Non so più dove sbattere la testa... :muro:

Ho bisogno di bloccare internet ad un pc, collegato alla Lan in un dominio.
L'utente si connette come user.

Ho provato ad utilizzare l'utility AppLocker per bloccare l'esecuzione di IE, firefox, opera, e compagnia bella. Fin qua tutto ok, provo ad aprire uno di questi browser e il programma li blocca correttamente.

Pensavo d'essere a posto ed invece mi riferiscono che qualcuno con quel computer in internet ci va ancora...

Che posso fare? Esiste qualche utility?

ci sono molti modi per farlo...

se sei in un dominio puoi creare un nuovo gruppo,

crei un nuovo modello amministrativo (policy)

applichi al gruppo la nuova policy

inserisci nel gruppo i pc che vuoi bloccare

a questo punto con gpedit.msc vai a personalizzare la policy appena creata, ci sono molte limitazioni che puoi settare sulla navigazione. Prova a dare un occhio, così a memoria non ricordo se c'è il blocco totale della navigazione... ma per esempio puoi mettere il blocco defualt verso tutti i siti a parte quelli che vuoi tu.

...
ecco... ciò che puoi settare nella policy:

Configurazione Utente > Modelli Amministrativi > Sistema: Non eseguire le applicazioni windows specificate: e setti "iexplorer.exe"

naturalmente se internet explorer è utilizzato anche per navigazione in intranet questa soluzione non va bene.

Non so più dove sbattere la testa... :muro:

Ho bisogno di bloccare internet ad un pc, collegato alla Lan in un dominio.
L'utente si connette come user.

Ho provato ad utilizzare l'utility AppLocker per bloccare l'esecuzione di IE, firefox, opera, e compagnia bella. Fin qua tutto ok, provo ad aprire uno di questi browser e il programma li blocca correttamente.

Pensavo d'essere a posto ed invece mi riferiscono che qualcuno con quel computer in internet ci va ancora...

Che posso fare? Esiste qualche utility?

Se sei in una LAN e hai accesso al router puoi bloccare l'accesso alla rete per un (o più di uno) indirizzi MAC! Certo non è il top perchè l'indirizzo MAC si può sempre sostituire via software!

Per modificare l'indirizzo MAC comunque devi avere i privilegi di root sotto Linux, non so con Windows come si fa comunqe! Perchè se la macchina da bloccare ha un accesso limitato allora puoi bloccarlo semplicemente con il MAC address!

Se sei in una LAN e hai accesso al router puoi bloccare l'accesso alla rete per un (o più di uno) indirizzi MAC!


si, dato che si tratta di un solo pc, così mi pare più agile ancora.


Certo non è il top perchè l'indirizzo MAC si può sempre sostituire via software!


.. bè bisogna vedere anche le capacità dell'utente... se si tratta dell'impiegato medio non credo corriamo un gran rischio ... però tu dici .. non si sa mai ... :p

C'è un piccolo hacker in ognuno di noi.... anche se non lo sappiamo :mc: :mc: :D :D

C'è un piccolo hacker in ognuno di noi.... anche se non lo sappiamo :mc: :mc: :D :D

Uhm secondo me è sbagliato lavorare a livello Application, piuttosto si dovrebbe assegnare al PC dell'utente un IP fisso e con opportuni permessi impedirne la modifica. A questo punto si potrebbe filtrare il traffico verso Internet mediante una semplice ACL sul router. Così facendo in 3 step hai praticamente risolto il problema. Ciao.

Uhm secondo me è sbagliato lavorare a livello Application, piuttosto si dovrebbe assegnare al PC dell'utente un IP fisso e con opportuni permessi impedirne la modifica. A questo punto si potrebbe filtrare il traffico verso Internet mediante una semplice ACL sul router. Così facendo in 3 step hai praticamente risolto il problema. Ciao.

