavia prima di procedere vorrei avere un quadro completo poichè ho una duplice esigenza; da un lato assicurare continuità alle informazioni di lavoro poichè sono uno Psicologo specializzato in Sessuologia Clinica e, come intuibile, accedo in rete a "contenuti" ad alta sensibilità morale, dall'altro evitare che i minori presenti in casa possano accedere a contenuti inappropriati.
Prima di questo inesorabile aggiornamento (6.20) il lavoro "sporco" lo faceva il fritz (BpJm), ora devo trovare una soluzione poichè anche facendo downgrade (6.04, 6.03) il filtro non è piu attivo!
Ho contattato il supporto tecnico avm e mi hanno proposto una soluzione di workaround (http://it.avm.de/nc/assistenza/fritzbox/fritzbox-7390/banca-dati-informativa/publication/show/1576_Il-filtro-BPjM-non-e-piu-disponibile-dopo-l-aggiornamento-di-FRITZ-OS/)
ma l'idea di non vedere applicate le regole di telefonia (inbound-outbound) fa venire meno un altro dei plus del fritz.
Grazie
Giuseppe- medio
- Numero di messaggi : 98
Data d'iscrizione : 19.06.11
Re: Protezione totale navigazione internet per minori nella propria lan
Puoi fare una prova, devi verificare se il 7170 ha la possibilità di gestire il filtro BPjM (anche quando collegato in cascata), se si puoi procedere con la tua idea di base (in pratica attivi il filtro sulla wlan del 7170), in caso contrario una opzione può essere quella di non chiudere la porta 53 (attivi solo crontab). In questo caso se nel tuo pc/dispositivo imposti un dns tipo 8.8.8.8 puoi accedere a siti protetti.
A meno di non avere figli scafatissimi in informatica la sicurezza è già buona.
Se poi il problema è solo su pc puoi sempre applicare il servizio Family Safety di windows.
http://windows.microsoft.com/it-it/windows/set-up-family-safety#set-up-family-safety=windows-8
attivandolo nell'account del figlio
ADDED: ma hai fatto la prova suggerita dall'avm?, io tengo normalmente le impostazioni su "germania" (preferisco il tono libero differente per capire immediatamente se ci sono problemi di linea voip, in caso cada il suono diventa il tu tu italiano) e non ho problemi con l'identificativo di chiamata ed il resto.
A meno di non avere figli scafatissimi in informatica la sicurezza è già buona.
Se poi il problema è solo su pc puoi sempre applicare il servizio Family Safety di windows.
http://windows.microsoft.com/it-it/windows/set-up-family-safety#set-up-family-safety=windows-8
attivandolo nell'account del figlio
ADDED: ma hai fatto la prova suggerita dall'avm?, io tengo normalmente le impostazioni su "germania" (preferisco il tono libero differente per capire immediatamente se ci sono problemi di linea voip, in caso cada il suono diventa il tu tu italiano) e non ho problemi con l'identificativo di chiamata ed il resto.
Re: Protezione totale navigazione internet per minori nella propria lan
una domanda...
ma per i siti in htps come si fà?
mi spiego:
se su google cerco:"porn" e vado sulle immagini.....si apre tutto....e la protezione non è attiva; quindi non vale per i siti in https.
Come risolvere definitivamente?
ma per i siti in htps come si fà?
mi spiego:
se su google cerco:"porn" e vado sulle immagini.....si apre tutto....e la protezione non è attiva; quindi non vale per i siti in https.
Come risolvere definitivamente?
DRAGO.NET- nuovo utente
- Numero di messaggi : 37
Data d'iscrizione : 18.02.15
Re: Protezione totale navigazione internet per minori nella propria lan
essendo fuori casa ora non posso testare, considera che il blocco di openvpn non è immediato, ci mette almeno tre minuti e prima di fare la verifica cancella il cache del browser se hai fatto una ricerca precedente al blocco
ADDED
in effetti
http://www.hwupgrade.it/forum/archive/index.php/t-2667773.html
ADDED
in effetti
http://www.hwupgrade.it/forum/archive/index.php/t-2667773.html
Re: Protezione totale navigazione internet per minori nella propria lan
editando a dovere tinyproxy e iptables si risolve.....
ho letto di tutto e di più su openwrt....
però si può fare....ci vuole solo qualcuno più bravo di me...(ho brikkato il mio Tp-Link WAG320N nel tentativo di riuscire)
Spero che riusciremo.....con il Fritz
ho letto di tutto e di più su openwrt....
però si può fare....ci vuole solo qualcuno più bravo di me...(ho brikkato il mio Tp-Link WAG320N nel tentativo di riuscire)
Spero che riusciremo.....con il Fritz
DRAGO.NET- nuovo utente
- Numero di messaggi : 37
Data d'iscrizione : 18.02.15
Re: Protezione totale navigazione internet per minori nella propria lan
non sarebbe più semplice al fine di utilizzare al meglio opendns, inserire nel Freetz in modulo ddclient?
DRAGO.NET- nuovo utente
- Numero di messaggi : 37
Data d'iscrizione : 18.02.15
Argomenti simili
» FritzBox 7240 e navigazione internet assente
» [Risolto]Fritz!Box 7330 SL problematica navigazione internet [risolto con la beta]
» OpenDns Parental Control Minori solo su Wi-Fi
» Blocco totale dei numeri in entrata
» Tim mobile : connesso a internet ma nessun accesso a internet
» [Risolto]Fritz!Box 7330 SL problematica navigazione internet [risolto con la beta]
» OpenDns Parental Control Minori solo su Wi-Fi
» Blocco totale dei numeri in entrata
» Tim mobile : connesso a internet ma nessun accesso a internet
Pagina 1 di 1
Permessi in questa sezione del forum:
Non puoi rispondere agli argomenti in questo forum.
Oggi alle 5:11 am Da DANIELONE
» Help Passaggio configurazione VOIP TIM da vecchio 7590 a nuovo 7690
Oggi alle 5:07 am Da DANIELONE
» Presentazione
Ieri alle 7:48 am Da GabryLiv
» Passaggio a FTTH e sostituzione fritz 7590 con fritz 4060
Ieri alle 3:27 am Da rohrl
» Mi presento anche io
Mer Nov 06, 2024 8:41 pm Da mackillers
» presentazione
Mer Nov 06, 2024 7:34 pm Da luca franceschini
» Buongiorno a tutti
Lun Nov 04, 2024 11:43 pm Da JesteR_vr
» greetings to everyone
Lun Nov 04, 2024 8:53 pm Da DANIELONE
» Ciao a tutti..Mi presento..
Lun Nov 04, 2024 3:11 am Da piergi85
» Configurazione dll'applicazione Myfritz per esecuzione conferma
Dom Nov 03, 2024 2:45 am Da DANIELONE
» Mi presento...
Sab Nov 02, 2024 1:40 am Da ricci206
» Disconnessioni per porta LAN difettosa?
Ven Nov 01, 2024 4:33 am Da Serpico89