L’articolo spiega un modo semplice su come configurare il sistema di controllo navigazione gratuito di OpenDNS (filtro web/URL e traffico pericoloso) e come configurare pfSense e OPNsense per obbligare i client della rete ad utilizzare tale servizio.

Il servizio gratuito di OpenDNS può svolgere funzioni di base e purtroppo i servizi a pagamento hanno costi proibitivi.

Hardware utilizzato

L’hardware utilizzato per i test era composto di 4GB RAM disco da 16GB e Sk di rete 10/100/1000:

Implementato anche con hardware di caratteristiche superiori:

Installazione e configurazione

I passaggi per poter configurare il sistema sono:

  1. Iscriversi al servizio OpenDNS
  2. Configurare OpenDNS aggiungendo l’IP pubblico della Vs. connessione Internet e con le policy desiderate.
  3. su pfSense, attivare il servizio di DNS forwarding (no DNS resolver) con opzione di forwarding attivata, impostare i DNS di pfSense su quelli di OpenDNS.
  4. Creare regole per permettere accesso solo sui DNS del pfSense (in alternativa si possono usare direttamente quelli di OpenDNS)
  5. Configurare come server DNS, l’IP del pfSense sul DHCP e sui sistemi che non usano il DHCP.

In particolare:
Collegatevi al sito Opendns: https://www.opendns.com/home-internet-security/

pfSense: Filtraggio Web con OpenDNS

Scegliete il servizio desiderato, per esempio OpenDNS Home

Inserire i Vs dati (Nota. La password deve avere una lunghezza minima di 8 caratteri, avere almeno una lettera maiuscola una minuscola un carattere speciale e un numero. [i.e. Atlante-123])

pfSense: Filtraggio Web con OpenDNS

Verrete rediretti alla pagina come in figura qui sotto.

pfSense: Filtraggio Web con OpenDNS

Vi arrivera’ una email, cliccate sul link per attivare l’account.

pfSense: Filtraggio Web con OpenDNS

Dal sito di OpenDNS “https://www.opendns.com/” cliccate su login ed inserite il Vs user(email) e passwordAggiungete l’ip pubblico della vs rete (per sapere quale e’ andate sul sito www.atlanteinformatica.it/ip)

Nota. Dovete essere su un pc che si presenta con tale ip.

pfSense: Filtraggio Web con OpenDNS

Quindi inserite nome a scelta e se avete un ip statico deselezionate “yes, it is dynamic”. Altrimenti seguite le istruzioni

pfSense: Filtraggio Web con OpenDNS

quindi configurate la pagina successiva secondo le VS esigenze.

pfSense: Filtraggio Web con OpenDNS

Su pfSense inserire i DNS di OpenDNS (System->General Setup: DNS Server Setting). Inserire 208.67.222.222 e 208.67.220.220

pfSense: Filtraggio Web con OpenDNS

Disattivare DNS Resolver

pfSense: Filtraggio Web con OpenDNS

Attivare e configurare DNS Forwarder. Spuntare “Enable DNS forwarder”, su interface selezionare “all”,

Obbligare gli utenti ad utilizzare il DNS di pfSense o di OpenDNSCi sono vari modi, qui di seguito ne vediamo uno

Creare due regole sull’interfaccia LAN, una che permette l’interrogazione sulla 53/UDP (la porta DNS) verso il firewall e una successiva (l’ordine e’ importante) che blocca tutti gli altri accessi alla 53/UDP (DNS). Quindi inserire sui sistemi e sul DHCP, come DNS-server, l’IP del pfSense

In questo modo tutti gli apparati (PC,Server, ecc.) saranno costretti ad usare il DNS del pfSense, il quale effettuerà’ il port forwarding verso i DNS di OpenDNS. Da qui tutti i siti non desiderati verranno bloccati.

Nota1: Al posto delle regole descritte qui sopra, si può’ ottenere un risultato analogo effettuando una ridirezione di tutte le richieste DNS verso l’IP del PFSense.

Nota2: Con un sistema analogo si possono obbligare i sistemi ad usare direttamente l’IP del DNS di OpenDNS (invece di usare l’IP del PFSense come DNS, bisogna usare 208.67.222.222 e 208.67.220.220)

Nota2: Tale sistema non blocca la navigazione diretta su IP.

Nota3: Testato su PFSense 2.4.3

Data, 17 oct 2018

Miniserver YouTube
Cluster Proxmox 3 nodi con Ceph
OpenVAS Vulnerability Assessment Scanner

Condividi questo articolo:


Articoli correlati