bloccare in ufficio alcuni siti

[Yoghurt]

devo bloccare, per esigenze di cloud computing, una serie di siti
internet

sono indeciso se affidare il compito ad un nuovo router, perchè lo
zyxel che ho al momento non è in gradi di farlo, oppure se utilizzare
un software come Endian

dal punto di vista delle risorse, endian riuscirebbe a girare su uno
dei pc già in rete? o necessita di una nuova macchina?

dal punto di vista della configurazione e dell'affidabilità, quale è la
soluzione che preferite?
i 3 tecnici a cui ho chiesto hanno 3 idee diverse (router - nuovo pc -
pc già presente)

la rete è molto semplice

un router che fa da gateway, 1 pc che fa da server ad un software
contabile, 10 pc e 6 stampanti, uno smartphone
da un altro ufficio si collegheranno 2 pc sul software contabile, che è
in cloud computing
tra i pc, il server ed uno dei pc, sono altamente performanti e sono
accesi 24/24 7/7

--
Yoghurt

Non so se ti rendi conto che quando fai così
la discussione diventa un soliloquio mascherato da dialogo.

Yoghurt a Mk - IAT - 22/06/2012

[Mirko Borsari]

Ciao Yoghurt in data Wed, 02 Oct 2013 12:43:00 +0200, hai scritto:

> devo bloccare, per esigenze di cloud computing, una serie di siti
> internet
>
> sono indeciso se affidare il compito ad un nuovo router, perchè lo
> zyxel che ho al momento non è in gradi di farlo, oppure se utilizzare
> un software come Endian

se devi solo bloccare qualche sito puoi prendere un router/firewall
con web filtering e te la cavi con poca spesa e minima configurazione.
Chiaro che se poi le esigenze si complicano potresti trovarti
nuovamente a piedi e quindi potrebbe valer la pena usare prodotti più
performanti/costosi/complessi, ma questo lo sai tu.

PS. se l'ambiente lo consente potresti fare il tutto anche tramite dns
a costo zero.


--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo em@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente.

[ObiWan]

> sono indeciso se affidare il compito ad un nuovo router, perchè lo
> zyxel che ho al momento non è in gradi di farlo, oppure se utilizzare
> un software come Endian
>
> dal punto di vista delle risorse, endian riuscirebbe a girare su uno
> dei pc già in rete? o necessita di una nuova macchina?

Iniziamo col dire che un qulsiasi s/w come "endian" necessita di una
macchina dedicata; ossia non è che puoi installare il s/w su un sistema
e poi usarlo per N-mila altre cose :) detto questo... mi chiedo perchè
tu stia riferendoti solo/proprio ad endian, visto e considerato che in
giro ci sono pacchetti simili ma (secondo me) molto migliori; ad esempio

http://www.pfsense.org/

vedi... endian è uno dei tanti "fork" derivati dallo stesso package
iniziale e, sinceramente, tutti questi packages soffrono dello stesso,
identico difetto; ossia cercano di essere "tutto per tutti" con una
marea di add-ons, tazzi, lazzi e mazzi... e finiscono per diventare
degli elefanti... che NON servono a nulla (ok, si fa per dire); credo
che se ti facessi un giro con PFSense potresti scoprire che esistono
delle alternative ai "cloni di IPCop" :) ... ed alternative valide,
anzi, per certi versi, superiori

> un router che fa da gateway, 1 pc che fa da server ad un software
> contabile, 10 pc e 6 stampanti, uno smartphone

ti servirà un PC dedicato, sia che tu decida di usare "endian" sia che
tu decida di usare "PFsense" o qualsivoglia altra "firewall distro"; ad
ogni modo, ti converrà configurare il tutto in questo modo

