Filtri e limitazioni/blocchi navigazione su FRITZ!Box

blengyo · 3 Aprile 2025

Buongiorno a tutti!
Ho acquistato il modello FRITZ!Box 6820 LTE Edition International, ma non riesco a fare funzionare correttamente i filtri. Ho la necessità di applicare un blocco alla navigazione. In sostanza, i PC della rete che si collegano al modem devono aver la possibilità di operare con la mail di un determinato dominio privato (info@nomedominio.it) e poter navigare esclusivamente su 2 o 3 determinati siti.

Nel menu Internet/Filtri/Liste ho aggiunto i 3 siti di cui voglio permettere la navigazione. Poi ho creato un nuovo profilo di accesso impostando come PERIODO l'opzione sempre, e come BUDGET DI TEMPO l'opzione senza limitazioni (devono poter navigare su quei siti quanto vogliono). Sempre nella creazione del profilo, ho spuntato la voce FILTRA SITI WEB e ho selezionato PERMETTI SITI WEB, che indica "si può accedere agli indirizzi web contenuti nella lista.

Ho salvato, ed applicato il profilo al portatile collegato. Navigo con la modalità del browser senza cache per non avere in memoria i siti. Sembra funzionare e quindi bloccare i siti, ma ad esempio il sito speedtest.net lo raggiunge, e mi fa fare il test. Come è possibile? Ho bisogno che il blocco sia affidabile! Ho verificato ed anche altri siti li raggiunge, tutti quello con estensione dominio .net e .org..

Grazie mille a chi mi saprà aiutare!

Allego immagini di configurazione

IMPOSTAZIONE FILTRO CREATO

GeoLan · 3 Aprile 2025

blengyo ha detto:
Ho bisogno che il blocco sia affidabile!

Dubito che puoi fare questa cosa con i filtri del fritzbox.
L'affidabilità la ottieni con un dispositivo (router, firewall, ecc) che filtri direttamente le richieste al DNS con un software tipo Ad Guard Home o Pi-hole. Questi filtri agiscono da DNS della rete reindirizzano i domini di tracciamento in un "buco nero" impedendo così ai dispositivi di connettersi a quei server.
Io ho fatto questa cosa con un GL.iNet GL-MT6000(Flint 2) che monta di default Ad Guard Home.

blengyo · 3 Aprile 2025

cavolo! ho visto, della stessa marca ma che integra lo slot della SIM per il 4g, un GL.iNet GL-XE300. Potrebbe andare? Tra le funzionalità, però, non ha Ad Guard Home integrato ma WireGuard! Che non conosco

r3dl4nce · 3 Aprile 2025

adguard / pi hole e wireguard sono due cose diverse
Comunque filtri di questo tipo secondo me non li fai bene neppure con un filtro a livello dns tipo pihole/adguard. Se un software esempio android usa un DNS proprietario su DoH ti bypassa il DNS interno e tanti saluti
Una cosa del genere la puoi fare con un firewall L7 che faccia packet inspection e blocchi tutto il traffico da e verso i domini che specifichi. Tipo Opnsense con attivo Zenarmor.

blengyo · 3 Aprile 2025

Ok grazie, però bel mio caso ci sarà esclusivamente un portatile connesso alla rete generale. Anche in questo caso non riuscirei?

r3dl4nce · 3 Aprile 2025

Come detto dipende dai software, ci sono software, anche gli stessi browser, che integrano le impostazioni per andare sui loro server DoH quindi un filtro a livello DNS non ti servirà a nulla

blengyo · 3 Aprile 2025

r3dl4nce ha detto:
Come detto dipende dai software, ci sono software, anche gli stessi browser, che integrano le impostazioni per andare sui loro server DoH quindi un filtro a livello DNS non ti servirà a nulla

quindi è per questo che i filtri del FRITZ!Box non funzionano? cioè è una feature del router inutile ed ormai non più utilizzabile? il blocco totale funziona, ma la lista dei siti consentiti no

GeoLan · 3 Aprile 2025

blengyo ha detto:
cavolo! ho visto, della stessa marca ma che integra lo slot della SIM per il 4g, un GL.iNet GL-XE300. Potrebbe andare? Tra le funzionalità, però, non ha Ad Guard Home integrato ma WireGuard! Che non conosco

Quello non ha però Ad Guard preinstallato. Ma lo potresti installare a posteriori visto che monta OpenWrt. Però devi avere discrete conoscenze perchè non è banale.

r3dl4nce ha detto:
adguard / pi hole e wireguard sono due cose diverse
Comunque filtri di questo tipo secondo me non li fai bene neppure con un filtro a livello dns tipo pihole/adguard. Se un software esempio android usa un DNS proprietario su DoH ti bypassa il DNS interno e tanti saluti
Una cosa del genere la puoi fare con un firewall L7 che faccia packet inspection e blocchi tutto il traffico da e verso i domini che specifichi. Tipo Opnsense con attivo Zenarmor.

Nell'elenco dei domini bloccati di Ad Guard va aggiunta la lista dei domini DoH noti (es. https://github.com/curl/curl/wiki/DNS-over-HTTPS) ad esclusione di quello usato da AGH. Oppure va fatto un blocco firewall del traffico sulla porta e/o le richieste a domini DoH noti usando una regola DNS o filtraggio di dominio.
Anche Zenarmor blocca le connessioni DoH note in base al nome host quando è listato.
Liste che poi andranno aggiornate. E' tutto un "guardia e ladri".

