Site icon Gioxx.org

FRITZ!OS: Parental Control e configurazione ad-hoc dei filtri

Family of four walking at the street

Photo by Emma Bauso on Pexels

Parental Control, filtro dei contenuti, protezione dei minori, personalizzazione della navigazione. Definiscila un po’ come ti pare ma questa materia è e resta una delle più interessanti e spesso trattate anche in questo mio piccolo spazio nel Web. Ho messo in piedi il progetto NoAds (precedentemente ABP X Files) nel 2007 (e solo a rileggere oggi quel primo mio articolo vengono i brividi conditi da un pelo di vergogna, X Files per AdBlock Plus), in seguito ti ho introdotto al mondo Pi-hole (Pi-hole: installazione e prima configurazione) e successivamente a NextDNS (NextDNS: pensa se il tuo Pi-hole fosse in Cloud), senza volerlo non ti ho mai parlato di qualcosa che ho sempre avuto davanti agli occhi: i filtri nativi di FRITZ!OS.

Parental Control con FRITZ!OS

Hai un router Fritz in casa perché ti ho rotto talmente tanto le scatole in questi anni che hai finito per darmi retta investendo in un prodotto del quale oggi certo non ti penti, eppure non sei certo di aver sfruttato completamente le sue potenzialità. Fatti un giro nel menu Internet → Filtri, questo articolo comincia tutto da qui.

Sì perché quello di cui oggi ti parlo riguarda proprio quella serie di opzioni che FRITZ!OS mette a tua disposizione nativamente per cercare di evitare che i più piccoli in casa (ma non è detto che si tratti solo di loro) possano visitare per sbaglio siti web che non vuoi ancora mostrargli, che non utilizzino applicazioni “rischiose“, che i tuoi ospiti non sfruttino la tua banda per scaricare un Torrent mentre sei intento a guardare in Streaming un contenuto via Netflix e soci o chissà cos’altro, il limite unico è spesso imposto dall’esigenza e da un tuo ragionamento più che da una limitazione “colpa” del produttore. Se quindi Adblock Plus non ti basta e non vuoi (o non puoi) mettere in piedi soluzioni come Pi-hole, NextDNS, AdGuard e affini ecco che il tuo router potrebbe già bastare come primo strato di difesa.

Bando alle ciance, cominciamo subito con la prima schermata che incontrerai, quella chiamata “Parental control“.

Lista dei dispositivi

È la schermata che mette in vetrina tutti i dispositivi connessi al tuo router nel presente o nel passato, affinché tu possa modificare il loro profilo di accesso alla rete e applicare così delle regole precise che permettono o non permettono determinati comportamenti. La vista separa la “Rete domestica” da quella “ospite” (ammesso che quest’ultima sia stata abilitata sul tuo FRITZ!Box) e quest’ultima contiene dispositivi ai quali verrà già applicato un profilo differente pensato per chi hai accolto in via temporanea (seppur inizialmente senza limitazione alcuna). Ciascuna riga presenta un’icona a forma di matita al termine, servirà a modificare il “Profilo di accesso” nel suo profondo, è ciò di cui ti parlo nel paragrafo subito successivo.

Cos’altro c’è da sapere riguardo questa pagina? Semplice:

A tal proposito: se hai modificato l’accesso a Internet di un dispositivo limitandone il tempo massimo di fruizione del servizio, questo potrà consultare il tempo residuo a sua disposizione puntando il browser all’indirizzo http://fritz.box/surf.lua, ovviamente valido solo quando si troverà nella rete WiFi casalinga. Se per qualsiasi motivo la pagina non dovesse aprirsi, digita l’IP del tuo router al posto di fritz.box.

Profili di accesso

I profili di accesso costituiscono il set di regole da applicare ai dispositivi secondo tua esigenza o piacimento. Vuoi che gli ospiti non usino eMule o Torrent? Fatto. Vuoi che non possano visitare determinati siti web? Fatto. Vuoi che tuo figlio non si inchiodi per l’intera giornata su Twitch? Fatto pure quello. 4 sono i profili di accesso predefiniti compresi nel sistema, lo Standard è quello applicato a tutti in maniera predefinita a patto che si trovino nella rete domestica, ovviamente quello Ospite viene assegnato a chiunque faccia parte della tua rete “Guest“, il Bloccato è un vicolo cieco che non permette di fare assolutamente nulla e l’Illimitato può realmente fare ciò che gli pare.

Per ciascun profilo potrai specificare delle ore durante le quali il servizio (l’accesso a Internet) sarà disponibile, applicare limiti temporali (un tempo massimo di navigazione), liste di siti web che si possono o non possono visitare (decidi tu se dare accesso solo a determinati siti web o se lasciare tutto libero tranne alcuni che tu specificherai, ragionamento quindi di White o Blacklist), impedimento d’accesso alla rete Ospiti (molto interessante per evitare che qualche furbo con maggiori limitazioni possa spostarsi nella rete Ospiti e ottenere qualche vantaggio in più), applicazioni da bloccare (ecco perché ti parlavo di eMule e altre).

