Discussione:
TP-Link TD-W8970 Parental Control
(troppo vecchio per rispondere)
Aladino
2016-03-29 13:52:23 UTC
Permalink
In pratica inutilizzabile, o sono rinciturllito io. Il Parental Control
vero e proprio, taglia tutti i siti https... non funziona niente.
Ma quel che mi rode di più, è che non riesco neppure a configurare le
regole del Firewall in modo da ottenere un accesso limitato. Router che
per il resto funziona anche benino.
Premetto che ho collegato tutti i MAC addrss noti a degli IP
preassegnati dal DHCP, sia nella sezione del DHCP che in una sezione "IP
Bound", anche se non capisco il motivo della ripetizione.
Ho creato degli Host LAN in base agli IP, ovviamente al mio ho dato
subito una regola Any IN ed Any OUT, prima di modificare il Firawall a
"Dany as default".
Per quelli dei figli, volevo un accesso limitato ai siti didattici ma
sempre disponibile, ed un accesso a tempo per i siti ludici. Pertanto ho
creato un Host WAN basato sugli URL, ma se seleziono tale Host, non si
accede a nulla se non alle ricerche Google (Google l'ho lasciato anche
nei didattici). Selezionando come Host i Siti_didattici, automaticamente
viene impostato come regola OUT, e scompare la possibilità di
selezionare il protocollo... tornando su Any, mi trovo il protocollo
settato su TCP... boh. Ho provato anche a creare una regola IP_Figli a
Any in entrata, ma niente.
Ho provato anche a rimettere il firewall in "Pass as default", con
ultima regola Dany... ma il mio continua ad accedere, mentre i
dispositivi che dovrebbero passare per la regola "Siti_didattici"
vengono bloccati.
Comunque, qualcuno ci ha già avuto a che fare (con FW e Parental Control
su router TP-Link)? E' riuscito ad impostare delle regole che
funzionino? Che prove si possono fare per capire dove si intoppa?
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Aladino
2016-03-30 06:12:30 UTC
Permalink
Constatato che il Parental Control è inutilizzabile, sto cercando di
configurare il firewall per ottenere un minimo di regolamentazione.
Tenendo conto che la regola default è "Dany", che regole mi servono per
un funzionamento regolare? Io avevo creato regole sua per il traffico
"IN" che quello "OUT", ma mi pare che bastino quelle "OUT". Giusto?
Inoltre ho l'impressione che ci siano comunque problemi nella gestione
dei siti https... in pratica se non creo una regola che apre la porta
443, anche se ne ho una che permette l'accesso ad una serire di URL, se
gli stessi sono in https, di fatto non vengono visualizzati. Se d'altro
canto permetto l'accesso indiscrimnato alla porta https (se non sbaglio
non posso fare una regola unica URL e porta), si riesce ad accedere a
tutti i siti https, anche se l'URL non è autorizzato da nessuna regola.
E' normale che un firewall non permetta un controllo migliore? E' una
ciofeca di firewall (lo so che da un router da 70 euro non si può
pretendere chissà che, ma così mi pare quasi del tutto inutile)?
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
Mirko Borsari
2016-03-30 07:35:52 UTC
Permalink
Post by Aladino
un funzionamento regolare? Io avevo creato regole sua per il traffico
"IN" che quello "OUT", ma mi pare che bastino quelle "OUT". Giusto?
mi pare manchino le basi basilari della questione...
Post by Aladino
Inoltre ho l'impressione che ci siano comunque problemi nella gestione
dei siti https... in pratica se non creo una regola che apre la porta
443, anche se ne ho una che permette l'accesso ad una serire di URL, se
gli stessi sono in https, di fatto non vengono visualizzati. Se d'altro
eh bhe per forza... tu puoi anche avere il biglietto per entrare nel
sito, ma se poi trovi la strada sbarrata...
Post by Aladino
canto permetto l'accesso indiscrimnato alla porta https (se non sbaglio
non posso fare una regola unica URL e porta), si riesce ad accedere a
tutti i siti https, anche se l'URL non è autorizzato da nessuna regola.
sei sicuro che l'https venga gestito dal web filter?
Post by Aladino
E' normale che un firewall non permetta un controllo migliore? E' una
ciofeca di firewall (lo so che da un router da 70 euro non si può
pretendere chissà che, ma così mi pare quasi del tutto inutile)?
bhe è un router casalingo non si può pretendere chissà che... ma il
parental control l'hai provato?
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Aladino
2016-03-30 08:16:21 UTC
Permalink
Post by Mirko Borsari
mi pare manchino le basi basilari della questione...
Probabilmente anche a chi ha scritto il software di questo router. Il
fatto è che quando le cose non funzionano come uno si aspetta, si
comincia a provare di tutto, ritenendo forse erroneamente che il
dispositvo abbia qualche logica astrusa per la quele non funzioni. Tu mi
confermi per certo che le regole "IN" non servono?
Del resto, a cosa servono Parental Control ed un Firewall che non
gestisce gli accessi ai siti https?! Non chiedo mica un controllo sul
contenuto, ma solo poter accedere liberamente ad esempio a:
https://www.edmodo.com, https://it.wikipedia.org e qualche altro sito
in orari limitati a https://www.facebook.com, https://www.youtube.com,
https://minecraft.net, ecc... e non al resto della rete in modo
indiscriminato.
Post by Mirko Borsari
eh bhe per forza... tu puoi anche avere il biglietto per entrare nel
