izbor routera za filtriranje sadržaja

[jp_rv]

pitaju me, a ja pojma nemam.

neki router za po doma koji bi blokirao pristup nekakvim nesigurnim stranicama, pedopornjavi, i tako nečemu... da se koristi nečija "lista" i ako sajt nije na toj listi da blokira pristup.



asus i možda netgear imaju te smart security opcije koliko sam popratio, neznam koliko funkcioniraju i kako funkcioniraju.



nemojte sad spominjat pihole, dockere, 12 mrežnih uređaja i slično, to nije taj use case. čovjek oće da mu apartmanska mreža ide kroz neki oblik filtera, na to se kači 20 ljudi. isp router bi ostao za osnovni pristup netu.



to nude enterprise vendori kroz razne firewalle i kroz subscription, ali i kućni routeri počinju imati te neke fičrze u vidu family sigurnosti i parental controla. pitanje samo koji.



kako to riješavate vi koji ste u mrežama?

[vacs]

meni na asusu nudi ove (a njih mozes i sam upisati u bilo koji ruter)

[mann]

Citiraj:

Autor jp_rv

pitaju me, a ja pojma nemam.

neki router za po doma koji bi blokirao pristup nekakvim nesigurnim stranicama, pedopornjavi, i tako nečemu... da se koristi nečija "lista" i ako sajt nije na toj listi da blokira pristup.



asus i možda netgear imaju te smart security opcije koliko sam popratio, neznam koliko funkcioniraju i kako funkcioniraju.



nemojte sad spominjat pihole, dockere, 12 mrežnih uređaja i slično, to nije taj use case. čovjek oće da mu apartmanska mreža ide kroz neki oblik filtera, na to se kači 20 ljudi. isp router bi ostao za osnovni pristup netu.



to nude enterprise vendori kroz razne firewalle i kroz subscription, ali i kućni routeri počinju imati te neke fičrze u vidu family sigurnosti i parental controla. pitanje samo koji.



kako to riješavate vi koji ste u mrežama?

Uzmi opendns free i postelaj si kao primary dns. Ako baš hoćeš blokiraj dns promet iz unutra drugim dns serverima. Nije neprobojno ali 99.999% si riješio.

Sent from my SM-S901B using Tapatalk

[ONeill]

Stavi si Cloudflare Family DNS i bit će dobro:
Primary DNS: 1.1.1.3
Secondary DNS: 1.0.0.3

block malware and adult content

https://blog.cloudflare.com/introduc...-for-families/

[jp_rv]

probat ću, podesit pa nek testiraju.

tema je i mene malo zaintrigirala pa sam otkrio cloudflare zero trust firewall. Registrirao se za free account, možeš dodavati neka njihova predefinirana pravila u tom free paketu, oni definiraju koje su to safe i ne-safe stranice po kategorijama plus blokada po destination državama/kontinentima.

i sad - prilikom setupiranja on sam (u free verziji) povuče tvoju javnu IP iz browsera i ne vidim nigdje mogućnost staviti neku drugu odnosno da se dinamički apdejta.

evo par screenshota

[Night]

WatchGuard i FortiGate su OK rješenja.

[kiki86]

znam da si rekao da ne filozofiramo sa dokerima, al evo prijedlog ja sam si doma složio mikrotik hap ac3 koji moze vrtit kontejnere i stavio na njega adguard home u dockeru, dakle sve se vrti na routeru, i radi tip top. Na njemu mozes blokirat sta te volja i dodavat blokliste kakve zelis. Onda samo na dhcp serveru postavis adguard kao dns server i to je to...

[jp_rv]

sve 5, čak i da se radi o mojoj mreži. ali nije u ovom slučaju.

s druge strane za cijenu ac2 ili ac3 (100eur manje više) se da složit komad servera koji će raditi to isto - nativno.

dalo bi se to složiti u nekoj virtualki kad ulovim vremena (da ne nabavljam mikrotika samo za to jer mi nije potreban) i vidit kako se ponaša, šta mogu točno blokirati i kako.


edit
zapravo ja to mogu vrtit na routeru, ima 256mb rama, jedino moram ubost usb stick za softver instalirat. neznam koliko to želim radit na gatewayu iza kojega je 50 ljudi.

možda na nekom ne-gatewayu to dignem

https://openwrt.org/docs/guide-user/...s/adguard-home

[kiki86]

da ja sam doma, al to je 2 kompa i 2 moba i 10ak iot uređaja, nije bas da se aktivno max siluje internet. Ja sam se iznenadio koliko je adguard home moćan i lak za postavit i koristit. Dosta jednostavnije od pihole.

