Bloccare accesso a sito internet, possibile?

[faxus]

Ecco, Andri, vai qui:

http://www.macitynet.it/forum/showthread.php?t=63808

Considera che la gui del Mac, le belle cose che vedi sul monitor e i comandi che esegui cliccando sui bottoni, trascinando, modificando e copiando elementi, icone e cartelle ecc, non sono altro che l'interfaccia grafica della shell.

La finestra che si apre con il prompt, quelle righe che appaiono in automatico nella finestra e attendono tue disposizioni, che in OSX si chiama Terminale.

In pratica qualsiasi cosa che fai col mouse sul monitor corrisponde ad un comando di Terminale.

Per le esigenze normali e anche di più, hai sempre a disposizione un'operazione che puoi fare sulla gui.

Ma a volte, sia per esigenze particolari, come quella che hai espresso di selezionare un sito che vuoi escludere dal browser, o per maggiore incisività, devi usare Terminale direttamente.

Stai usando un sistema Unix, ora puro, con Leopard (ma anche Tiger lo è di fatto) e i sistemi **x si adoperano con i comandi della shell.

Poi che OSX si possa adoperare anche solo con l'interfaccia grafica, è un vantaggio, non una limitazione

[andri85]

ragazzi mi sa che per me è troppo difficile. rischio di fare casini con il terminale a preferisco non toccare. se avete notizia di qualche programmino semplice dove basta inserire una password e mettere l'elenco dei siti da bloccare, e che non possa essere aggirato facilmente in altri modi come succedeva con BlocSite, fatemelo sapere. grazie

andri

[apo758]

Bloccarlo via OpenDNS?

[andri85]

Bloccarlo via OpenDNS?

puoi spiegarmi di che si tratta? sai, non sono proprio un genio informatico come si può evincere leggendo i miei post :o

[apo758]

Cambi i DNS del router o del modem con quelli di OpenDNS. Ti crei un account su quel sito e da lì puoi aggiungere o togliere il blocco ad alcuni siti. Ovviamente saranno bloccati tutte le macchine sotto il tuo router.

[andri85]

Il mio consiglio è quello di utilizzare il firewall di Mac OS X.

No, non la GUI dalle impostazioni di rete, ma proprio da terminale. Abbiamo a disposizione uno dei migliori firewall mai concepiti: ipfw. In una sola riga bloccate tutti i siti che volete.

Disclaimer, come al solito: *usate con parsimonia*!

Istruzioni:

• Aprite il terminale
• Digitate sudo ipfw add 100 deny ip from <vostro_ip_di_sottorete_stile_192.168.ecc.ecc.> to <ip_del_sito_da_bloccare>

  ad esempio sudo ipfw add 100 deny ip from 192.168.1.8 to 212.243.45.88

• premete invio e inserite la password di root quando richiesto.

Provate se ha funzionato: pingate il sito incriminato.. non dovreste riuscire a farlo

output -> ping: sendto: Permission denied

Potete anche cercare di accedere via web al sito: non ci riuscirete.

Aggiungete anche una regola per il "viceversa", ovvero bloccare tutto il traffico DALL'ip incriminato verso voi (superfluo, ma comunque utile):

La regola da dare è

sudo ipfw add 200 deny from <ip_sito_incrimnato> to <nostro_ip_di_sottorete_stile_192.168.ecc.ecc.>

Date invio ed inserite la password di root.

Tutto qui.

Per cancellare le regole, quando e se volete farlo, basta dare un

sudo ipfw list

Per verificare il numero della regola da cancellare, seguito da un

sudo ipfw delete <numero_regola>

Ad esempio

sudo ipfw delete 100

sudo ipfw delete 200

IMPORTANTE: non cancellate MAI questa regola:

65535 allow ip from any to any

Buon site-blocking

P.S.: Per chi vuole approfondire c'è sempre

man ipfw

da terminale.

michele, ma se non capisco male in questo modo devo bloccare un sito alla volta, giusto? mi spiego, non posso ad esempio bloccare l'accesso a tutti i siti microsoft (ad esempio con *.microsoft.*) come si può fare con certi programmi, o a tutti i domini .it (ancora: *.it). Inoltre, come trovo a) il mio ip di sottorete b) quello del sito che voglio bloccare? si lo so sono ignorante

andri

[mc100]

per trovare l'ip di destinazione, sempre da terminale puoi semplicemente eseguire

ping nomeSito

es. ping www.microsoft.com

e vedrai che il nome verra' risolto in 207.46.193.254

Per vedere il tuo ip, puoi usare il comando ifconfig oppure piu' semplicemente semplicemente aprire il pannello di configurazione della rete.