Internet
|
router (in modalità bridge)
|
+---
|
PFsense
|
switches
|
LAN

in tal modo il router NON farà NAT o altro ma fungerà semplicemente da
"bridge" trasparente a TUTTO il traffico, PFsense (o quello che
deciderai di usare) invece fungerà da NAT, Firewall, traffic-shaper,
proxy, filter ... eccetera; potrai poi eventualmente inserire uno
switch dove ho messo il "+---" per connettere sistemi che dovranno
essere esposti ad internet (ma NON connessi direttamente alla LAN)

[Yoghurt]

Mirko Borsari ha rotto il cazzo e dice:

> se devi solo bloccare qualche sito puoi prendere un router/firewall
> con web filtering e te la cavi con poca spesa e minima configurazione.

piu' che altro il contrario
bloccare tutto tranne:
-
-
-
etc
e possibilmente intervenire, ora che ci penso, anche sulle applicazioni
tipo facebook o twitter per desktop

> Chiaro che se poi le esigenze si complicano potresti trovarti
> nuovamente a piedi e quindi potrebbe valer la pena usare prodotti più
> performanti/costosi/complessi, ma questo lo sai tu.

> PS. se l'ambiente lo consente potresti fare il tutto anche tramite dns
> a costo zero.

non so se però le mie competenze sono aqbbastanza per prndere questa
decisione :)

--
Yoghurt

snowdog ci ha detto:
> qqrqq

palomaaaaaaaaaaa

(Yoghurt, IAT 26.11.2009)

[Yoghurt]

ObiWan ci rende partecipi che:

> Iniziamo col dire che un qulsiasi s/w come "endian" necessita di una
> macchina dedicata; ossia non è che puoi installare il s/w su un sistema
> e poi usarlo per N-mila altre cose :)

ok

> detto questo... mi chiedo perchè
> tu stia riferendoti solo/proprio ad endian, visto e considerato che in
> giro ci sono pacchetti simili ma (secondo me) molto migliori; ad esempio
> http://www.pfsense.org/

endian solo perchè il tecnico che mi parlava di questo tipo di
apporccio, mi ha proposto endian motivando con:
- basso costo
- in ogni caso c'è la versione free
- altamente customizzabile
- tutto in italiano
- l'ho montato da un sacco di gente e va che è una bomba

> vedi... endian è uno dei tanti "fork" derivati dallo stesso package
> iniziale e, sinceramente, tutti questi packages soffrono dello stesso,
> identico difetto; ossia cercano di essere "tutto per tutti" con una
> marea di add-ons, tazzi, lazzi e mazzi... e finiscono per diventare
> degli elefanti... che NON servono a nulla (ok, si fa per dire); credo
> che se ti facessi un giro con PFSense potresti scoprire che esistono
> delle alternative ai "cloni di IPCop" :) ... ed alternative valide,
> anzi, per certi versi, superiori

ok, grazie

>> un router che fa da gateway, 1 pc che fa da server ad un software
>> contabile, 10 pc e 6 stampanti, uno smartphone

> ti servirà un PC dedicato, sia che tu decida di usare "endian" sia che
> tu decida di usare "PFsense" o qualsivoglia altra "firewall distro"; ad
> ogni modo, ti converrà configurare il tutto in questo modo

> Internet
>>
> router (in modalità bridge)
>>
> +---
>>
> PFsense
>>
> switches
>>
> LAN

> in tal modo il router NON farà NAT o altro ma fungerà semplicemente da
> "bridge" trasparente a TUTTO il traffico, PFsense (o quello che
> deciderai di usare) invece fungerà da NAT, Firewall, traffic-shaper,
> proxy, filter ... eccetera; potrai poi eventualmente inserire uno
> switch dove ho messo il "+---" per connettere sistemi che dovranno
> essere esposti ad internet (ma NON connessi direttamente alla LAN)

ok, grazie
quindi comunque, il software qualunque esso sia, consente di gestire
numerose funzionalità, tra cui il consentire accesso alla rete o al wan
ad alcuni indirizzi ip da quanto vedo

infine, in una struttura piccola come quella descritta, l'utilizzo di
un software è consigliato, oppure sarebbe troppo ridondante o
sovradimensionato?

