Ciao,

la metto la, generica..

Ma come faccio in una rete, per bloccare tutto quel traffico diverso da richieste che normalmente si fanno quando si naviga.
In particolare penso a tutti quei software che cercano aggiornamenti in rete.
Da Adobe Acrobat, a Nokia Pc Suite, da Skype al browser stesso.
?

Ciao,

la metto la, generica..

Ma come faccio in una rete, per bloccare tutto quel traffico diverso da richieste che normalmente si fanno quando si naviga.

Consenti solo il traffico che esce sulla porta 80.

anche la 53 per i DNS .. altrimenti non puoi far risolvere i nomi

anche la 53 per i DNS .. altrimenti non puoi far risolvere i nomi

Giusto. Tieni presente che il servizio DNS va sia su tcp che udp.

giusto!

bene, grazie

In alcuni casi potrebbe essere necessaria anche la porta 443 per le connessioni in https ( banche , webmail... )

mah... penso che non serve a niente bloccare tutto fuorchè la porta 80, perchè tutti quei software tentano l'aggiornamento appunto aprendo un collegamento sulla porta 80....


serve qualcos altro..


immagino:


1. conoscere l'URL o l'IP di dove OGNI software fa il collegamento.
2. bloccare quell' URL/IP

serve qualcos altro..
immagino:
1. conoscere l'URL o l'IP di dove OGNI software fa il collegamento.
2. bloccare quell' URL/IP

Può diventare un'incubo. Ci sono soluzioni alternative che però dipendono dal sistema operativo installato sulle macchine e da altri dettagli della rete che non ci hai fornito.

Per esempio, su macchine windows potresti configurare il firewall di windows sui singoli PC in modo da consentire l'accesso alla rete solo a internet explorer o agli eventuali altri browser installati. Se poi le macchine fanno parte di un dominio AD potresti distribuire la configurazione del firewall di windows tramite le GPO.

La soluzione di bloccare l'url/ip può essere praticabile, ma dipende molto da quali strumenti hai a disposizione. Potresti usare un firewall centralizzato, ma se l'unico che hai a disposizione è quello integrato nei router di fascia bassa diventa molto poco pratico e dispendioso in termini di tempo. Certo se hai un firewall dedicato o un router di fascia alta (cisco, giusto per fare un nome) il discorso cambia.

Potresti infine utilizzare un proxy, che in generale consente una maggiore flessibilità di configurazione con le acl.

In ogni caso, per fornirti risposte più precise occorre conoscere qualche dettaglio della tua rete.

no no no...

nessun intervento in "loco".... sulla macchina.

qualsiasi intervento, va fatto a monte/valle della connessione...

internet --- router --- | firewall/gateway |--- rete locale


quindi intervendo SOLO su firewall o gateway... ad hoc.

qualsiasi intervento, va fatto a monte/valle della connessione...

internet --- router --- | firewall/gateway |--- rete locale

quindi intervendo SOLO su firewall o gateway... ad hoc.

Allora tutto dipende dagli strumenti che ti mette a disposizione il firewall/gateway.

Io ti suggerirei prima di tutto di bloccare tutto tranne le porte precedentemente indicate. Da un lato è vero che non risolvi il problema di alcuni aggiornamenti che usano la porta 80, ma comunque bloccheresti una parte del traffico non desiderato (oltre a quanto indicato in precedenza, se avete la necessità "lecita" di inviare posta in uscita dovresti consentire il traffico sulla porta 25 per il protocollo smtp).

Poi, se il firewall ti mette a disposizione delle funzionalità di filtro su URL, cominciare a individuare quelle che vuoi eliminare e iserire delle apposite regole.

si, farò proprio così

si, farò proprio così

Solo per soddisfare la mia curiosità: cosa utilizzarai? un firewall hardware, uno software oppure un proxy?

Solo per soddisfare la mia curiosità: cosa utilizzarai? un firewall hardware, uno software oppure un proxy?

si, dopo tanti anni di attività abbiamo dismesso qualche giorno fa un vecchio watchguard. Ed è arrivato un modello nuovo.

Abbiamo: watchguard + proxy websense....

Con il nuovo watchguard però c'è la possibilità di fare tante nuove cose:
dalla scansione antivirus, antispam, alle funzioni (molto più limitate però..) di websense.

Grazie.