GeoLan · 3 Aprile 2025

blengyo ha detto:
quindi è per questo che i filtri del FRITZ!Box non funzionano? cioè è una feature del router inutile ed ormai non più utilizzabile? il blocco totale funziona, ma la lista dei siti consentiti no

Esatto. Il blocco totale funziona. Basta segare internet. Il problema è filtrare.

blengyo · 3 Aprile 2025

e io che la facevo una azienda seria sta AVM

provo sto GL.iNet GL-MT6000(Flint 2) allora, non ho il budget per acquistare un firewall piu evoluto, ne le competenze per impostarlo. Cavolo mi sembrava una necessità abbastanza facile da gestire, la mia!

r3dl4nce · 3 Aprile 2025

GeoLan ha detto:
Anche Zenarmor blocca le connessioni DoH note in base al nome host quando è listato.

Con il packet inspection può direttamente analizzare i pacchetti e bloccare ogni richiesta a dominio in black list, cosa che chiaramente un router base non puà fare

GeoLan · 3 Aprile 2025

r3dl4nce ha detto:
Con il packet inspection può direttamente analizzare i pacchetti e bloccare ogni richiesta a dominio in black list, cosa che chiaramente un router base non puà fare

Certo, ma bloccarli a livello di rete o a livello di DNS cambia poco... per l'utente che ha fatto la domanda.

blengyo ha detto:
e io che la facevo una azienda seria sta AVM provo sto GL.iNet GL-MT6000(Flint 2) allora, non ho il budget per acquistare un firewall piu evoluto, ne le competenze per impostarlo. Cavolo mi sembrava una necessità abbastanza facile da gestire, la mia!

Non credere che sia una passeggiata, nemmeno con quel router lì! Filtrare il traffico ad un figlio che non smanetta è una cosa... ma se hai a che fare con qualcuno che sa dove informarsi e fa di tutto per bypassare i tuoi filtri, allora preparati a una vera e propria partita a scacchi!...

r3dl4nce · 3 Aprile 2025

Comunque non ho mai utilizzato i filtri DNS su fritzbox, la schermata postata nel primo post farebbe pensare che dovrebbe funzionare, la guida sembra chiara

FRITZ!Box 7560 | Internetnutzung mit Kindersicherung einschränken

Scopri FRITZ! - Informati sulle soluzioni versatili e facili da usare per la tua connessione Internet e la rete locale.

it.fritz.com

Per questo mi viene da pensare che i dispositivi stiano utilizzando DoH e quindi bypassano il filtro non richiedendo risoluzione DNS al Fritz. In tal caso neppure adguard o pihole cambierebbero nulla.

jeyhw · 3 Aprile 2025

r3dl4nce ha detto:
Comunque non ho mai utilizzato i filtri DNS su fritzbox, la schermata postata nel primo post farebbe pensare che dovrebbe funzionare, la guida sembra chiara

FRITZ!Box 7560 | Internetnutzung mit Kindersicherung einschränken

Scopri FRITZ! - Informati sulle soluzioni versatili e facili da usare per la tua connessione Internet e la rete locale.

it.fritz.com

Per questo mi viene da pensare che i dispositivi stiano utilizzando DoH e quindi bypassano il filtro non richiedendo risoluzione DNS al Fritz. In tal caso neppure adguard o pihole cambierebbero nulla.

In realtà si potrebbero bloccare tutte le richieste DoH, mettendo in lista tutti i DoH domains che offrono questo servizio. L'ho fatto su Mikrotik e su OPNsense soprattutto (reindirizzando poi sul DNS server locale per il filtraggio dei contenuti), ma ovviamente gli indirizzi possono cambiare e la lista non essere più affidabile. Se si sente questa esigenza meglio di niente comunque.

blengyo · 4 Aprile 2025

jeyhw ha detto:
In realtà si potrebbero bloccare tutte le richieste DoH, mettendo in lista tutti i DoH domains che offrono questo servizio. L'ho fatto su Mikrotik e su OPNsense soprattutto (reindirizzando poi sul DNS server locale per il filtraggio dei contenuti), ma ovviamente gli indirizzi possono cambiare e la lista non essere più affidabile. Se si sente questa esigenza meglio di niente comunque.

Ottimo! Sai dirmi dove trovare l'elenco di questi indirizzi così provo per favore? Grazie mille

GeoLan ha detto:
Non credere che sia una passeggiata, nemmeno con quel router lì! Filtrare il traffico ad un figlio che non smanetta è una cosa... ma se hai a che fare con qualcuno che sa dove informarsi e fa di tutto per bypassare i tuoi filtri, allora preparati a una vera e propria partita a scacchi!...

Beh l'operatore sarà solo uno, utilizzerà solo un computer, e non sarà assolutamente uno smanettone. È solo una precauzione in un ambiente lavorativo.. forse per questo mi sono illuso che non fosse una cosa così complicata da gestire

Filtri e limitazioni/blocchi navigazione su FRITZ!Box

blengyo

Utente Attivo

GeoLan

Utente Attivo

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

blengyo

Utente Attivo

GeoLan

Utente Attivo

GeoLan

Utente Attivo

blengyo

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

GeoLan

Utente Attivo

r3dl4nce

Mikrotik&Synology&Bioware&Remedy Fanboy

FRITZ!Box 7560 | Internetnutzung mit Kindersicherung einschränken

jeyhw

Utente Attivo

FRITZ!Box 7560 | Internetnutzung mit Kindersicherung einschränken

blengyo

Utente Attivo