--
Yoghurt

Declamando una poesia Vogon, Connor MacLeod farfuglia:
>> al culo, i gelati

> magari

[ObiWan]

> > se devi solo bloccare qualche sito puoi prendere un router/firewall
> > con web filtering e te la cavi con poca spesa e minima
> > configurazione.

> piu' che altro il contrario
> bloccare tutto tranne:

NON FUNZIONA :) vedi, ti troveresti a SBLOCCARE siti su siti su base
giornaliera, considera che qualsiasi pagina web, anche quelle "che sono
permesse" carica parte dei contenuti da servers "terzi" il che
significa che se NON abilitassi anche questi le pagine... non sarebbero
visualizzabili; lo "chiudi tutto, apri solo ..." non è un approccio che
possa funzionare a meno di non avere uno staff dedicato ed un sistema
di filtraggio abbastanza sofisticato

[ObiWan]

> infine, in una struttura piccola come quella descritta, l'utilizzo di
> un software è consigliato, oppure sarebbe troppo ridondante o
> sovradimensionato?

PFSense gira senza problemi anche su una schedina con sopra un
"Atom" :) quindi non credo sia "sovradimensionato" ... che c'entra, il
s/w scala tranquillamente anche su realtà con configurazioni CARP, high
availability etc etc... ma, appunto ... *scala* il che significa che si
può usare anche in una piccola realtà; considera però che in ogni caso,
sia che tu scelga Endian, IPCop, SmoothWall, ZeroShell, m0n0wall o,
come ho suggerito, PFSense, avrai *comunque* bisogno di una macchina
dedicata, con almeno due schede di rete (LAN e WAN) e che sia in grado
di stare accesa con continuità

[Mirko Borsari]

Ciao ObiWan in data Wed, 2 Oct 2013 16:19:29 +0200, hai scritto:


> NON FUNZIONA :) vedi, ti troveresti a SBLOCCARE siti su siti su base
> giornaliera, considera che qualsiasi pagina web, anche quelle "che sono
> permesse" carica parte dei contenuti da servers "terzi" il che
> significa che se NON abilitassi anche questi le pagine... non sarebbero
> visualizzabili; lo "chiudi tutto, apri solo ..." non è un approccio che
> possa funzionare a meno di non avere uno staff dedicato ed un sistema
> di filtraggio abbastanza sofisticato

funziona, funziona... ho un cliente che è impostato in quel modo. E a
parte le lamentele degli utenti grossi problemi di gestione non ce ne
sono.
Come sistema di filtraggio uso fortinet.

[ObiWan]

> > NON FUNZIONA :) vedi, ti troveresti a SBLOCCARE siti su siti su base
> > giornaliera, considera che qualsiasi pagina web, anche quelle "che

[...]

> funziona, funziona... ho un cliente che è impostato in quel modo.

per funzionare funziona, quel mio "non funziona" era relativo alla
problematica che ho descritto

> E a parte le lamentele degli utenti

Appunto... :) ed a quel punto dipende dagli "utenti", se ti capita il
"nipote del titolare" o il "vecchio amico" che han "bisogno assoluto"
di accedere a certi siti e che si lamentano perchè "non si vede
niente" (magari perchè la pagina del sito X fa ennemila "include" verso
siti esterni) ... ad ogni modo, de gustibus; io personalmente quando si
tratta di filtraggi di questo genere preferisco lavorare alla rovescia;
di contro, quando si tratta di firewalls il "chiudi tutto (in entrata
ed in USCITA, apri solo se e come necessario" è e rimane l'approccio
corretto :D

[Yoghurt]

ObiWan ha rotto il cazzo e dice:

> Appunto... :) ed a quel punto dipende dagli "utenti", se ti capita il
> "nipote del titolare" o il "vecchio amico" che han "bisogno assoluto"
> di accedere a certi siti e che si lamentano perchè "non si vede
> niente" (magari perchè la pagina del sito X fa ennemila "include" verso
> siti esterni) ...

