[rete] bloccare tutto ciò che non è una richiesta web

cagnaluia · 21-07-2009, 08:57

Ciao,

la metto la, generica..

Ma come faccio in una rete, per bloccare tutto quel traffico diverso da richieste che normalmente si fanno quando si naviga.
In particolare penso a tutti quei software che cercano aggiornamenti in rete.
Da Adobe Acrobat, a Nokia Pc Suite, da Skype al browser stesso.
?

slowped · 21-07-2009, 13:16

Quote:

Originariamente inviato da cagnaluia

Ciao,

la metto la, generica..

Ma come faccio in una rete, per bloccare tutto quel traffico diverso da richieste che normalmente si fanno quando si naviga.

Consenti solo il traffico che esce sulla porta 80.

hitman80 · 21-07-2009, 17:47

anche la 53 per i DNS .. altrimenti non puoi far risolvere i nomi

slowped · 22-07-2009, 10:10

Quote:

Originariamente inviato da hitman80

anche la 53 per i DNS .. altrimenti non puoi far risolvere i nomi

Giusto. Tieni presente che il servizio DNS va sia su tcp che udp.

cagnaluia · 22-07-2009, 10:14

giusto!

bene, grazie

hitman80 · 22-07-2009, 13:01

In alcuni casi potrebbe essere necessaria anche la porta 443 per le connessioni in https ( banche , webmail... )

cagnaluia · 22-07-2009, 16:19

mah... penso che non serve a niente bloccare tutto fuorchè la porta 80, perchè tutti quei software tentano l'aggiornamento appunto aprendo un collegamento sulla porta 80....

serve qualcos altro..

immagino:

1. conoscere l'URL o l'IP di dove OGNI software fa il collegamento.
2. bloccare quell' URL/IP

slowped · 23-07-2009, 09:26

Quote:

Originariamente inviato da cagnaluia

serve qualcos altro..
immagino:
1. conoscere l'URL o l'IP di dove OGNI software fa il collegamento.
2. bloccare quell' URL/IP

Può diventare un'incubo. Ci sono soluzioni alternative che però dipendono dal sistema operativo installato sulle macchine e da altri dettagli della rete che non ci hai fornito.

Per esempio, su macchine windows potresti configurare il firewall di windows sui singoli PC in modo da consentire l'accesso alla rete solo a internet explorer o agli eventuali altri browser installati. Se poi le macchine fanno parte di un dominio AD potresti distribuire la configurazione del firewall di windows tramite le GPO.

La soluzione di bloccare l'url/ip può essere praticabile, ma dipende molto da quali strumenti hai a disposizione. Potresti usare un firewall centralizzato, ma se l'unico che hai a disposizione è quello integrato nei router di fascia bassa diventa molto poco pratico e dispendioso in termini di tempo. Certo se hai un firewall dedicato o un router di fascia alta (cisco, giusto per fare un nome) il discorso cambia.

Potresti infine utilizzare un proxy, che in generale consente una maggiore flessibilità di configurazione con le acl.

In ogni caso, per fornirti risposte più precise occorre conoscere qualche dettaglio della tua rete.

cagnaluia · 23-07-2009, 10:18

no no no...

nessun intervento in "loco".... sulla macchina.

qualsiasi intervento, va fatto a monte/valle della connessione...

internet --- router --- | firewall/gateway |--- rete locale

quindi intervendo SOLO su firewall o gateway... ad hoc.

slowped · 23-07-2009, 10:34

Quote:

Originariamente inviato da cagnaluia

qualsiasi intervento, va fatto a monte/valle della connessione...

internet --- router --- | firewall/gateway |--- rete locale

quindi intervendo SOLO su firewall o gateway... ad hoc.

Allora tutto dipende dagli strumenti che ti mette a disposizione il firewall/gateway.

Io ti suggerirei prima di tutto di bloccare tutto tranne le porte precedentemente indicate. Da un lato è vero che non risolvi il problema di alcuni aggiornamenti che usano la porta 80, ma comunque bloccheresti una parte del traffico non desiderato (oltre a quanto indicato in precedenza, se avete la necessità "lecita" di inviare posta in uscita dovresti consentire il traffico sulla porta 25 per il protocollo smtp).

Poi, se il firewall ti mette a disposizione delle funzionalità di filtro su URL, cominciare a individuare quelle che vuoi eliminare e iserire delle apposite regole.

cagnaluia · 23-07-2009, 10:40

si, farò proprio così

slowped · 23-07-2009, 10:42

Quote:

Originariamente inviato da cagnaluia

si, farò proprio così

Solo per soddisfare la mia curiosità: cosa utilizzarai? un firewall hardware, uno software oppure un proxy?

cagnaluia · 23-07-2009, 11:11

Quote:

Originariamente inviato da slowped

Solo per soddisfare la mia curiosità: cosa utilizzarai? un firewall hardware, uno software oppure un proxy?

si, dopo tanti anni di attività abbiamo dismesso qualche giorno fa un vecchio watchguard. Ed è arrivato un modello nuovo.

Abbiamo: watchguard + proxy websense....

Con il nuovo watchguard però c'è la possibilità di fare tante nuove cose:
dalla scansione antivirus, antispam, alle funzioni (molto più limitate però..) di websense.

slowped · 23-07-2009, 11:13

Grazie.

21-07-2009, 08:57	#1
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10821	[rete] bloccare tutto ciò che non è una richiesta web Ciao, la metto la, generica.. Ma come faccio in una rete, per bloccare tutto quel traffico diverso da richieste che normalmente si fanno quando si naviga. In particolare penso a tutti quei software che cercano aggiornamenti in rete. Da Adobe Acrobat, a Nokia Pc Suite, da Skype al browser stesso. ? __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

22-07-2009, 10:14	#5
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10821	giusto! bene, grazie __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

22-07-2009, 16:19	#7
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10821	mah... penso che non serve a niente bloccare tutto fuorchè la porta 80, perchè tutti quei software tentano l'aggiornamento appunto aprendo un collegamento sulla porta 80.... serve qualcos altro.. immagino: 1. conoscere l'URL o l'IP di dove OGNI software fa il collegamento. 2. bloccare quell' URL/IP __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

23-07-2009, 10:18	#9
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10821	no no no... nessun intervento in "loco".... sulla macchina. qualsiasi intervento, va fatto a monte/valle della connessione... internet --- router --- \| firewall/gateway \|--- rete locale quindi intervendo SOLO su firewall o gateway... ad hoc. __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

23-07-2009, 10:40	#11
cagnaluia Senior Member Iscritto dal: Oct 2003 Città: TV Messaggi: 10821	si, farò proprio così __________________ cagnaluia MTB\|DH\|Running\|Diving Eos1DX\|16-35f4Lis\|35f1.4L\|100f2\|300F4LIS

21-07-2009, 17:47	#3
hitman80 Member Iscritto dal: Jun 2005 Messaggi: 207	anche la 53 per i DNS .. altrimenti non puoi far risolvere i nomi

22-07-2009, 13:01	#6
hitman80 Member Iscritto dal: Jun 2005 Messaggi: 207	In alcuni casi potrebbe essere necessaria anche la porta 443 per le connessioni in https ( banche , webmail... )

23-07-2009, 11:13	#14
slowped Senior Member Iscritto dal: Nov 2007 Messaggi: 1779	Grazie. __________________ slowped

Strumenti
Mostra una versione stampabile Invia questa pagina per email