sito, ma se poi trovi la strada sbarrata...
Beh, se faccio una regola che mi dovrebbe permettere l'accesso ad un
URL, e non mi da la possibilità di specificare le porte, credo sia
logico aspettarsi di trovare tutte le realtive porte aperte.
Post by Mirko Borsari
bhe è un router casalingo non si può pretendere chissà che... ma il
parental control l'hai provato?
Sì. Non gestisce i siti https. Vista la realtiva semplicità del pannello
di configurazione del Parental Control, non ci sono molte altre
possibilità. Anche se purtroppo la documentazione (compresi i manuali
trovati in rete), sono molto scarsi.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Mirko Borsari
2016-03-30 08:50:30 UTC
Permalink
Post by Aladino
Post by Mirko Borsari
mi pare manchino le basi basilari della questione...
Probabilmente anche a chi ha scritto il software di questo router. Il
tp-link non è che faccia apparati super-pro, ma il loro lavoro lo
fanno discretamente...
Post by Aladino
dispositvo abbia qualche logica astrusa per la quele non funzioni. Tu mi
confermi per certo che le regole "IN" non servono?
Servono per il traffico IN...
Post by Aladino
Del resto, a cosa servono Parental Control ed un Firewall che non
gestisce gli accessi ai siti https?! Non chiedo mica un controllo sul
non chiederlo a me... magari li gestisce anche. Ne ho uno identico di
quei router, ma non ho modo di provarlo in tempi ragionevoli.
Post by Aladino
Post by Mirko Borsari
eh bhe per forza... tu puoi anche avere il biglietto per entrare nel
sito, ma se poi trovi la strada sbarrata...
Beh, se faccio una regola che mi dovrebbe permettere l'accesso ad un
URL, e non mi da la possibilità di specificare le porte, credo sia
logico aspettarsi di trovare tutte le realtive porte aperte.
ma tu mescoli il tutto... url filter e regole di firewall sono cose
diverse. Poi ogni apparato ragiona a modo suo.
hai provato ad autorizziare solo un determinato url nella regola di
firewall (quindi senza utilizzare Parental Control)?
Post by Aladino
possibilità. Anche se purtroppo la documentazione (compresi i manuali
trovati in rete), sono molto scarsi.
bhe insomma scarsi... per la fascia dell'oggetto più di 100 pagine di
manuale mi sembra buono... :-)
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Aladino
2016-03-30 09:45:25 UTC
Permalink
Post by Mirko Borsari
tp-link non è che faccia apparati super-pro, ma il loro lavoro lo
fanno discretamente...
Da quando ce l'aveva mio padre, l'ho sempre pensato... adesso che me lo
ha passato (visto che glie ne ha fornito uno il nuovo gestore), mi sto
ricredendo. Parental Control è IMHO inutilizzabile se non riesce a
gestire il traffico verso i siti https. Ma non sarà mica così per
tutti?!
Post by Mirko Borsari
ma tu mescoli il tutto... url filter e regole di firewall sono cose
diverse. Poi ogni apparato ragiona a modo suo.
Io? Sono loro che hanno messo nel Firewall la possibilità di creare host
WAN basti sugli URL... e se il Parental Control funzionasse, nel
firewall non ci avrei messo le mani.
Post by Mirko Borsari
hai provato ad autorizziare solo un determinato url nella regola di
firewall (quindi senza utilizzare Parental Control)?
Sì, da quando ho capito che il Parental Control non può controllare i
siti https, l'ho disattivato.
Post by Mirko Borsari
bhe insomma scarsi... per la fascia dell'oggetto più di 100 pagine di
manuale mi sembra buono... :-)
Beh, almeno scirvere chiaramente che non è possibile gestire il parental
control su siti https... è che probabilmente sarebbe come scrivere: c'è
ma non te ne fai molto.
Comunque, non mi ritengo un esperto, ma credo che anche il Firewall sia
molto limitato. Credo che cercherò un router più adatto all'uso
casalingo... forse un FrizBox
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Mirko Borsari
2016-03-30 10:02:34 UTC
Permalink
Post by Aladino
gestire il traffico verso i siti https. Ma non sarà mica così per
tutti?!
non mi è mai capitato di usare web-filter su router di quel genere,
quindi non ti so dire. Su firewall veri ovviamente l'https è gestito,
ma è una rogna un po' per tutti...
Post by Aladino
Post by Mirko Borsari
ma tu mescoli il tutto... url filter e regole di firewall sono cose
diverse. Poi ogni apparato ragiona a modo suo.
Io? Sono loro che hanno messo nel Firewall la possibilità di creare host
WAN basti sugli URL...
sempre regola di firewall è... alla fine un url non è un IP?
Post by Aladino
Comunque, non mi ritengo un esperto, ma credo che anche il Firewall sia
molto limitato. Credo che cercherò un router più adatto all'uso
casalingo... forse un FrizBox
è un router non un firewall e pure di livello domestico, capisco che
uno legge una cosa e vorrebbe che funzionasse alla perfezione, ma
direi anche che non bisogna aspettarsi mai molto da questi apparati...
fritzbox se ricordo giusto di firewall non ha mica molto. Ma potrei
ricordare male (quello che ho usato io aveva un sacco di funzioni, che
funzionavano anche bene, ma lo ricordo molto basico nella
configurazione)...
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Aladino
2016-03-30 10:34:52 UTC
Permalink
Post by Mirko Borsari
sempre regola di firewall è... alla fine un url non è un IP?
Spesso è una serie di IP... esempio:

macpro:~ studio$ host edmodo.com
edmodo.com has address 52.11.141.236
edmodo.com has address 54.191.200.253
edmodo.com has address 52.35.186.67
edmodo.com has address 54.213.60.2
edmodo.com has address 52.25.45.187
edmodo.com has address 54.213.62.96
edmodo.com has address 54.186.64.30
edmodo.com has address 54.244.20.67
edmodo.com mail is handled by 5 alt1.aspmx.l.google.com.
edmodo.com mail is handled by 5 alt2.aspmx.l.google.com.
edmodo.com mail is handled by 1 aspmx.l.google.com.
edmodo.com mail is handled by 32767 ms60621056.msv1.invalid.

se per ogni URL devo creare una decina di regole (con gli URL si può
fare una regola unica per più URL, con gli IP solo per quelli
contigui)... non ne esco più.
Post by Mirko Borsari
è un router non un firewall e pure di livello domestico, capisco che
uno legge una cosa e vorrebbe che funzionasse alla perfezione, ma
direi anche che non bisogna aspettarsi mai molto da questi apparati...
fritzbox se ricordo giusto di firewall non ha mica molto. Ma potrei
ricordare male (quello che ho usato io aveva un sacco di funzioni, che
funzionavano anche bene, ma lo ricordo molto basico nella
configurazione)...
Basico, ma con Parental Control... e da quel che ho sentito dire, quello
che fa lo fa bene. Del resto, se mi servisse un vero firewall, mi
prenderei un ALIX con pfSense.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
ObiWan
2016-03-30 13:02:54 UTC
Permalink
:: On Wed, 30 Mar 2016 10:50:30 +0200
:: (it.comp.reti.locali)
Post by Mirko Borsari
Post by Aladino
Post by Mirko Borsari
mi pare manchino le basi basilari della questione...
Probabilmente anche a chi ha scritto il software di questo router. Il
tp-link non è che faccia apparati super-pro, ma il loro lavoro lo
fanno discretamente...
tra l'altro il modello in questione non è malaccio e, se non ricordo
male, dovrebbe anche essere supportato da WRT (Open) e comunque, per
esperienza diretta, so che fa bene il suo lavoro, anche se, come per
tutte le cose, è necessario PRIMA di tutto capire come funziona
Aladino
2016-03-30 14:09:13 UTC
Permalink
Post by ObiWan
tra l'altro il modello in questione non è malaccio
Sì, come già detto, lo ritenevo un apparto dignitoso... fino a provare
ad usare i Parental Control e poi il Firewall
Post by ObiWan
e, se non ricordo
male, dovrebbe anche essere supportato da WRT (Open) e comunque, per
esperienza diretta, so che fa bene il suo lavoro, anche se, come per
tutte le cose, è necessario PRIMA di tutto capire come funziona
La cosa sembra piuttosto complicata... serve un intervento con lo
stagnatore per farci un collegamento seriale. Alla fine preferisco
renderlo o venderlo e prendere qualcosa che funziona.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Lorenz
2016-03-30 15:47:19 UTC
Permalink
Post by Aladino
Post by ObiWan
tra l'altro il modello in questione non è malaccio
Sì, come già detto, lo ritenevo un apparto dignitoso... fino a provare
ad usare i Parental Control e poi il Firewall
Post by ObiWan
e, se non ricordo
male, dovrebbe anche essere supportato da WRT (Open) e comunque, per
esperienza diretta, so che fa bene il suo lavoro, anche se, come per
tutte le cose, è necessario PRIMA di tutto capire come funziona
La cosa sembra piuttosto complicata... serve un intervento con lo
stagnatore per farci un collegamento seriale. Alla fine preferisco
renderlo o venderlo e prendere qualcosa che funziona.
Hai considerato la possibilita' di usare un software di controllo
parentale, tipo ad esempio questo?