Puoi modificare ciascun profilo esistente e variarne le caratteristiche. Ti consiglio poi di crearne di nuovi che abbiano nomi “parlanti” (che ti permettano di capire subito perché li hai creati) e che possono essere applicati ad ambiti ben precisi. Io ho provato a creare un profilo “Kids” che ti mostro qui di seguito:

Ho provato a ipotizzare che un fanciullo possa sfruttare la rete casalinga dalle 7:00 del mattino alle 21:00 ma solo per mezz’ora al giorno, con l’eccezione nel fine settimana quando potrà arrivare a un’ora di navigazione o utilizzo di applicazioni che devono comunicare con Internet. Ho bloccato la navigazione verso siti web che preferirei non visitasse (lista in continuo aggiornamento) e le applicazioni di file sharing (giusto un paio), SSH e Telnet, avrei potuto aggiungere molte più cose tra quelle disponibili già nativamente o altre da creare ex-novo.

Non avere paura di sbagliare. Sperimenta, divertiti e tieni a portata di mano un dispositivo che assegnerai a questo profilo che stai creando così da verificarne in tempo reale l’effettivo funzionamento e le necessarie aggiustatine che dovrai fare.

Prioritizzazione

Probabilmente l’unica nota che ti risulterà essere un pelo stonata rispetto al filtraggio dei contenuti, eppure è assolutamente sensato che tu possa dare o meno priorità ad alcuni dispositivi nella tua rete domestica nel caso in cui ci sia bisogno di maggiore gas per quelle attività “delicate” come lo streaming, lo scambio dati con un NAS, il multiplayer online da PC o console. All’interno della stessa pagina (al termine per l’esattezza) troverai inoltre una simpatica impostazione con la quale potrai sacrificare la rete ospiti in favore di quella domestica se la richiesta di banda raggiunge i limiti imposti dalla tua offerta (“Riservare l’ampiezza di banda per la rete domestica“), cosa forse limitatamente sensata per coloro che possono fruire del Gigabit in fibra, assolutamente fondamentale invece per chi ancora ha offerte casalinghe con banda ben più limitata.

Tre le categorizzazioni pensate per dare maggiore priorità: Applicazioni in tempo reale, Applicazioni prioritizzate e Applicazioni in background. Servono rispettivamente per:

Liste

Ci siamo quasi, il tuo profilo prende forma e la tua idea di rete domestica e ospiti è pressoché completa. Il contenuto della pagina Liste però è assolutamente vitale per la buona riuscita del filtraggio dei contenuti e quasi certamente sarà quella più visitata e ritoccata nel tempo. Da qui potrai mettere mano ai siti web permessi o bloccati (siti e IP per la precisione), alle applicazioni e alle relative porte e protocolli utilizzati, alle impostazioni globali che riguardano il funzionamento del firewall, della porta 25 (SMTP non autenticato, stanne alla larga quanto più puoi), dei filtri per pacchetti specifici che possono essere rediretti verso il vuoto più oscuro.

Ciò che probabilmente interesserà il tuo caso e la tua famiglia è però contenuto nei primi due blocchi della pagina (Liste di filtri e Applicazioni di rete).

Liste di filtri

Fermo restando che ognuno fa un po’ quello che vuole a casa propria, il mio consiglio è quello di tenere dei profili che permettano la navigazione pressoché aperta per ogni dispositivo, fatta eccezione per una lista di siti web da evitare. Questa dovrà essere curata, costantemente aggiornata e pilotata per evitare di impattare in maniera negativa sull’esperienza finale dell’utente, sia esso un ospite o un pargolo. Rispondo subito alla tua naturale domanda che forse vorresti pormi: posso specificare diversi tipi di black o whitelist in base al profilo utilizzato? No. Esiste attualmente una sola grande blacklist e una sola grande whitelist che hanno valore a livello globale, tutti i profili da te configurati faranno capo a queste due liste.

Spero che AVM riveda questo aspetto in futuro perché sarebbe molto sensato pensare di creare una blacklist per bambini che tenga fuori la pornografia (giusto per fare un esempio ben riconoscibile) e una per gli ospiti adulti che hanno totale diritto di fare un po’ quello che vogliono. Togli pornografia, metti qualcos’altro ed ecco ottenuto lo stesso esempio basato però su differente categoria. È quello che accade già con Pi-hole o i profili di NextDNS, quindi ce la si può fare sicuramente.