Diciamo che comunque dovrai far evitare quell'indirizzo al dhcp del router (ovviamente se è configurato per fare da server dhcp)! Ma senza sfiorare minimamente il pc utente, bloccare il MAC address dal router non sarebbe molto più veloce?
Poi comunque come ho già detto prima dipende a chi si vuol bloccare internet! Più che altro al grado di conoscenza che ha e da che strumenti ha a disposizione! E' ovvio che uno si può inventare tutte le robe che vuole ma se è una persona in gamba e preparata e gli metti davanti un Linux con password di root....

prova K9 Web Protection

http://www1.k9webprotection.com/

Uhm secondo me è sbagliato lavorare a livello Application, piuttosto si dovrebbe assegnare al PC dell'utente un IP fisso e con opportuni permessi impedirne la modifica. A questo punto si potrebbe filtrare il traffico verso Internet mediante una semplice ACL sul router. Così facendo in 3 step hai praticamente risolto il problema. Ciao.

Quoto, il problema si dovrebbe risolvere sempre a livello più basso possibile...

Diciamo che comunque dovrai far evitare quell'indirizzo al dhcp del router (ovviamente se è configurato per fare da server dhcp)! Ma senza sfiorare minimamente il pc utente, bloccare il MAC address dal router non sarebbe molto più veloce?
Poi comunque come ho già detto prima dipende a chi si vuol bloccare internet! Più che altro al grado di conoscenza che ha e da che strumenti ha a disposizione! E' ovvio che uno si può inventare tutte le robe che vuole ma se è una persona in gamba e preparata e gli metti davanti un Linux con password di root....

Il blocco sul MAC address è facilmente aggirabile mediante uno spoofing.

Il blocco sul MAC address è facilmente aggirabile mediante uno spoofing.

Possiamo "spoofare" anche a livello IP, per questo dicevo bisogna vedere i casi! Che bisogno c'è affannarsi tanto quando magari sul nostro bel router possiamo spuntare una casella e far morire di disperazione il nostro caro "bannato dalla rete" che a malapena sa inserire una password sulla sua casella di posta!
Si può fare impazzire una persona poco esperta semplicemente settandogli un IP fisso e non mettendogli il DNS :D :D

Possiamo "spoofare" anche a livello IP, per questo dicevo bisogna vedere i casi! Che bisogno c'è affannarsi tanto quando magari sul nostro bel router possiamo spuntare una casella e far morire di disperazione il nostro caro "bannato dalla rete" che a malapena sa inserire una password sulla sua casella di posta!
Si può fare impazzire una persona poco esperta semplicemente settandogli un IP fisso e non mettendogli il DNS :D :D

L'IP spoofing non è banale nè tanto meno immediato come lo può essere un MAC spoofing.

L'IP spoofing non è banale nè tanto meno immediato come lo può essere un MAC spoofing.

Non ci sono dubbi su questa cosa! Infatti, anche se non era la soluzione proposta da me in questo caso, di solito è molto meglio una lista di MAC address di autorizzati che di negati!

Uhm secondo me è sbagliato lavorare a livello Application
non siamo a livello applicativo con il MAC address

con opportuni permessi impedirne la modifica
con questi opportuni permessi impediresti anche la modifica del mac address!

Quoto, il problema si dovrebbe risolvere sempre a livello più basso possibile...

A dimenticavo.... più in basso di ethernet cosa si fa??? Si stacca la spina...

Non ci sono dubbi su questa cosa! Infatti, anche se non era la soluzione proposta da me in questo caso, di solito è molto meglio una lista di MAC address di autorizzati che di negati!


non siamo a livello applicativo con il MAC address


con questi opportuni permessi impediresti anche la modifica del mac address!

Infatti non ho quotato te quando dicevo che non bisogna lavorare a livello Application. Sul fatto che il MAC address sia un indirizzo di livello 2 non ci sono dubbi.

Esistono programmini che modificano i MAC address "aggirando" i blocchi, ma questo lo sai, vero?

Per il quieto vivere, moderiamo i toni ed evitiamo di voler avere per forza ragione. Siamo qui per aiutare gli utenti in difficoltà, non per sciorinare le nostre (a volte presunte) conoscenze.

Infatti non ho quotato te quando dicevo che non bisogna lavorare a livello Application. Sul fatto che il MAC address sia un indirizzo di livello 2 non ci sono dubbi.