http://www1.k9webprotection.com/
Aladino
2016-03-30 18:49:51 UTC
Permalink
Post by Lorenz
Hai considerato la possibilita' di usare un software di controllo
parentale, tipo ad esempio questo?
http://www1.k9webprotection.com/
Come già scritto, il problema è dover configurare ed eventualmente
aggiornare almeno 4 dispositivi. 2 Mac, di cui uno piuttosto datato con
CPU PPC e 2 Android 4.1. Il problema più grande al momento potrebbero
essere gli Smarphone su cui ho un controllo molto limitato.
Comunque se non combino con il router, rivaluterò la soluzione.
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
Lidrie
2016-04-01 07:00:20 UTC
Permalink
Post by Aladino
Come già scritto, il problema è dover configurare ed eventualmente
aggiornare almeno 4 dispositivi. 2 Mac, di cui uno piuttosto datato con
CPU PPC e 2 Android 4.1. Il problema più grande al momento potrebbero
essere gli Smarphone su cui ho un controllo molto limitato.
Comunque se non combino con il router, rivaluterò la soluzione.
Ma se la preoccupazione è che i figli, prima o dopo, riescano a cojonarti,
non ti resta che adottare un bel proxy casalingo da cui filtrare tutto il
filtrabile, in base a terminali e/o utenti, abituali o ospiti, etc.
Se hai un muletto, anche con HW minimo, ti consiglio di provare zeroshell:
http://www.zeroshell.net (di Fulvio Ricciardi, sempre molto gentile e
disponibile), ti fai la birra, il caffè e pure il digestivo.
In particolare, per quello che ho capito ti serva, gli installi il modulo
DansGuardian http://www.zeroshell.net/dansguardian/ :

"Una delle caratteristiche di Zeroshell è quella di poter realizzare un
Access Point Wi-Fi con supporto per il Multi SSID. In altre parole, tale
access point può distribuire su di uno stesso canale radio più Wireless
LAN, ognuna indipendente dall'altra e con il proprio metodo di
autenticazione ed eventuale cifratura del traffico (Captive Portal,
WPA/WPA2, WEP o Plain-text). Si può pertanto pensare di applicare il
servizio proxy e quindi DansGuardian soltanto ad un SSID destinato alla
navigazione dei minori, mentre un altro SSID, opportunamente protetto in
modo che questi ultimi non vi possano accedere, agli adulti."
--
Sans
Aladino
2016-04-01 07:38:38 UTC
Permalink
Post by Lidrie
http://www.zeroshell.net
Ti ringrazio dei consigli, ma se dovessi arrivare ad aggiungere un
dispositivo ad-hoc, probabilmente andrei su un pfSense con cui ho già
una certa dimestichezza.
Tra l'altro non sento la necessità di un doppio SSID... per la sicurezza
della rete ho sempre attivato il filtro sui MAC Address, e a tutti i MAC
conosciuti assegno un IP predeterminato nel DHCP. E' anche vero che uno
potrebbe impostare l'IP a mano, ma al momento la vedo una possibilità
piuttosto remota. Pertanto mi basta associare gli IP (che reggruppo in
base alle regole a cui dovranno sottostare) a delle regole, per gli URL
disponibili e per gli orari. Con pfSense sono abbastanza certo di
poterlo fare... ma come già detto da altre parti, volevo evitare di
aggiungere dispositivi in casa.
E credevo di poterlo fare anche con il TD-W8970, solo che non
riconoscendo i siti https, di fatto non è così. E non capisco a cosa
serva il Parental Control senza la possibilità di controllare i siti
https... cosa non impossibile visto che lo fa anche la Vodafone Station
2.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
ObiWan
2016-03-30 13:00:43 UTC
Permalink
:: On Wed, 30 Mar 2016 08:12:30 +0200
:: (it.comp.reti.locali)
Post by Aladino
Tenendo conto che la regola default è "Dany"
non la conosco; ma Dany chi ? Per caso, fa l'estetista :D ?
Post by Aladino
che regole mi servono per un funzionamento regolare? Io avevo creato
regole sua per il traffico "IN" che quello "OUT", ma mi pare che
bastino quelle "OUT". Giusto? Inoltre ho l'impressione che ci siano
comunque problemi nella gestione dei siti https... in pratica se non
prova ad usare un approccio differente; configura il router in modo da
utilizzare i DNS di OpenDNS o quelli di Google; tali DNS effettuano di
loro sponte un filtraggio e non permettono di raggiungere siti o server
manifestamente sospetti o ... peggio
Aladino
2016-03-30 14:09:13 UTC
Permalink
Post by ObiWan
tali DNS effettuano di
loro sponte un filtraggio e non permettono di raggiungere siti o server
manifestamente sospetti o ... peggio
Non basta. Non voglio che i miei figli passino interi pomeriggi su
youtube, siti di gaming o simili (che non credo siano blindati dai DNS):
un ora al giorno è più che sufficiente... e non voglio stare
continuamente a controllare, contestare, ecc... d'altro canto ci sono
siti utili e quasi necessari per la scuola, sui quali vorrei dare libero
accesso.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Lidrie
2016-03-30 16:30:50 UTC
Permalink
Post by Aladino
Non basta. Non voglio che i miei figli passino interi pomeriggi su
un ora al giorno è più che sufficiente... e non voglio stare
continuamente a controllare, contestare, ecc... d'altro canto ci sono
siti utili e quasi necessari per la scuola, sui quali vorrei dare libero
accesso.
Il Fritz!Box ha un sistema di Parental Control gestito da interfaccia
admin dove puoi definire il profilo da assegnare ad ogni macchina in rete,
con fasce orarie di accesso alla rete e quantità totale di tempo online
per ogni giorno della settimana, autorizzazione alle connessioni https,
whitelist e blacklist, blocco degli indirizzi IP numerici con eccezioni.

