Blocco traffico

[gecco]

Buonasera,
ho comprato un RB760iGS
volevo tracciare e bloccare il traffico internet
nel mio ufficetto, pensavo di attivare
un web proxy ma non blocca facebook o
altri siti di gioco, scommesse o altro.

come mi consigliate di agire?
cosa posso fare?

N.B. il web proxy al momento è attivo e sembra funzionare
è con facebook,ho provato ad attivare il blocco tramite
layer 7 ma, probabilmente sono incapace,mi si blocca tutto il traffico

[TSI-Troccoli]

Visti gli sviluppi di Quic, il fatto che le connessioni siano oramai quasi tutte https ecc. la cosa migliore sarebbe utilizzare dei dns che ti consentano di effettuare il filtraggio dei siti, poi redirigi alla RB tutte le richieste destinate alla 53 in modo che tu abbia il controllo anche di chi imposta manualmente i DNS.
Altrimenti dovresti bloccare il protocollo udp sulla 443 in modo da inibire il Quic su Chrome etc. e poi usare il campo tls host nelle filter rules per bloccare tutti i domini che ti servono.
Per essere ancora più sicuro potresti applicare entrambe le soluzioni, in ogni caso oggi è sempre più complesso filtrare e, volendo, chi è in ufficio potrebbe instaurare una vpn che usa la 443 TCP in modo da aggirare qualsiasi filtro.

[gecco]

Innazitutto,
grazie per le idee e per la risposta,
purtroppo sto notando che non è così facile come pensavo.

come servizio Dns stavo guardando
opendns, lo avete già testato? come vi sembra?

e poi magari per andare sullo specifico,
così da poter decidere chi si e chi no,
seguendo quello che mi hai detto,
ho marcato i pacchetti di alcuni siti
tipo: facebook, twitter, youtube
facebook mi funziona e riesco almeno per il momento a bloccare il traffico
con youtube e twitter non sembra voler ascoltare,
vedo che lo traccia ma non lo blocca eppure le regole mi sembrano uguali.

continuerò a provare, se avete altri consigli
son sempre a disposizione.

[uniconnect]

Le considerazioni fatte dall'amico Troccoli sono tutte giuste ma potresti anche provare ad usare il "Layer7 Protocols" per creare delle liste di siti che vuoi forwordare, io quanlche anno fa per un'esigenza simile alla tua avevo risolto parzialmente, in quanto, come detto, basta creare un servizio esterno sulla 443 per eludere in firewall. Puoi trovare comunque in rete delle guide che ti descrivono come creare il filtro.
La soluzione più completa è sicuramente lavorare sulle richieste del DNS. Per quanto riguarda OpenDNS anche qui quoto quanto detto da Troccoli; lo uso da diverso tempo e va!! Intendiamoci, non è la panacea a tutti i mali ma per servizi che prevedono il controllo di molti client/minuto è da preferire ...Funziona bene ed è affidabile. Superati i 3 IP pubblici devi però acquistare un profilo PRO a pagamento.

Ciao

A.

[uniconnect]

errata corrige .... lascia stare L7 ... mi spiego meglio, va bene per i siti http ma non funziona con chrome in https ... quindi dovresti adottare alla fine entrambe i filtri per avere un controllo anche sulla parte udp e tls.
Il discorso DNS invece rimane valido.

Ciao

A.

[gecco]

Ringrazio ancora a chi ha risposto
o solo ha pensato ai miei quesiti,
è stata una settimana impegnativa,

come avete detto è molto difficile,
infatti nessuna soluzione è soddisfacente
per tutti i domini,
per ora la marcatura dei vari domini e poi blocco
è quella che ha maggior successo,
tranne per youtube,twitter,pinterest e pochi altri siti

Ora sto pensando di fare al contrario,
nel senso, fin'ora ho lasciato aperto
e ho provato a bloccare solo quello che mi interessava,
Oggi mi è venuto in mente e se faccio il contrario?
blocco completamente l'accesso ad internet,
e rendo accessibili solo alcuni domini
(se qualcuno ha suggerimenti è sempre ben accetto),
immagino che non sia facile e non so ancora bene come farlo;
ma come si dice tentar non nuoce.