[domy_os]

Citiraj:

Autor jp_rv

probat ću, podesit pa nek testiraju.

tema je i mene malo zaintrigirala pa sam otkrio cloudflare zero trust firewall. Registrirao se za free account, možeš dodavati neka njihova predefinirana pravila u tom free paketu, oni definiraju koje su to safe i ne-safe stranice po kategorijama plus blokada po destination državama/kontinentima.

i sad - prilikom setupiranja on sam (u free verziji) povuče tvoju javnu IP iz browsera i ne vidim nigdje mogućnost staviti neku drugu odnosno da se dinamički apdejta.

evo par screenshota

Instaliraj Cloudflare WARP Client, imaš link pod settings. Preporučam beta verziju, brže se krpaju problemi.

[jp_rv]

zapravo sam instalirao adguard home danas, već kad to mogu vrtit nativno, mašina je dovoljno jaka da sama filtrira.

dodao svu silu filtera iako nisam pretjerivao sa anti-porn i adult stvarima ipak treba malo zanimacije bit dostupno.

dodao ip mašine na dhcp optionse i proširio to mrežom, i vidjet ćemo, za sad je već plus da blokira one odvratne linker reklame na novom listu i glasu istre dok serem, stalno neke boleščine budu, riga mi se od toga.

nisam neki internetoman pa neznam za sad šta će još blokirati.

htio sam to dignut na routeru ali traži barem 128mb rama, a jedino gateway mi ima 256mb, svi ostali routeri na koje to mogu nekako instalirat imaju 64mb rama.

instalirao sam ga kao servis i podesio failover na routeru, za slučaj da se servis sruši prebacit će resolvanje na 1.1.1.1



razmišljam za test dignut dodatnu istancu i upalit apsolutno sve filtere koji se nude, da vidim šta će se probit

[jp_rv]

ipak to baš ne radi do kraja.

popalio sam hrpu filtera, ali kad pokušam otvoriti glasistre u browseru koji nema nikakve adblocking ekstenzije,otvori mi se ovo ludilo koje ekspresno onda zatvorim
isprike na rezoluciji, shareX direkt upload je sa qhd ekrana

[kiki86]

Meni izgleda koda ti neide preko njega onda van komp? Koji ti dns koristi?
Sta se tice filtera malo sam istrazivao i nasao od Hagezi blokliste: https://github.com/hagezi/dns-blocklists

Ubacio sam njegov pro, dyndns i neki phishing iz ponuđenih lista jer mi je njegov rusio router, ima preko 700000 unosa i nije mogao router ucitat, nije bilo dosta rama. Ovako mi trosi nekih 60ak mb rama na routeru i 2-5% cpu kad se sve ucita

[medo]

Ovo će biti korisno za možda 0.1% nas ali imam mali FortiGate firewall doma. Skup je, (550€) support je skup (licence za ažuriranja softwarea, definicija antivirus, botnet lista, webfilter, IPS, etc.) i može biti kompliciran za složiti (SSL inspection npr.) ali sam potpuno zaboravio na sve vrste online gadosti doma i na poslu. Količina blokiranoga i filtriranoga u logu što dolazi izvana je zapanjujuća a praktički ne unosi latencije u mrežu.

U webfilter se da svašta ubaciti na layeru 7 da nas naši portali ne siluju sa notifikacijama. Postoje i custom liste koje se mogu ubaciti.

[mann]

Citiraj:

Autor medo

Ovo će biti korisno za možda 0.1% nas ali imam mali FortiGate firewall doma. Skup je, (550€) support je skup (licence za ažuriranja softwarea, definicija antivirus, botnet lista, webfilter, IPS, etc.) i može biti kompliciran za složiti (SSL inspection npr.) ali sam potpuno zaboravio na sve vrste online gadosti doma i na poslu. Količina blokiranoga i filtriranoga u logu što dolazi izvana je zapanjujuća a praktički ne unosi latencije u mrežu.

U webfilter se da svašta ubaciti na layeru 7 da nas naši portali ne siluju sa notifikacijama. Postoje i custom liste koje se mogu ubaciti.