Non so se la versione attuale di FritzOS permette l'uso di un sw AVM per
windows di anni fa che, installato sulla macchina client, faceva più o
meno lo stesso, ma identificando l'utente loggato sul pc.
--
Sans
Aladino
2016-03-30 18:49:51 UTC
Permalink
Post by Lidrie
Il Fritz!Box ha un sistema di Parental Control gestito da interfaccia
admin dove puoi definire il profilo da assegnare ad ogni macchina in rete,
con fasce orarie di accesso alla rete e quantità totale di tempo online
per ogni giorno della settimana, autorizzazione alle connessioni https,
whitelist e blacklist, blocco degli indirizzi IP numerici con eccezioni.
Grazie della conferma... anche se googlando ho qualche dubbio se valga
anche per gli https: ho visto che il problema è generalizzato per
diverse marche di router.
Post by Lidrie
Non so se la versione attuale di FritzOS permette l'uso di un sw AVM per
windows di anni fa che, installato sulla macchina client, faceva più o
meno lo stesso, ma identificando l'utente loggato sul pc.
Tanto qui non c'è neppure 1 PC windows... ;-) solo Mac e Android. Per i
Mac c'è il parental control di sistema, ma per gli smartphone avrei
qualche problema in più. E poi lasciare lo strumento con il blocco nelle
loro mani è uno stimolo a cercare di craccare il blocco. Ultima
questione sarebbe l'inserimento di un nuovo sito nelle varie liste, che
come la configurazione originale, dovrebbe essere eseguita ogni volta su
tutti i dispositivi.
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
Aladino
2016-03-30 19:16:10 UTC
Permalink
Post by Aladino
Grazie della conferma... anche se googlando ho qualche dubbio se valga
anche per gli https: ho visto che il problema è generalizzato per
diverse marche di router.
E mi sa anche per i Frizbox: http://tinyurl.com/hs2pgmv
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
meddix on WINSETTETE
2016-03-31 00:19:43 UTC
Permalink
Post by Aladino
Post by Aladino
Grazie della conferma... anche se googlando ho qualche dubbio se valga
anche per gli https: ho visto che il problema è generalizzato per
diverse marche di router.
E mi sa anche per i Frizbox: http://tinyurl.com/hs2pgmv
visto che sei in gioco ed il gioco si fa duro: http://tinyurl.com/zpvqdee
Aladino
2016-03-31 05:43:49 UTC
Permalink
Post by meddix on WINSETTETE
visto che sei in gioco ed il gioco si fa duro: http://tinyurl.com/zpvqdee
Conosco pfSense, ma volevo evitare altri "aggeggi in casa", visto che
ogni nuovo arrivo è fonte di sospetto e discussioni con mia moglie. E
poi trovo assurdo che i router "casalinghi", non permettano un controllo
sui siti https, che ormai sono quasi la maggioranza. Insomma, le
richieste per forza di cose passano sul router, se non altro
impostandolo come DNS della LAN e bloccando le richiesta ad altri DNS.
Come detto, non chiedo un filtro per contenuti, che potrebbe essere
difficile da gestire, ma una black/white list su URL non dovrebbe
esserlo.
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
Aladino
2016-03-31 15:49:15 UTC
Permalink
E poi trovo assurdo che i router "casalinghi", non permettano un controllo
sui siti https, che ormai sono quasi la maggioranza.
E infatti la banalissima Vodafone Station 2, ci riesce benissimo. Nel
"URL Filtering" ha 2 possibilità:

Limita accesso - Blocca l'accesso agli indirizzi che contiene qualsiasi
delle parole chiave date

Permetti accesso - Permette l'accesso agli indirizzi che contiene
qualsiasi delle parole chiave date. Tutti gli altri indirizzi saranno
bloccati

E dalle prove appena fatte, funziona sia in un modo che nell'altro,
*anche sui siti https*. Peccato che funzioni solo con rete Vodafone, e
comunque non è possibile abbinare l'URL Filtering a dei client, a degli
orari, e/o a determinati servizi, che sono tutti gestiti come controlli
indipendenti e non so con che logica lavorino. Qui uno screenshot:
<http://tinyurl.com/hsmpw7q>

Fatto sta che se la VS2 riesce a filtrare i siti https, non capisco
proprio perché altri router non lo facciano.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Aladino
2016-04-02 11:11:36 UTC
Permalink
Post by ObiWan
prova ad usare un approccio differente; configura il router in modo da
utilizzare i DNS di OpenDNS
Alla fine ho dovuto arrendermi ad usare questo approccio... che ritengo
poco sicuro perché facilmente aggirabile (basta impostare manualmente i
DNS sul dispositivo). Comunque al momento è meglio di niente.

Per la cronaca, ci sono gli Open DNS già filtrti:
208.67.222.123
208.67.220.123

Oppure si può fare un account (anche gratuito), su cui configurare i
blocchi a gruppi, e inserire siti che oltrepassano tali regole, sia in
un senso che nell'altro.

Prima o poi vorrei arrivare a qualcosa di diverso: 24/24 accesso a siti
molto limitati, 1 ora al giorno accesso *quasi libero*. Al mimento ho un
accesso *quasi libero* 24/24.
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
cursum perficio
2016-04-03 13:46:07 UTC
Permalink
Post by Aladino
Post by ObiWan
prova ad usare un approccio differente; configura il router in modo da
utilizzare i DNS di OpenDNS
Alla fine ho dovuto arrendermi ad usare questo approccio... che ritengo
poco sicuro perché facilmente aggirabile (basta impostare manualmente i
DNS sul dispositivo). Comunque al momento è meglio di niente.
Aggirabile? Blocca ogni altra richiesta sulla porta 53 e il gioco è
fatto. Testato personalmente da me e mio cugggino.
Post by Aladino
208.67.222.123
208.67.220.123
Oppure si può fare un account (anche gratuito), su cui configurare i
blocchi a gruppi, e inserire siti che oltrepassano tali regole, sia in
un senso che nell'altro.
Prima o poi vorrei arrivare a qualcosa di diverso: 24/24 accesso a siti
molto limitati, 1 ora al giorno accesso *quasi libero*. Al mimento ho un
accesso *quasi libero* 24/24.
Ma perché non fai un semplicissimo script che passa dai dns che hai
indicato prima a quelli "liberi" 208.67.220.220 e poi lo metti in cron?
Aladino
2016-04-03 16:55:30 UTC
Permalink
Post by cursum perficio
Aggirabile? Blocca ogni altra richiesta sulla porta 53 e il gioco è
fatto. Testato personalmente da me e mio cugggino.
OK, questo me lo segno e provo quando ho tempo. Al momento non è ancora
un problema.
Post by cursum perficio
Ma perché non fai un semplicissimo script che passa dai dns che hai
indicato prima a quelli "liberi" 208.67.220.220 e poi lo metti in cron?
Perché non saprei come fare con i dispositivi Android. E poi dovrei fare
tutto (e ogni eventuale modifica) su tutti i dispositivi. E poi, visto
che quello di adesso è un accesso *quasi libero*, dovrei restringere
l'accesso ai siti innoqui ma *perditempo*. Youtube ed il forum di
Minecraft in primis.
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
cursum perficio
2016-04-04 14:20:58 UTC
Permalink
Post by Aladino
Post by cursum perficio
Ma perché non fai un semplicissimo script che passa dai dns che hai
indicato prima a quelli "liberi" 208.67.220.220 e poi lo metti in cron?
Perché non saprei come fare con i dispositivi Android. E poi dovrei fare
tutto (e ogni eventuale modifica) su tutti i dispositivi. E poi, visto
che quello di adesso è un accesso *quasi libero*, dovrei restringere
l'accesso ai siti innoqui ma *perditempo*. Youtube ed il forum di
Minecraft in primis.
Lo script non va impostato sui dispositivi ma sul router.
Però hai ragione, nel senso che in effetti ho dimenticato che stavi
parlando del router in oggetto, che non conosco e che forse non supporta
gli script, come invece succederebbe con qualunque dispositivo Open/DD-wrt.
Aladino
2016-04-04 20:47:39 UTC
Permalink
Post by cursum perficio
Lo script non va impostato sui dispositivi ma sul router.
In effetti non avevo capito parlassi del router e l'aggeggio in
questione non permette script. Tra l'altro non permette di duplicare e
spostare le regole, ma solo di accodarne di nuove, eliminarne a scelta e
disabilitare/abilitare quelle esistenti... piuttosto fastidioso se si
vuole inserire una regola in cima :-/
Sto provando a bloccare l'accesso ad altri DNS, e ho inserito in cima le
seguenti 4 regole, che non capisco perchè non premettano nessun accesso
al di fuori che al mio computer (quest'ultima coasa è voluta):