Detto ciò, che tu voglia popolare la White o la Blacklist, ricorda di specificare un dominio per riga (non serve il www. iniziale o il http:// o https://) e salvare poi il tutto con un clic su Applica. Io che di questo argomento ne potrei sapere qualcosa ho pensato potesse far piacere usufruire del lavoro svolto con il modulo HWS di X Files e ho quindi inaugurato una lista ad-hoc per FRITZ!OS che puoi trovare sul mio GitHub: github.com/gioxx/xfiles/blob/master/fritz/fritz_blacklist.txt. La lista verrà aggiornata ogni sabato alle 3:45 del mattino. Quello che tu dovrai fare sarà semplicemente puntare il browser all’indirizzo raw.githubusercontent.com/gioxx/xfiles/master/fritz/fritz_blacklist.txt, selezionare tutto, copiare e incollare all’interno del blocco Blacklist del tuo router AVM.

Info

La lista FRITZ!Blacklist riporta esattamente gli stessi filtri proposti nella mia HWS, non integra allo stato attuale siti web pornografici o di altro tipo. Se pensi che possa avere senso integrare all’interno di questa lista anche ulteriori siti web di particolari categorie fammelo sapere, posso certamente lavorarci e fornirti qualcosa di ancora più completo, lasciami un commento sotto l’articolo per parlarne insieme!

Se hai voglia di approfondire l’argomento ho notato che ci sono alcuni interessanti spunti di ricerca su GitHub, in particolare mi ero soffermato su questo progetto tedesco che raccoglie e produce materiale ad-hoc per una rete più sicura e dei filtri più puntuali per determinate categorie (anche se mancano moltissimi domini internazionali e nazionali fuori dalle mura della terra germanica).

Applicazioni di rete

Qui la cosa è un pelo più complicata per chi non mastica di porte e protocolli (TCP / UDP / ESP / GRE / ICMP) ma è giusto comunque che tu la conosca. Ogni applicazione o dispositivo di rete utilizza delle porte per comunicare con la tua rete domestica e – molto probabilmente – anche con il mondo esterno. Se ti vuoi fare un minimo di cultura generale sull’argomento posso suggerirti di investire qualche minuto del tuo tempo e dare un’occhiata alla voce su Wikipedia, io vado direttamente al succo della questione.

AVM propone nativamente una serie di applicazioni di rete molto comuni, puoi già utilizzarle per bloccare determinate destinazioni ai tuoi dispositivi di rete domestica (o ospite) o puoi crearne di nuove. Tra quelle native troverai eMule e Bit Torrent, ma anche SSH, Telnet, il Desktop Remoto di Microsoft e addirittura la possibilità di navigare sulle porte dell’HTTP. Puoi per esempio creare un profilo al quale bloccare ogni tipo di comunicazione a eccezione della navigazione via browser e il download / invio della posta elettronica.

Io però voglio farti un esempio pratico in cui ti insegnerò a bloccare le porte di comunicazioni utilizzate dal PlayStation Network, questo impedirebbe alla console di Sony di andare online per tutto ciò che riguarda il multiplayer e non solo. Fai clic su “Aggiungere un’applicazione di rete“, dai un nome alla nuova applicazione (io ho usato PS Network) e fai clic sul pulsante “Nuovo protocollo“, comincia ora a specificare le porte dettate dalla pagina della documentazione ufficiale di SONY che trovi all’indirizzo manuals.playstation.net/document/it/ps4/settings/nw_test.html (valido per PlayStation 4):

Fai clic su OK e continua a inserire nella stessa maniera le altre porte suggerite. Attenzione però a quelle porte comuni come la 80, 8080, 443, 465, ecc. che servono per poter navigare in Internet ed esplorare pagine web o inviare email in maniera sicura. Bloccarle e applicare il profilo a più dispositivi anziché solo alla console potrebbe impedire la corretta fruizione del servizio Internet in casa tua. Verifica sempre che le porte da bloccare non abbiano uno scopo comune, sarebbe controproducente rispetto alla tua voglia di “proteggere” chi ami, dai un’occhiata al database proposto da Speedguide all’indirizzo speedguide.net/ports.php.

Questa è la configurazione al termine del mio operato:

L’applicazione sarà ora disponibile insieme alle altre e per te sarà semplice scegliere di bloccarla in uno o più profili:

In conclusione

Quello che pensavo potesse essere un articolo “di qualche riga” è diventato in realtà una mezza Divina Commedia dedicata a una funzione che già esisteva da tempo sotto al cofano dei prodotti AVM, spesso passata però inosservata nonostante si tratti di una buona base di partenza per chi non ha voglia di mettere in piedi nulla di particolarmente complesso o oneroso, di chi non ha tempo per smanettare più del dovuto. Il Parental Control di AVM funziona, è fatto abbastanza bene e ha certamente buoni margini di miglioramento ma non c’è nessun motivo per non iniziare a utilizzarlo già oggi.

Se hai dubbi in merito sai benissimo cosa fare, l’area commenti è a tua totale disposizione.

#StaySafe

Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Condividi l'articolo con i tuoi contatti:
Exit mobile version