non ci sono nipoti ed amici, ho solo dipendenti e sto iniziando a
diventare davvero talebano riguardo l'argomento
il cloud computing arriva proprio a fagiuolo per chiarire certe cose
senza farli incazzare troppo

> ad ogni modo, de gustibus; io personalmente quando si
> tratta di filtraggi di questo genere preferisco lavorare alla rovescia;
> di contro, quando si tratta di firewalls il "chiudi tutto (in entrata
> ed in USCITA, apri solo se e come necessario" è e rimane l'approccio
> corretto :D

in quel caso dovrei inserire i siti proibiti e aggiornarli in base alle
cronologie degli utenti :)

--
Yoghurt

Ah, dopo aver visto la tua performance odierna su IAT, voglio vedere
se avrai ancora il coraggio di darmi del fancazzista nei mesi in cui
sono top poster su ICGA...

Topolaccio a Conny - IAT in xpost con ICGA - 14.10.2011

[Mirko Borsari]

Ciao ObiWan in data Wed, 2 Oct 2013 17:42:58 +0200, hai scritto:


>> E a parte le lamentele degli utenti
>
> Appunto... :) ed a quel punto dipende dagli "utenti", se ti capita il
> "nipote del titolare" o il "vecchio amico" che han "bisogno assoluto"
> di accedere a certi siti e che si lamentano perchè "non si vede

questo non è un problema mio, se il titolare autorizza io apro,
altrimenti niente. Che poi comunque il tutto è basato su AD, gli
esterni arrivano al captive portal e possono usare utenze guest.

> niente" (magari perchè la pagina del sito X fa ennemila "include" verso
> siti esterni) ... ad ogni modo, de gustibus; io personalmente quando si

ti dirò che questo su sito normali (lavorativi) non è proprio un
problema.

> tratta di filtraggi di questo genere preferisco lavorare alla rovescia;

ah bhe chiaro, solitamente blocco determinate categorie ma quando ti
chiedono di bloccare tutto e aprire solo il remote banking non è che
ci sia da fantasticare molto sulle soluzioni...
Nel caso specifico dopo un periodo iniziale dove nessuno navigava il
titolare ha mollato un po' la presa e alcuni utenti possono ora
navigare, ovviamente sempre limitati dal web filter (e anche un po' di
application control...).

[Valerio Vanni]

On Wed, 2 Oct 2013 14:11:26 +0200, Mirko Borsari <ne...@bsi-net.it>
wrote:

>PS. se l'ambiente lo consente potresti fare il tutto anche tramite dns
>a costo zero.

In alcuni casi la richiesta è di un blocco a fasce orarie (che so, se
uno vuole andare su facebook durante la pausa pranzo ci può andare).
Via DNS non è fattibile, dato che i valori rimangono in cache.

Mi sono trovato di recente a cercare di impostare la cosa su uno
Zywall 5: la gestione delle fasce orarie è perfetta perché i filtraggi
hanno le schedulazioni, ma la macchina ha una pessima gestione del
blocco.

Se c'è anche un solo oggetto vietato (che so, un'immaginetta "mi piace
su facebook") sarebbe giusto che questo non venisse caricato.
Invece l'intera pagina viene sostituita da "sito non permesso".

E' un prodotto un po' vecchio ormai, sui nuovi modelli Zyxel la cosa è
migliorata?


--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.

[cursum perficio]

Yoghurt ha scritto:

> ObiWan ha rotto il cazzo e dice:
>> Appunto... :) ed a quel punto dipende dagli "utenti", se ti capita il
>> "nipote del titolare" o il "vecchio amico" che han "bisogno assoluto"
>> di accedere a certi siti e che si lamentano perchè "non si vede
>> niente" (magari perchè la pagina del sito X fa ennemila "include" verso
>> siti esterni) ...
>
> non ci sono nipoti ed amici, ho solo dipendenti e sto iniziando a
> diventare davvero talebano riguardo l'argomento
> il cloud computing arriva proprio a fagiuolo per chiarire certe cose
> senza farli incazzare troppo

sono curioso di sapere in che modo c'entra il cloud computing

[Mirko Borsari]