Dscrizione LAN Target Rule
------------------------------------------------------
DMZ my_ip any_host allow
Router router_lan_IP any_host allow
LAN any_host router_MAC allow
DNS_lock any_host porta_53 deny

con le regole a seguire disabilitate (o abilitate, fa lo stesso), solo
dal mio computer si naviga: qualcuno sa dirmi perché? Già ho inserito la
regola del router (rifacendo tutte le regole sottostanti)... la regola
di default del firewall è "allow"... disabilitando la regola DNS_lock,
si naviga... non capisco (penso che anche la seconda e la terza non
siano necessarie, ma non funzionando le ho inserite). Cosa gli manca?!

P.S. Tutte le regole sono "Any time", "OUT" e protocol "ALL"
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
Mirko Borsari
2016-04-05 09:08:56 UTC
Permalink
Post by Aladino
Sto provando a bloccare l'accesso ad altri DNS, e ho inserito in cima le
seguenti 4 regole, che non capisco perchè non premettano nessun accesso
Dscrizione LAN Target Rule
------------------------------------------------------
DMZ my_ip any_host allow
Router router_lan_IP any_host allow
LAN any_host router_MAC allow
DNS_lock any_host porta_53 deny
con le regole a seguire disabilitate (o abilitate, fa lo stesso), solo
dal mio computer si naviga: qualcuno sa dirmi perché? Già ho inserito la
regola del router (rifacendo tutte le regole sottostanti)... la regola
di default del firewall è "allow"... disabilitando la regola DNS_lock,
si naviga... non capisco (penso che anche la seconda e la terza non
siano necessarie, ma non funzionando le ho inserite). Cosa gli manca?!
chi si occupa della risoluzione DNS?
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Aladino
2016-04-05 09:38:17 UTC
Permalink
Post by Mirko Borsari
chi si occupa della risoluzione DNS?
Il router. Ho inserito gli OpenDNS protetti nella connessione, nel DHCP
(sempre sul router) ho messo l'indirizzo del router come DNS. Senza la
regola "DNS_lock", tutti navigano (con le limitazioni imposte dei DNS
protetti), attivando la regola, navigo solo dal mio computer (che ha un
indirizzo nell'intervallo "my_ip").
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Mirko Borsari
2016-04-05 12:31:08 UTC
Permalink
Post by Aladino
Post by Mirko Borsari
chi si occupa della risoluzione DNS?
Il router. Ho inserito gli OpenDNS protetti nella connessione, nel DHCP
(sempre sul router) ho messo l'indirizzo del router come DNS. Senza la
regola "DNS_lock", tutti navigano (con le limitazioni imposte dei DNS
protetti), attivando la regola, navigo solo dal mio computer (che ha un
indirizzo nell'intervallo "my_ip").
ma se dai client bloccati fai una query sul DNS del router ti
risponde?
Il router riesce a fare query sui DNS esterni?
Il tuo PC punta al DNS del router o sono impostati dns esterni?
--
MirkoB. ***@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo ***@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente
Aladino
2016-04-05 19:24:55 UTC
Permalink
Post by Mirko Borsari
ma se dai client bloccati fai una query sul DNS del router ti
risponde?
Con la regola "DNS_lock" attiva:
iMac:~ studio$ nslookup google.com
;; connection timed out; no servers could be reached

con la regola disabilitata:
iMac:~ studio$ nslookup google.com
Server: 192.168.18.1
Address: 192.168.18.1#53