Nije problem dati te novce dok kupis uredjaj, problem je u godisnjim licencama. Osobno mi nije poznati niti jedan poizvodjac koji je rekao za kucne korisnike (sto god to znacilo po definiciji) licence ce biti na razini family AV licenci. To bi onda bio biznis. Uredjaj sam po sebi kosta koliko kosta to je za sve isto naravno ali te godisnje licence... Recimo McAfee ima najliberalnije to rijeseno u AV svijetu. On je rekao instaliraj na koliko god hoces svojih uredjaja. Za family tip licenciranja medju rijetkima da je napokon netko rekao evo ti za sve svoje uredjaje koje imas. Doci ce prije ili kasnije netko sa takvim soho FW licencama ali jbga jos ne sto ja znam.

[jp_rv]

radit će forti i bez plaćanja ali neće vući nove definicije.

moram se poigrat malo, imam 2x 100F u firmi kao gateway ali sa svim drugim stvarima, ne stižem se i s njim igrat. literatura je previše opsežna, u planu mi je to malo proučit ali...


ovo za po doma radi manjeviše, neke sajtove blokira pa sam ih morao ručno odblokirati... dhcp je to prošibao kroz mrežu i vidim da sad više device-ova ide kroz adguard.

isto tako forsirao sam da router koristi dns po listi prioriteta, a prvi je upravo adguard, tek iza njega je 1.1.1.1 i 8.8.8.8 tako da mi ne preskače filtriranje. vidim da su i IOT device-ovi počeli bit na listi mada to me ne sekira.



po trenutnim postavkama, ne kužim da li mi cijeli promet ide kroz adguard ili samo uređaji koji su na dhcp-u, jer vidim ovdje samsung, amazon i battle.net, a to definitivno ne otvaram ja nego ekipa na mreži koja nema podešen moj adguard dns. ne bi htio njima blokirati stvari koje im potencijalno trebaju.



par screenshotova:

[mann]

Radit će ali jedino što ima smisla je utp subscription. Bez utp ti forti ni netreba. Možeš i ubiquiti onda. Od websecurity (utp) kreću korisne stvari za kućne korisnike barem. Za poslovne čak mogu atp (bez weba) vidjeti no za kućne ne baš.

Sent from my SM-S901B using Tapatalk

[Dottore]

@jp_rv
Pa možeš staviti ublock ekstenziju jer Edge browser podržava.
Testirao sam i nemam toliko reklama i popup prozora. Pregledao Glas Istre.

[jp_rv]

znam, edge bez dodataka je bio test da vidim koliko adguard blokira i da li radi.

poanta je da filtrira sadržaj na uređajima koji nemaju adblock kao i blokirati pristup određenim stranicama na razini mreže. i to zaista radi. HR filteri su malo jadni tho, na svu sreću ne koristim HR stranice bogznašta

[xlr]

Znaci dosao si na Pihole, samo se drukcije zove Sto mislis pod HR filterima?

[medo]

Korporativno blokiram DNS prema van u bilo kojem obliku. To je ogromna sigurnosna rupa. Jedini DNS koji se može/smije koristiti je korporativni a ako netko nešto pokuša oko zaobilska toga ne piše mu se dobro. Tako i doma.

Jednom mi je Forti doma blokirao na vajfaju ženinu kolegicu s posla. Njen mob je bio hakiran i pokušao se spojiti na sve i svašta direkt IP i custom DNS. Ona veli: “pa baterija mi nešto slabo traje u zadnje vrijeme”

[jp_rv]

Citiraj:

Autor xlr

Znaci dosao si na Pihole, samo se drukcije zove Sto mislis pod HR filterima?

pa, filteri koji blokiraju sranja po HR portalima. mada bi tada trebali blokirati skoro kompletan hr webspace, ali nećemo sad...

Citiraj:

Autor medo

Korporativno blokiram DNS prema van u bilo kojem obliku. To je ogromna sigurnosna rupa. Jedini DNS koji se može/smije koristiti je korporativni a ako netko nešto pokuša oko zaobilska toga ne piše mu se dobro.

moram se pozabaviti fortigate-om na poslu... sad je manjeviše defaultno podešen, tek smo ga kupili. ja bi blokirao port 53 da mi kompjuteri ne zaobilaze lokalni dns, i koristio dns od fortigate-a, ali šta stavit kao uplink dns? providerov, ili neki komercijalni?

[xlr]

Blokiranje reklama i smeća po HR sajtovima? Mislim da nije bitno čiji je sajt, bitno je kakve liste si importao.
Baci oko ako već nisi:
https://filterlists.com

Nemam Adguard već Pihole i višemanje sam prošao sve to jer sam ga osposobljavao na mreži od roditelja - mora biti robusno i da ne traži previše održavanja. Vrte se dvije instance Piholea (keepalived HA, GravitySync) i pristupam istima na daljinu preko (u mom slučaju) Tailscalea. Eno ih rade već oko godinu dana. Sve je na dva RPI Zeroa, nekoliko puta godišnje napravim update OS-a i Piholea na način da updejtam jedan RPI, testiram i ako je oke onda updejtam i drugog.