Esistono programmini che modificano i MAC address "aggirando" i blocchi, ma questo lo sai, vero?

Per il quieto vivere, moderiamo i toni ed evitiamo di voler avere per forza ragione. Siamo qui per aiutare gli utenti in difficoltà, non per sciorinare le nostre (a volte presunte) conoscenze.

Il problema è che a volte si rischia di mettere in difficoltà qualcuno sparando cose troppe esagerate! Mi scuso se ti sono sembrato troppo "acido" ma io prima di loro mi sono trovato in difficoltà e mi sono ritrovato a leggere cose assurde che mi confondevano solo le idee!

A dimenticavo.... più in basso di ethernet cosa si fa??? Si stacca la spina...

Però quella di staccare la spina funziona :D :D e pure bene!!

l'avete impaurito ed è scappato... :rolleyes:

A dimenticavo.... più in basso di ethernet cosa si fa??? Si stacca la spina...

Ma sei sempre così simpatico o ieri eri particolarmente ispirato?

Io continuo a spingere per l'acl. Nei router SOHO che le permettono sono quasi praticamente infallibili. E cmq in ogni caso, io la farei al contrario:

ALLOW gli indirizzi che devono andare su internet
DENY ANY.

così se anche fai spoofing devi prenderti uno degli indirizzi permessi; ma a questo punto se le macchine sono accese non potrai comunque prenderli.

Ma sei sempre così simpatico o ieri eri particolarmente ispirato?.
Te lo giuro era ieri che mi giravano un po.. mi associo a chi mi a preso per antipatico (solo per ieri però) :D :D

ALLOW gli indirizzi che devono andare su internet
DENY ANY. Esatto anche io farei proprio così però ovviamente dipende da che tipo di lan devi gestire! Se possono esserci molti utenti e non sempre gli stessi diventerebbe una bella impresa!

l'avete impaurito ed è scappato... Infatti...

Esatto anche io farei proprio così però ovviamente dipende da che tipo di lan devi gestire! Se possono esserci molti utenti e non sempre gli stessi diventerebbe una bella impresa!


Beh certamente, ma nel momento in cui la LAN diventa grossa vanno presi altri provvedimenti.
Ad esempio qui in enel oltre ai vari proxy, cazzi e mazzi, metto in shutdown le diverse porte degli switch di piano che non devono attaccarsi alla rete.

Infatti qua misà che stiamo a parla un po vani perchè non solo il tipo non si fa sentire più, ma anche perchè stiamo risolvendo un'equazione a più di una incognita....

Ma sei sempre così simpatico o ieri eri particolarmente ispirato?

Io continuo a spingere per l'acl. Nei router SOHO che le permettono sono quasi praticamente infallibili. E cmq in ogni caso, io la farei al contrario:

ALLOW gli indirizzi che devono andare su internet
DENY ANY.

così se anche fai spoofing devi prenderti uno degli indirizzi permessi; ma a questo punto se le macchine sono accese non potrai comunque prenderli.

Quoto in pieno. Non per niente sui router Cisco il deny any è la politica di default per le ACL :D
Diciamo che però è sempre possibile un attacco DoS per far disconnettere momentaneamente una macchina con IP permesso ed utilizzare il suo ip prima che si riconnetta :P

Quoto in pieno. Non per niente sui router Cisco il deny any è la politica di default per le ACL :D
Diciamo che però è sempre possibile un attacco DoS per far disconnettere momentaneamente una macchina con IP permesso ed utilizzare il suo ip prima che si riconnetta :P

Le regole di sicurezza le si inventano perchè c'è sempre qualcuno più furbo di noi :D

E cmq ci sono protezioni per i DoS, non sono poi così semplici da effettuare se abbiamo delle macchine fatte bene ;)

Scusate l'intromissione nella discussione del tipo che è sparito, forse dopo aver sentito spoofing, mac, acl, etc...