Non-authoritative answer:
Name: google.com
Address: 216.58.214.78

Dal mio computer la risposta è sempre come con la regola disabilitata
Post by Mirko Borsari
Il router riesce a fare query sui DNS esterni?
Sì, anche perché se no non navigherei neppure io. Comunque il test
interno da un Fail, ma la cosa non cambia anche disabilitando del tutto
il firewall:
Test Internet surfing
Test xDSL Synchronization Pass
ATM OAM Segment Ping Pass
ATM OAM end to end Ping Pass
Test PPP Server connection Pass
Test authentication with ISP Pass
Test the assigned IP address Pass
Ping default gateway Pass
Ping primary Domain Name Server Pass
Test DNS Root Fail
Network Connection Status Inspect(NCSI) Pass
Diagnostics completes
Post by Mirko Borsari
Il tuo PC punta al DNS del router o sono impostati dns esterni?
Punta al router.
--
Per rispondere, togliere -NOSPAM- dall'indirizzo.
ObiWan
2016-04-04 06:52:43 UTC
Permalink
:: On Sat, 2 Apr 2016 13:11:36 +0200
:: (it.comp.reti.locali)
Post by Aladino
Post by ObiWan
prova ad usare un approccio differente; configura il router in modo
da utilizzare i DNS di OpenDNS
Alla fine ho dovuto arrendermi ad usare questo approccio... che
ritengo poco sicuro perché facilmente aggirabile (basta impostare
manualmente i DNS sul dispositivo).
mica vero, sul router crei una regola di blocco del traffico in uscita
che blocchi lo stesso verso la porta 53 (TCP ed UDP) di qualsiasi host
esterno consentendo tale traffico solo al router; a questo punto o usi
il DNS del router o ... ciccia :)
Post by Aladino
Prima o poi vorrei arrivare a qualcosa di diverso: 24/24 accesso a
siti molto limitati, 1 ora al giorno accesso *quasi libero*. Al
momento ho un accesso *quasi libero* 24/24.
beh, puoi sempre aggiungere http://www.tp-link.com/en/faq-453.html nota
che per specificare i siti si usa semplicemente il nome del sito e che
il filtro funziona indipendentemente dal protocollo (http o https)
ObiWan
2016-04-04 06:53:14 UTC
Permalink
nota che per specificare i siti si usa semplicemente il nome del sito
e che il filtro funziona indipendentemente dal protocollo (http o
https)
mi correggo, funziona solo per http
Aladino
2016-04-04 08:29:35 UTC
Permalink
Post by ObiWan
mi correggo, funziona solo per http
Appunto. Praticamente inutile.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Aladino
2016-04-04 08:29:35 UTC
Permalink
Post by ObiWan
beh, puoi sempre aggiungere http://www.tp-link.com/en/faq-453.html nota
che per specificare i siti si usa semplicemente il nome del sito e che
il filtro funziona indipendentemente dal protocollo (http o https)
Mi dispiace sementirti, ma con i siti https non funziona.
C'è la nota a fondo pagina, e l'avevo già constatato (nel manuale la
nota non c'è).
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
writethem
2016-04-01 07:38:59 UTC
Permalink
sto cercando di configurare il firewall
Trova l'errore.

Scherzi a parte, nel 2016 apparati al massimo statuful sono del tutto
anacronistici. E nel momento in cui, sadicamente, si abilita il parent
control e da sotto al naso gli passano i siti https e lui non è in grado
di lavorarli (e la cosa è tutt'altro che banale, perchè richiede
sostanzialmente un MiTM), succede questo: o passi o blocchi o $CASINIRANDOM

Per quanto mi riguarda, l'operazione più corretta da fare con questi
giocattolini è disattivare il firewall e demandare queste features a
prodotti che facciano questo. E si può fare anche in ambito domestico
con prodotti opensource e senza spendere niente o quasi. Ma questo è un
altro discorso.
Tenendo conto che la regola default è "Dany"
Prova con Mary. :)
Aladino
2016-04-01 09:20:15 UTC
Permalink
Post by writethem
Prova con Mary. :)
Riconosce gli URL anche se sono https? :)

Googlando un po' ho trovato che solo Drytek che affronta e risolve il
problema per prodotti AllinOne:
<http://tinyurl.com/hr55e2n>

Ma la banalissima Vodafone Station 2 lo fa senza tante storie.
--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.
Loading...