Setup proxy-web filter

[peg1987]

A puro scopo didattico (per il momento) volevo impostare in casa un server proxy che mi faccia principalmente il lavoro di web filter in modo di limitare l'accesso ad alcuni siti (in particolare qunado avrò dei figli).

IL primo dubbio che mi viene è: quante schede di rete deve avere il server?
Se volessi usare il proxy in modo trasparente immagino 2, ma se volessi invece gestire il proxy su ogni pc?

Per sperimentare ho puntato su artica proxy che mi sembra davvero completo, anche se pesantuccio. Per il iniziare testerei tutto funziona in macchina virtuale.

[Kaya]

Quote:

Originariamente inviato da peg1987

A puro scopo didattico (per il momento) volevo impostare in casa un server proxy che mi faccia principalmente il lavoro di web filter in modo di limitare l'accesso ad alcuni siti (in particolare qunado avrò dei figli).

IL primo dubbio che mi viene è: quante schede di rete deve avere il server?
Se volessi usare il proxy in modo trasparente immagino 2, ma se volessi invece gestire il proxy su ogni pc?

Per sperimentare ho puntato su artica proxy che mi sembra davvero completo, anche se pesantuccio. Per il iniziare testerei tutto funziona in macchina virtuale.

Tecnicamente il proxy deve avere due schede, in quanto una è lato LAN e una lato WAN. Tuttavia potresti anche usarne solo una configurando con VLAN o anche senza (non so se il proxy poi ti permette però di usare la stessa scheda).

Cosa vuol dire "ma se volessi invece gestire il proxy su ogni pc?"?

Prova pfsense, ha tutto quello che ti serve.

[peg1987]

Quote:

Originariamente inviato da Kaya

Cosa vuol dire "ma se volessi invece gestire il proxy su ogni pc?"?

Prova pfsense, ha tutto quello che ti serve.

Intendo dover settare il proxy in ogni pc (che non sono molti), mentre in trasparent dovrei poterlo evitare.

Pfsense lo ho provato. Prima su alix, poi su VM, ma mi creava dei conflitti. Cioè quando bloccavo un sito, poi trovavo molete difficltà sbloccarlo. Oppure se dopo averlo sbloccato lo ribloccavo, in realtà il blocco non funzionava. Porvato sia su board alix che su VM (ho usato pfsene come router per anni). Ora ho trovato un altro proxy chiamato Artica ed è francese. Davvero bene fatto e si integra con il mio router mikrotik. Alla fine ho scoperto che per quello che voglio fare io basta una scheda di rete proprio grazie alla compatibilità con mikrotik.

[Tasslehoff]

Quello che vuoi ottenere è solo un proxy http, non un router, giusto?

In questo caso non ha alcun bisogno di due interfacce di rete, il proxy è semplicemente un servizio che sta in ascolto su una porta, interroga pagine web (ma non solo) per conto dei client e gliele restituisce, non deve fare alcun instradamento.

Anzi a ben vedere se non fosse per limitazioni dei software che fanno nat (es iptables) è possibilissimo configurare anche un router con una sola interfaccia di rete, basta usare degli alias e il gioco è fatto, un router agisce a layer 3, non a livello fisico; poi come ho detto ci sono spesso limitazioni software (es il citato iptables non fa nat tra interfacce virtuali, ovvero alias di nic), anche se oggi si possono tranquillamente aggirare in altro modo (es hypervisor).

Come proxy io ti consiglio di formarti su squid + squid guard, all'inizio magari puoi semplificarti la vita usando webmin per amministrare il tutto facilmente tramite interfaccia web, poi una volta presa confidenza con le ACL puoi farne a meno.

[mmiat]

Quote:

Originariamente inviato da peg1987

Pfsense lo ho provato

prova anche endian firewall

[zeMMeMMez]

Diciamo che dipende se si vuole evitare la "fuga" se non facendo alterazioni fisiche.
In questo caso allora servono effettivamente due schede di rete; nel primo caso invece una è sufficiente.

Riguardo alla domanda essenzialmente sono tutti "cugini" di squid; attenzione però che i filtri di accesso funzionano solo a white list, e non a black list.

Parliamo sempre di filtri "seri" e non di tipo domestico; inoltre sono comunque tipicamente bypassabili attraverso la porta 80 che viene lasciata aperta (e spesso anche la 443), come fa ad esempio skype.

Intercettare il traffico http in chiaro sulla porta 80 è fattibile (per evitare l'uso di servizi non autorizzati attraverso questo "trucchetto"), mentre per la 443 la cosa è diversa ed assai più difficile.

Per "blindare" in modo davvero "brutale" è necessario, oltre al proxy, un firewall vero e proprio in grado di bloccare tutti gli IP non corrispondenti alla white list (cosa implementabile in parte con squid, ma tipicamente serve anche un server DNS speciale con filtraggi davvero gagliardi).

Ciò perchè può capitare, anzi in generale capita, che ad un singolo server (un singolo IP) corrispondano 1000 siti diversi, hostati tutti poniamo su OVH, aruba e così via.

Bloccando brutalmente l'IP del server (cosa banale) si inibiscono tutti i 1000 siti ospitati.