Io ho lo stesso problema: piccola rete di studio (5pc) e vorrei bloccare semplicemente - e ripeto SEMPLICEMENTE - tutti i siti internet tranne 4/5 che gli dico io; va bene anche un blocco indiscriminato epr tutti ma meglio se solo per alcuni pc.

Il modem/router attuale è un netgear DG834 che non m consente di settare, almeno nell'interfaccia web che utilizzo io, tali regole.

Esiste un altro modo SEMPLICE e PRATICO ?

Parlavate di ACL che non so cosa siano ma è possibile che si possano utilizzare anche nel netgear per lo scopo indicato?

Grazie

Scusate l'intromissione nella discussione del tipo che è sparito, forse dopo aver sentito spoofing, mac, acl, etc...

Io ho lo stesso problema: piccola rete di studio (5pc) e vorrei bloccare semplicemente - e ripeto SEMPLICEMENTE - tutti i siti internet tranne 4/5 che gli dico io; va bene anche un blocco indiscriminato epr tutti ma meglio se solo per alcuni pc.

Il modem/router attuale è un netgear DG834 che non m consente di settare, almeno nell'interfaccia web che utilizzo io, tali regole.

Esiste un altro modo SEMPLICE e PRATICO ?

Parlavate di ACL che non so cosa siano ma è possibile che si possano utilizzare anche nel netgear per lo scopo indicato?

Grazie

Nel tuo caso utilizzerei un software di redirect-DNS, ma occorre un pc-server allo scopo. In alternativa occorre metter su un proxy.

c'è un pc che utilizziamo da server ed è praticamente sempre acceso ma in realtà ha un normale win xp home: in tal caso per fare redirect-dns come dovrei fare?

In alternativa per installare un proxy si può su un normale pc che funge da server con win xp home? C'è qualche programma da utilizzare allo scopo?

In verità mi hanno anche parlato di serverini mini linux che mi hanno detto che sono addirittura già pronti o comuqnue servono pochissime configurazioni e sono fatti apposta per limitare internet; ho pensato che si trattasse di qualche istribuzione particolare ma non ho trovato nulla in rete. Ne conoscete? Tenendo conto che non ho mai visto linux!

Grazie.

c'è un pc che utilizziamo da server ed è praticamente sempre acceso ma in realtà ha un normale win xp home: in tal caso per fare redirect-dns come dovrei fare?

In alternativa per installare un proxy si può su un normale pc che funge da server con win xp home? C'è qualche programma da utilizzare allo scopo?

In verità mi hanno anche parlato di serverini mini linux che mi hanno detto che sono addirittura già pronti o comuqnue servono pochissime configurazioni e sono fatti apposta per limitare internet; ho pensato che si trattasse di qualche istribuzione particolare ma non ho trovato nulla in rete. Ne conoscete? Tenendo conto che non ho mai visto linux!

Grazie.

Vai di proxy sul server con windows, ti conviene secondo me. Ma per informazioni più dettagliate aspetta qualcun altro, io dal livello 4 in su sono moooolto carente :D

c'è un pc che utilizziamo da server ed è praticamente sempre acceso ma in realtà ha un normale win xp home: in tal caso per fare redirect-dns come dovrei fare?

In alternativa per installare un proxy si può su un normale pc che funge da server con win xp home? C'è qualche programma da utilizzare allo scopo?

In verità mi hanno anche parlato di serverini mini linux che mi hanno detto che sono addirittura già pronti o comuqnue servono pochissime configurazioni e sono fatti apposta per limitare internet; ho pensato che si trattasse di qualche istribuzione particolare ma non ho trovato nulla in rete. Ne conoscete? Tenendo conto che non ho mai visto linux!

Grazie.

Basta adibire un server con una distro Linux estremamente user-friendly. Una volta fatto ciò basta configurare qualche regola di IPTABLES e successivamente installare e configurare SQUID come proxy. Ovviamente tutto il traffico dalla LAN verso il router deve passare dal server Linux affinchè ques'ultimo possa adempiere al suo dovere :D
Se sei interessato a questa soluzione contattami in PVT e ti fornirò un link con un'ottima guida. Ciao.

circa un migliaio di post precedenti avevo dato una soluzione facilissima... :D