Problem Adguarda i Piholea je, kako si rekao, što ne možeš tako lako natjerati uređaje na mreži s hardkodiranim DNS-ovima da koriste IP od tvog DNS-a. Osim da potpuno blokiraš promet na portu 53 prema van. Tada možeš za upstream DNS koristiti npr. NextDNS i podesiti DoT/DoH na ruteru ili koji već uređaj koristiš. Na NextDNS-u možeš složiti sve ove iste filtere i adliste kao na Adguardu/Piholeu - ali ne traži nikakvo održavanje.

[mann]

Citiraj:

Autor jp_rv

pa, filteri koji blokiraju sranja po HR portalima. mada bi tada trebali blokirati skoro kompletan hr webspace, ali nećemo sad...





moram se pozabaviti fortigate-om na poslu... sad je manjeviše defaultno podešen, tek smo ga kupili. ja bi blokirao port 53 da mi kompjuteri ne zaobilaze lokalni dns, i koristio dns od fortigate-a, ali šta stavit kao uplink dns? providerov, ili neki komercijalni?

Ako imaš websecurity licencu utp bundle npr (web filtering) forti ce sam po prometu zaključiti što blokirati ovisno o kategorijama. Problem kod dns filteringa je što se zaobiđe lako sa tunelima, ipsec ili bilo koji vpn i već si ga "srušio". Ne kažem da je dns filtering loš ima svoje mane i prednosti. Idealno kao suplementarna uz druge kao websecurity.

https://youtu.be/16r-75JL0WE?si=Rl6g0bvEBqdSCJqg



Sent from my SM-S901B using Tapatalk

[jp_rv]

ne smeta me da se zaobiđe, neće to nitko radit, niti imaju prava radit išta na mašinama u firmi. serveri kao takvi imaju svoje zaštite.

wifi nemamo javni, samo par ljudi to koristi interno, imaju svi data tarife pa nek to koriste na mobitelima.

ovo su licence na firewallu

[medo]

Citiraj:

Autor jp_rv

moram se pozabaviti fortigate-om na poslu... sad je manjeviše defaultno podešen, tek smo ga kupili. ja bi blokirao port 53 da mi kompjuteri ne zaobilaze lokalni dns, i koristio dns od fortigate-a, ali šta stavit kao uplink dns? providerov, ili neki komercijalni?

Koristim Fortijeve DNS servere kad već plaćam Uz to trebaš složiti SSL inspection da možeš presresti DOH, dnscrypt i slične koji zaobilaze po https protokolu.

[jp_rv]

čitao sam da fortijevi dns serveri znaju ne radit, ili radit loše, i da ih dosta ljudi zaobilazi.

imao sam u staroj firmi situacija da bi kompletna firma stala jer bi fortijevi serveri bili nedostupni, bilo dns bilo onaj reputation service kakosevećzove, i onda se moralo gasit dns filter da osposobim firmu.

[medo]

To je zato jer koriste samo Fortijeve DNSove. Loše je koristiti DNSove od samo jednog providera. Zato baš svi uređaji s IP adresom imaju bar dva DNSa za definirati.

Nema superpouzdanog DNSa osim možda Googla i Cloudflarea.

[Roberto]

Zaintrigiraste me temom. Već neko vrijeme razmišljam o tome da si uzmem za doma neki napredniji router sa security featuresima, ili pak HW firewall.


Nije da mi nužno treba, ali malo za igru i učenja, a usto i level up securitya.


Samo da je vremena ulovit malo podrobnije to proučit


A bome bi i u dvije tri firme mogao tako nešto implementirati. Iako ono što me oduvijek od toga dobijalo je to što se bojim da sve takve opcije na kraju završe sa "ne mogu otvoriti web stranicu koju sam godinama normalno otvarao, ne radi mi internet, ne radi mi ovo, ne radi mi ono", a onda će dobiti popizditis

[Cuky]

Citiraj:

Autor medo

Nema superpouzdanog DNSa osim možda Googla i Cloudflarea.

Cak je i svemocni google prije 2-3 god pokleknuo na par sati 😁

Zato uvijek stavim dva razlicita providera, google + cloudfare.