Ciao Valerio Vanni in data Wed, 02 Oct 2013 19:55:16 +0200, hai
scritto:

>>PS. se l'ambiente lo consente potresti fare il tutto anche tramite dns
>>a costo zero.
>
> In alcuni casi la richiesta è di un blocco a fasce orarie (che so, se
> uno vuole andare su facebook durante la pausa pranzo ci può andare).
> Via DNS non è fattibile, dato che i valori rimangono in cache.

infatti dipende dall'ambiente e da come si vuole implementare...

> E' un prodotto un po' vecchio ormai, sui nuovi modelli Zyxel la cosa è
> migliorata?

io l'ultimo zywall che ho usato è stato un 70, stessa famiglia del 5,
e stesso cesso del 5 (ma almeno il 5 costava poco).
Sui primi usg so che la gestione era identica, sugli attuali non
saprei.

[Aladino]

ObiWan <alb.20.t...@spamgourmet.com> wrote:

Noi avevamo questo schema in ufficio, e devo dire che funzionava.

> Internet
> |
> router (in modalit� bridge)
> |
> +---
> |
> PFsense
> |
> switches
> |
> LAN

Come regola abbiamo applicato il "chiudi tutto e passa solo autorizzati"
nell'orario di lavoro, ed il "blocca certi siti" al di fuori di questo
orario. Se serviva, aggiungevo una regola ad-hoc per un client
(riconoscimento basato sull'IP interno).
Come hardware, abbiamo usato un PC Engines ALIX che consuma poco.
PFsense l'abbiamo messo principlamente come server OpenVPN, ma poi
abbiamo implementato anche il filtraggio. Parlo al passato perch� lo
studio � restato con i soli titolari di cui non faccio parte (da 7
persone che eravamo :-(
Per le applicazioni facebook/twitter penso che basti bloccare il sito,
Skype � pi� difficile da gestire... ma il problema si risolve alla
radice non permettendo l'installazione.

--
Per contattarmi, togliere -NOSPAM- dall'indirizzo.
To contact me, remove -NOSPAM- from address.

[meddix on ubububu]

Il 03/10/2013 08:59, Aladino ha scritto:
> Per le applicazioni facebook/twitter penso che basti bloccare il sito,

non basta... mi passano su con il protocollo https.... hai idea di come
fare?

[Yoghurt]

cursum perficio, nyubbyna, narra che:

> sono curioso di sapere in che modo c'entra il cloud computing

infatti ad esempio facebook non occupa banda, vero?

--
Yoghurt

Declamando una poesia Vogon, FabMind farfuglia:
> devo dire che in veste di innamorato e fidanzato il berlusca diventa
> piu' vicino a tutti noi,si devo dire che a me piace

Fabmind - IAT - 19/12/2012

[Aladino]

meddix on ubububu <sopr...@fatti.miei> wrote:

> non basta... mi passano su con il protocollo https.... hai idea di come
> fare?

Non permettendo l'installazione delle applicazioni. Il fatto è che anche
se chiudi tutto, ormai quasi tutti hanno uno smartphone, e se hanno
quella di perdere tempo il modo lo trovano.

[Mirko Borsari]

Ciao meddix on ubububu in data Thu, 03 Oct 2013 09:08:14 +0200, hai

scritto:

>> Per le applicazioni facebook/twitter penso che basti bloccare il sito,
>
> non basta... mi passano su con il protocollo https.... hai idea di come
> fare?

application control e ispezione https...

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo em@il non č da considerarsi pubblico,

[Yoghurt]

Mirko Borsari ha rotto il cazzo e dice:

>>> Per le applicazioni facebook/twitter penso che basti bloccare il sito,
>>
>> non basta... mi passano su con il protocollo https.... hai idea di come
>> fare?

