Come bloccare siti web dal router con DD-WRT

• Business
• Howto

DD-WRT è un firmware personalizzato compatibile con centinaia di router di differenti produttori. Ne abbiamo parlato più volte perché DD-WRT consente di attivare funzionalità avanzate del tutto assenti nel pannello di amministrazione dei router commerciali più diffusi, sia a livello consumer che business.

Premesso che l’utilizzo di soluzioni per la sicurezza di tipo centralizzato che effettuano l’analisi del traffico e bloccano dinamicamente eventuali minacce è sicuramente la scelta più consigliata, DD-WRT può essere impostato in maniera tale da usare una sorta di blacklist così da impedire la consultazione di siti web a carattere pornografico, siti di scommesse e giochi d’azzardo, pagine che diffondono fake news e social network.

Ricordiamo, innanzi tutto, che i server DNS FamilyShield di OpenDNS già consentono di svolgere un’efficace azione di filtraggio: impostando gli IP 208.67.222.123 e 208.67.220.123 come server DNS primario e secondario sul router, tutti i client collegati non potranno più visitare non soltanto pagine web contenenti malware ma anche siti web pericolosi o “sconvenienti”.
Nell’articolo Come bloccare l’uso di server DNS alternativi all’interno della rete locale abbiamo visto come neutralizzare gli effetti dovuti alla modifica del DNS lato client.

Bloccare la visita di siti web pericolosi o non consentiti da router DD-WRT

Supponendo di disporre di un router già precedentemente aggiornato al firmware DD-WRT (vedere il sito ufficiale del progetto), si possono bloccare le categorie di siti web citate in apertura applicando una semplice modifica. Di seguito la procedura che abbiamo individuato.

1) Accedere al pannello di amministrazione di DD-WRT digitando, nella barra degli indirizzi del browser, l’indirizzo IP del router (ad esempio 192.168.1.1 o 192.168.0.1).

2) Dopo l’avvenuto login portarsi nella schermata Setup e scorrere la pagina fino ad incontrare il riquadro Network Address Server Settings (DHCP).
Qui si dovranno spuntare le caselle Use DNSMasq for DNS, Use DNSMasq for DHCP (se presente) e DHCP-Authoritative.

3) Con un clic sulla scheda Services di DD-WRT, verificare che le opzioni DNSMasq e Local DNS siano poste su Enable.

4) Nel sottostante riquadro Additional DNSMasq Options, digitare quanto segue:

addn-hosts=/tmp/domainsblocking

5) Cliccare su Save quindi su Apply settings in fondo alla pagina di configurazione.

6) Portarsi nella scheda Administration quindi fare clic su Commands.
Qui copiare il contenuto di questo file di testo nel riquadro Commands e, infine, fare clic sul pulsante Save Startup in basso.

Si tratta di una serie di operazioni che vengono automaticamente eseguite ogni volta che si avvia il router DD-WRT: come primo passo si attende qualche secondo prima di iniziare qualunque attività quindi dopo la cancellazione di un file domainsblocking eventualmente conservato nella cartella /tmp del router, si provvede ad effettuare il download di diverse liste HOSTS contenenti riferimenti a siti pornografici, incentrati sul gioco d’azzardo, responsabili della diffusione di fake news nonché le piattaforme di social networking.

Per bloccare solamente alcune categorie di siti web basterà rimuovere le righe corrispondenti ai siti che non devono essere bloccati. Ad esempio, se non si volessero bloccare i social network, basterà rimuovere la penultima riga, contenente il riferimento a social-hosts.

Il vantaggio di questo approccio è che ogni volta che si riavvierà il router, DD-WRT scaricherà sempre le liste di blocco più aggiornate.

7) Con un clic su Administration quindi su Management, portandosi in fondo alla pagina si potrà riavviare il router: basterà cliccare sul pulsante rosso Reboot Router.

8) Non appena il router tornerà ad essere disponibile, qualunque richiesta di risoluzione dei nomi a dominio bloccati “cadrà nel vuoto” o sarà girata all’IP di loopback (127.0.0.1) ovvero alla macchina locale.
Anche digitando al prompt dei comandi nslookup seguito dall’indirizzo mnemonico del sito da controllare, si otterrà 127.0.0.1.

Le modifiche illustrate sono pienamente compatibili anche con l’impostazione di un client VPN: Chromecast e VPN: come visualizzare contenuti in streaming.