Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull uso dei cookies e su come eliminarli leggi l'informativa estesa

Servizi

Istruzioni per l'implementazione del filtro sui propri DNS

http://www.nic.garr.it

Il Consortium GARR ha ricevuto dal Ministero delle Finanze una richiesta per l'oscuramento di alcuni siti illegali. Il GARR, in quanto Ente che fornisce servizi di Telecomunicazioni, rientra infatti esplicitamente nell'elenco dei soggetti tenuti ad implementare queste disposizioni.

Da parte nostra quindi abbiamo provveduto a modificare i nostri DNS ns1.garr.net e ns2.garr.net.

Vi ricordiamo che sulla rete GARR sono vietate (come da AUP) tutte le attivita' illegali e contrarie agli scopi istituzionali previsti da chi vi accede.

L'elenco dei siti di cui viene richiesto il filtraggio è disponibile all'indirizzo: http://www.aams.gov.it

Istruzioni

Il meccanismo di filtraggio si basa sulla generazione di un file di zona contenente l'elenco dei domini per cui il server DNS diventa autoritativo e che risolve con l'IP dei Monopoli di Stato (217.175.53.72)

E' disponibile uno script di autogenerazione del file di zona per il server BIND che opera secondo questo algoritmo:

  • Download KIT Filtri DNS
  • Lo script scarica da http://www.servizi.garr.it/aams/aams_block_domain.txt la lista correttamente formattata dei domini da bloccare e l'hash md5 da http://www.servizi.garr.it/aams/aams_block_domain.txt.md5
  • Verifica che la lista dei siti sia aggiornata rispetto a quella in essere
  • In caso positivo effettua un check sull'hash md5 per verificare la correttezza del file scaricato e crea il file di zona.
  • Al termine, invia un'email ad un indirizzo configurabile notificando l'avvenuta creazione del file di zona. Per ragioni di sicurezza il server DNS non viene riavviato ma richiede l'intervento umano almeno in questa fase iniziale.
  • Nel caso in cui non ci siano aggiornamenti da fare, invece, lo script termina.

Prerequisiti

  • Lo script è stato testato su distribuzioni Ubuntu/Debian
  • Server DNS BIND/NAMED
  • Pacchetti aggiuntivi che devono essere presenti sul sistema: curl, sendmail/postfix (per l'invio di email con il comando mail)

File contenuti

  • aams_block_domain.conf (file di configurazione)
  • aams_dummy.db (file dummy con l'IP dei Monopoli di Stato identico per tutte le zone)
  • aams_block_domain.sh (script di generazione del file di zona)

Installazione dello script

Il tar.gz può essere decompresso ove si ritiene più opportuno. Per semplicità di trattazione, si suppone che esso sia decompresso in /usr/local:


cd /usr/local tar xzvf aams_block.tar.gz

in modo tale da avere

/usr/local/aams_block/aams_block_domain.conf 
/usr/local/aams_block/aams_dummy.db 
/usr/local/aams_block_domain.sh 

Configurazione del server BIND.

Supponendo di indicare con


<bind_cfg> 

il folder di configurazione del server BIND (es. /etc/bind o /etc/named secondo la propria distribuzione), si crei la cartella preposta a contenere il file di zona e il file dummy per i domini bloccati

mkdir <bind_cfg>/aams_blocked_domains   
### es. mkdir /etc/bind/aams_blocked_domains 

e si modifichi l'owner assegnando il suddetto folder all'utente con cui viene eseguito il server (<user>: tipicamente bind o named)

chown <user> <bind_cfg>/aams_blocked_domains    
### es. chown bind /etc/bind/aams_blocked_domains

Nel file di configurazione del server named.conf (es. /etc/bind/named.conf) bisognerà aggiungere la riga

include "<bind_cfg>/aams_blocked_domains/aams_blocked_domains.zone";      
### es. include "/etc/bind/aams_blocked_domains/aams_blocked_domains.zone"; 

Configurazione del file dummy

Copiare il file dummy aams_dummy.db nel folder appena creato

cp /usr/local/aams_block/aams_dummy.db <bind_cfg>/aams_blocked_domains/aams_dummy.db 

e aprire il file sostituendo tutte le occorrenze di ns1.garr.net con il proprio resolver.

Configurazione dello script

Aprire il file /usr/local/aams_block/aams_block_domain.conf e verificare le seguenti variabili:

 - URL

link web su cui viene pubblicata la lista dei siti da bloccare. Al momento è
http://www.servizi.garr.it/aams/aams_block_domain.txt

- ZONE_FILE
&lt;bind_cfg&gt;/aams_blocked_domains/aams_blocked_domains.zone

ad esempio

/etc/bind/aams_blocked_domains/aams_blocked_domains.zone 
 
- DUMMY_FILE: path assoluto del dummy file 
 
<bind_cfg>/aams_blocked_domains/aams_dummy.db 

ad esempio

/etc/bind/aams_blocked_domains/aams_dummy.db 
 
-MAIL: indirizzo mail cui verranno inviate le notifiche 

Avvio dello script

Eseguire lo script aams_block_domain.sh

cd /usr/local/aams_block 
 
./aams_block_domain.sh

Lo script genererà il file di zona contenente tutti i domini da bloccare pubblicati al link
http://www.servizi.garr.it/aams/aams_block_domain.txt

A questo punto sarà necessario riavviare il server per rendere effettive le modifiche

L'aggiornamento della lista dei domini da bloccare è ad opera di GARR ed e' disponibile all'indirizzo
http://www.servizi.garr.it/aams/aams_block_domain.txt

Stampa Email