Diciamo riassumendo che non è affatto banale mantenere un minimo di flessibilità di utilizzo ma evitando le "fughe", tunnel sock e così via

[pac0]

esiste anche una via "sempliciotta" ed utilizzare dei server DNS configurati in modo tale da fare una sorta di URL filtering.
OpenDNS offre un servizio di questo tipo in due varianti: uno è un DNS che è configurato già per utilizzare funzioni di parental control. Non richiede registrazione e non è configurabile. L'altro, che credo si chiami umbrella, permette di fare delle configurazioni specifiche su quali categorie o domini vengono accettati ma richiede registrazione e un IP pubblico statico o un servizio DynDNS.

Si lo so che è facilmente aggirabile in tantissimi modi (il più banale è impostare sul client/device un altro DNS, tipo quelli di google) ma è molto più semplice dell'usare un server proxy web in una realtà casalinga. Se si ha un gateway un minimo avanzato (tipo un Mikrotik) si possono forzare le query DNS verso un determinato IP rendendo più difficile l'aggiramento del controllo.

Per quanto riguarda comunque il proxy web ti consiglio Sophos UTM Home Edition

[peg1987]

Grazie a tutti per i consigli.

Come ho detto nel mio caso il problema è impostare una sorta di parental controll domestico.

Inizialmente avevo guardato untangle ma ha un costo di 25€ al mese per il filtraggio HTTPS, mentre con quello che ho provato io limita il numero di siti bloccati, però è gratuito, se lo vuoi completo sono 100€ all'anno! Anch'esso comunque si basa su squid.

Usare i DNS lo trovo poco pratico perchè conivolgerebbe tutta la rete, mentre io vorrei limitare un pool di indirizzi specifici della rete domestica.

AL momento, allo stato delle mie prove sono riuscito a bloccare http e https(facebook) a tutti i pc della rete, il prossimo passo e limitare la navigaizone a indirizzi specifici della mia lan. Come ho detto al momento è solo un esercizio, quindi sono aperto a prove. Specifico che non cerco un router ma solo un proxy per il web filtering e magari qualche statisca.

[zeMMeMMez]

Quote:

Originariamente inviato da peg1987

Usare i DNS lo trovo poco pratico perchè conivolgerebbe tutta la rete, mentre io vorrei limitare un pool di indirizzi specifici della rete domestica.

Purtroppo serve

Quote:

AL momento, allo stato delle mie prove sono riuscito a bloccare http e https(facebook) a tutti i pc della rete, il prossimo passo e limitare la navigaizone a indirizzi specifici della mia lan. Come ho detto al momento è solo un esercizio, quindi sono aperto a prove. Specifico che non cerco un router ma solo un proxy per il web filtering e magari qualche statisca.

Sono un pochino confuso, nel senso che vuoi consentire una white-list o una black-list? Perchè la seconda non funziona, e anche la prima è difficile in ambienti "veri".

Chiaramente se parliamo invece di bambini o simili il discorso cambia nettamente; puoi trovare per Windows addirittura dei programmi già belli che fatti e pure carini, con tanto di registrazione delle attività.

[peg1987]

Quote:

Originariamente inviato da zeMMeMMez

Purtroppo serve


Sono un pochino confuso, nel senso che vuoi consentire una white-list o una black-list? Perchè la seconda non funziona, e anche la prima è difficile in ambienti "veri".

Chiaramente se parliamo invece di bambini o simili il discorso cambia nettamente; puoi trovare per Windows addirittura dei programmi già belli che fatti e pure carini, con tanto di registrazione delle attività.

IO vorrei creare una black list. E per il momento sembra funzionare. Ho provato solo un paio di siti e la black list me li ha bloccati.
Installare i programmi su pc lo aveno pensato anche io, ma per i telfoni come si fa? Cmq al momento figli non ne ho, sto solo facendo test a scopi didattici.

[zeMMeMMez]

Quote:

Originariamente inviato da peg1987

IO vorrei creare una black list. E per il momento sembra funzionare. Ho provato solo un paio di siti e la black list me li ha bloccati.
Installare i programmi su pc lo aveno pensato anche io, ma per i telfoni come si fa? Cmq al momento figli non ne ho, sto solo facendo test a scopi didattici.

Allora la risposta è: non funziona.
Una black list non funziona e non può funzionare, bastano pochissimi secondi per bypassare il controllo

Una white list funzionicchia, ma se hai utenti smaliziati bisogna "aprire i pacchetti" e lì si torna la punto precedente.

E no, non lo faccio per scopi didattici

[pac0]

Quote:

Originariamente inviato da peg1987

IO vorrei creare una black list. E per il momento sembra funzionare. Ho provato solo un paio di siti e la black list me li ha bloccati.
Installare i programmi su pc lo aveno pensato anche io, ma per i telfoni come si fa? Cmq al momento figli non ne ho, sto solo facendo test a scopi didattici.

Esistono software antivirus che permettono la gestione centralizzata anche degli apparati mobili e effettuato URL filtering basato su categorie e su blacklist/whitelist. Kaspersky ad esempio mette a disposizione questa possiblità con l'app mobile se non ricordo male, che va poi collegata ad un server centralizzato personale, ma non conosco bene come funziona il licensing e non so se abbia senso in versione casalinga.
Io ho testato la soluzione su dei client desktop/laptop e funzionano bene, ti permette di aggiungere un livello di security anche quando l'utente (ad esempio con un laptop) è fuori dalla LAN e quindi non passa dal proxy aziendale.

[peg1987]

Quote:

Originariamente inviato da zeMMeMMez

Allora la risposta è: non funziona.
Una black list non funziona e non può funzionare, bastano pochissimi secondi per bypassare il controllo

Me la puoi spiegare velocemente come fare che non sia Tor?