> application control e ispezione https...

comunque un paio di cose l'ho capite
1. da solo non ce la farò mai
2. nessuno mi ha consigliato di prendere il router

--
Yoghurt

A'Tuin la Bisciascuela, Moska, Kink, Manfredo, Raffaella Carrà, snowdog
Mary Nox, Tony Randine, The Tiz, mfisk, Carminosky, uno nuovo, Joe
Zarlingo,
il falso Demetrio, Fabio Piva, Russel Coutts, Lello Vitello, Rensy,
Beccoblu, Zonter,
pecora nera, Acida, Beronz, Yoghi, rgrassi, ska, Sssilvia, Alim Bey .
Ci piace ricordarli così
Riposate in pace

[Mirko Borsari]

Ciao Yoghurt in data Thu, 03 Oct 2013 12:11:47 +0200, hai scritto:

>> application control e ispezione https...
>
> comunque un paio di cose l'ho capite

> 1. da solo non ce la far� mai

> 2. nessuno mi ha consigliato di prendere il router

io si... anche se visto poi lo sviluppo forse � meglio un firewall...
scrivimi in privato...

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo em@il non � da considerarsi pubblico,

[Cristian Mammoli]

On 03/10/2013 09:18, Yoghurt wrote:

> infatti ad esempio facebook non occupa banda, vero?
>

E cosa ha a che fare col cloud computing di grazia?

[Mirko Borsari]

Ciao Cristian Mammoli in data Thu, 03 Oct 2013 13:11:38 +0200, hai
scritto:

> On 03/10/2013 09:18, Yoghurt wrote:
>
>> infatti ad esempio facebook non occupa banda, vero?
>>
>
> E cosa ha a che fare col cloud computing di grazia?

bhe immagino che dovendo utilizzare il cloud per lavoro e in modo
intensivo si cerchi di evitare tutto quello che non serve ma che
occupa banda... no?

--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1200R Lightgrey

L'indirizzo em@il non � da considerarsi pubblico,

[Yoghurt]

Cristian Mammoli ha forse pensato:

> E cosa ha a che fare col cloud computing di grazia?

se il server in cloud è nel mio studio cosa c'entrerà mai?
dai, adesso vai a cliccare su mi piace, su

--
Yoghurt

la squssy e' la squagion
di tutti gli squali
Snowdog - IAT
22/01/2010, il giorno degli squali

[Cristian Mammoli]

On 03/10/2013 14:14, Yoghurt wrote:
> Cristian Mammoli ha forse pensato:
>> E cosa ha a che fare col cloud computing di grazia?

Continua a sfuggirmi il punto sinceramente.

[ObiWan]

> Skype è più difficile da gestire... ma il problema si risolve alla

> radice non permettendo l'installazione.

Mica tanto, si blocca anche skype... dipende dal firewall/filter ;)

[ObiWan]

> non basta... mi passano su con il protocollo https.... hai idea di
> come fare?

Dipende da come hai implementato il blocco e da cosa fa il tuo proxy;
se il proxy gestisce solo HTTP, la vedo abbastanza dura, anche se ci
sarebbe la possibilità di implementare (sia) web (ch)e DNS filtering

[Aladino]

ObiWan <alb.20.t...@spamgourmet.com> wrote:

> Mica tanto, si blocca anche skype... dipende dal firewall/filter ;)

Infatti non ho detto che non si pu�... ma non so quanto valga la pena
sbattersi, a meno che non si riesca a bloccare l'uso degli smartphone.
Da noi avevo semplicemente impossibilitato gli utenti di installare
applicazioni e skype ce l'avevo io e un titolare nella home dell'utente
(per uso prettamente inerente al lavoro).
Il fatto � che poco dopo aver messo a punto il filtro, chi non aveva
interesse nel lavoro che stava facendo, ha trsferito le sue attenzioni
sullo smartphone. E alla fine non ha avuto tutti i torti, visto che
anche chi si � dannato per lo studio ha avuto il benservito... :-(