Ad occhio funziona anche usando 127.0.0.1 (che su tutti i computer è l'interfaccia di loopback) al posto dell'ip assegnato alla scheda di rete, che potrebbe cambiare in caso di dhcp.

[Michele Gazzaruso]

Mi sa che non funziona mettendo come src-address l'interfaccia di loopback: quando si effettua una richiesta di ping o qualsiasi richiesta (in genere) che agisca sul protocollo IP il kernel gestisce la subnet di appartenenza del nostro gateway (default route) e quindi l'indirizzo della scheda di rete. Si può verificare eseguendo un traceroute:

Mini:~ Michele$ traceroute www.macitynet.ittraceroute to macitynet.it (209.197.112.220), 64 hops max, 40 byte packets 1  192.168.1.1 (192.168.1.1)  1.110 ms  0.554 ms  0.552 ms <---- *Gateway 2  213.205.16.217 (213.205.16.217)  19.444 ms  19.031 ms  19.010 ms 3  213.205.20.99 (213.205.20.99)  20.315 ms  21.997 ms  21.485 ms 4  pos-4-2.pmo10.ip.tiscali.it (213.205.17.9)  26.614 ms  27.054 ms  26.826 ms^CMini:~ Michele$ 

Comunque ora faccio una prova e vi dico.

EDIT: Come pensavo, se inseriamo l'interfaccia di loopback i pacchetti non viene eseguito il drop dei pacchetti perchè il kernel non agisce così a basso livello. Bisogna per forza mettere l'ip di rete.

[faxus]

per trovare l'ip di destinazione...

... Per vedere il tuo ip...

Forse per l'utente che ha poca dimestichezza con Terminale sarà più facile usare Utility Network.

Cartella Applicazioni > Utility Network.

IP di destinazione sulla voce Lookup.

Mio IP su Informazioni.

[mc100]

Mi sa che non funziona mettendo come src-address l'interfaccia di loopback

...

EDIT: Come pensavo, se inseriamo l'interfaccia di loopback i pacchetti non viene eseguito il drop dei pacchetti perchè il kernel non agisce così a basso livello. Bisogna per forza mettere l'ip di rete.

ummm, questo potrebbe appunto essere un problema in caso di dhcp e in ogni caso non offre un livello di sicurezza adeguato (cambio l'ip della macchina e bypasso la restrizione).

non ho un mac sottomano: si potrebbe provare ad usare from any to...

[Michele Gazzaruso]

Beh diciamo che 192.168.1.x è troppo restrittivo, any andrebbe benissimo. Se vogliamo comunque estendere ad un'intera subnet (ad esempio quella usata dal nostro router o comunque da un gateway che eroga il nostro IP) possiamo comodamente specificare i bit fissi nel prefisso. Esempi:

• deny from 192.168.1.0/124 to <dst-address>
• deny from 192.168.0.0/16 to <dst-address>
• dent from 10.0.0.0/8 to <dst-address>

Usare any sarebbe un'ottima strategia - a mio avviso - nel momento in cui si volesse vietare (ad esempio pensiamo ad uno shell provider) l'accesso multiplo a tutti gli utenti (soliltamente negli shell provider ad ogni utente vengono assegnati uno o più IP adibiti al bind di un socket) verso un determinato sito o - usando sempre la tecnica di prima - ad un determinato pool di IP.

Ancora, si potrebbe "addirittura" creare un piccolo script che ad ogni riavvio aggiorna la variabile $MYIP (greppando l'IP dall'output di ifconfig), specificando nelle rules di ipfw $MYIP come nostro src_addr.

Comunque sia sfogliando il manuale ci sono numerosi modificatori ed attributi per formulare una regular expression da utilizzare.

Pensate che con la GUI di Mac OS X sfruttate questo ottimo strumento solamente al 30% !

[andri85]

scusate, ho provato a seguire la procedura suggerita da michele all'inizio:

istruzioni:

1. Aprite il terminale

2. Digitate sudo ipfw add 100 deny ip from <vostro_ip_di_sottorete_stile_192.168.ecc.ecc.> to <ip_del_sito_da_bloccare>

ad esempio sudo ipfw add 100 deny ip from 192.168.1.8 to 212.243.45.88

3. premete invio e inserite la password di root quando richiesto.

e funziona perfettamente, ma quando riavvio il computer saltano tutti i blocchi e devo reimpostarli! il che non è proprio il massimo. c'è qualche modo per rendere queste modifiche definitive, almeno fino a quando non gli si dà espressamente ordine contrario? grazie

andri