Filtro DNS FlashStart#
Il filtro DNS si integra con software di filtraggio dei contenuti basato su DNS di terze parti; il filtro dei contenuti supportato di default è quello fornito da FlashStart.
Collega fondamentalmente 2 componenti: la configurazione dei filtri e la configurazione di rete.
La configurazione del filtro dei contenuti avviene interamente sulla piattaforma di terze parti; tipicamente è possibile bloccare singoli siti web, nonché categorie di siti (ad esempio, per adulti), gestire eccezioni, visualizzare report e così via.
La configurazione della rete è completamente automatizzata ed è gestita da NethSecurity, che si occupa di:
collegare il firewall all’istanza specifica di terze parti
reindirizzare tutte le richieste DNS al servizio esterno
aggiornare automaticamente gli indirizzi IP di tutte le connettività
Richiesta subscription
Questa funzionalità è disponibile solo se il firewall dispone di una subscription valida.
Nota
Prima di configurare NethSecurity è necessario creare un account su FlashStart e configurare il servizio. FlashStart è un servizio a pagamento che consente di utilizzare licenze di prova. Fare riferimento alla documentazione del fornitore doc.
Avvertimento
Non specificare manualmente gli indirizzi IP dei server DNS di FlashStart, poiché vengono gestiti automaticamente dall’integrazione.
Una volta che l’account è stato creato e il servizio configurato, è possibile configurare NethSecurity.
Raccomandazioni prima di configurare FlashStart DNS Filter#
Prima di abilitare il filtro DNS di FlashStart, si prega di considerare le seguenti raccomandazioni importanti:
Comportamento di reindirizzamento DNS Quando il filtraggio dei contenuti è abilitato, tutto il traffico DNS proveniente dai client verrà automaticamente reindirizzato al servizio di filtraggio esterno FlashStart, indipendentemente dalla loro configurazione. Non apportare modifiche ai server DNS configurati in NethSecurity o nei client di rete.
Bloccare i protocolli DNS alternativi Per preservare l’efficacia del filtro dei contenuti, si raccomanda vivamente di bloccare i protocolli DNS alternativi come DoT e DoH. L’approccio più efficace consiste nell’utilizzare la blocklist IP di Threat Shield “public DoH-Provider” per bloccare i provider DoH noti e nel rifiutare tutte le connessioni TCP in uscita sulla porta 853 per bloccare il traffico DoT.
Evitare conflitti con Threat Shield DNS Utilizzare FlashStart solo se non si sta già utilizzando il servizio Threat Shield DNS, poiché l’uso simultaneo di entrambi potrebbe causare conflitti.
Configurazione#
Configurazione della piattaforma FlashStart#
Prima di configurare FlashStart sul firewall, è necessario prima acquistare e configurare il servizio Pro o Pro Plus sulla piattaforma FlashStart. Una volta acquistato il servizio, sarà necessario configurare le reti sul portale FlashStart.
Durante il processo di configurazione, il sistema guiderà l’utente attraverso la procedura di impostazione; seguire le istruzioni e selezionare le seguenti opzioni:
Collega il router della tua rete → Ho un IP dinamico → Sincronizza con DNS dinamico Nethesis → NethSecurity → Scegliere PRO o PRO PLUS.
Nota
A partire dal 2 luglio 2025, la piattaforma FlashStart richiede la creazione di un nuovo nome utente e una nuova password durante questa fase di configurazione. Si noti che non è più possibile utilizzare l’accesso tramite email precedentemente associato all’account. Una volta create le nuove credenziali, queste dovranno essere utilizzate per l’autenticazione lato firewall.
Le reti precedentemente configurate utilizzando l’accesso basato su email continueranno a funzionare normalmente finché non vengono rimosse. Se una rete viene rimossa, il sistema richiederà una nuova coppia di nome utente e password, e le relative credenziali dovranno essere aggiornate anche sul lato NethSecurity.
Configurazione di NethSecurity#
Stato: È possibile abilitare o disabilitare il filtro DNS utilizzando l’interruttoreStato.Tipo di servizio: Selezionare il tipo di servizio acquistato: Pro oppure Pro PlusNome utente: Inserire lo stesso nome utente utilizzato per il proprio account FlashStartPassword: Inserire la stessa password utilizzata per l’account FlashStartZone da filtrare: Selezionare le zone di rete che si desidera proteggere con il filtro DNS. Solo le zone selezionate saranno interessate dal filtro DNS di FlashStart.Bypass Source IPs or Networks: È possibile specificare un elenco di indirizzi IP o reti (formato CIDR) che devono bypassare il filtro DNS. Il traffico proveniente da queste sorgenti non sarà soggetto ad alcuna regola di filtraggio.Server DNS personalizzati: Se è necessario definire resolver DNS personalizzati per domini specifici, è possibile configurarli qui. La sintassi è la stessa utilizzata nella sezione DNS di NethSecurity. Per riferimento, consultare la documentazione ufficiale: Server DNS specifici per dominio
Una volta che il servizio FlashStart è stato configurato sul firewall, tutta la configurazione e la gestione successive devono essere effettuate esclusivamente tramite il portale web di FlashStart. Non sono necessarie ulteriori modifiche sul firewall stesso.
Configurazione del server DNS#
I server DNS utilizzati da FlashStart vengono configurati automaticamente da NethSecurity quando il servizio viene abilitato. È possibile personalizzare alcune opzioni:
Registrazione delle query: È possibile abilitare la registrazione delle query eseguendo il seguente comando:
uci set flashstart.global.logqueries='1' uci commit flashstart reload_config
Questo registrerà le query DNS nel registro di sistema del firewall, il che può essere utile per scopi di monitoraggio e risoluzione dei problemi.
Protezione contro il DNS Rebind
La protezione contro il DNS Rebind è disabilitata per impostazione predefinita per i client FlashStart, al fine di evitare blocchi indesiderati quando i server DNS interni risolvono domini privati o interni che altrimenti potrebbero essere segnalati dal meccanismo di protezione DNS Rebind del firewall. Se necessario, questa protezione può essere abilitata manualmente utilizzando la seguente configurazione:
uci set flashstart.global.rebind_protection='1'
uci commit flashstart
reload_config
Presenza di un controller Active Directory (AD)#
Se è presente un controller AD, è possibile abilitare il profiling basato sull’utente. Per fare ciò, è necessario prima installare il connettore specifico di FlashStart (fare riferimento alla documentazione ufficiale di FlashStart per le istruzioni di installazione), attualmente disponibile solo per Microsoft Windows Server.
Gestione DNS nella rete#
Tutti i client sulla rete devono instradare le loro richieste DNS attraverso NethSecurity invece di interrogare direttamente il controller AD; questo impedisce ai client di ereditare la policy di profilazione del controller AD.
Dettagli di configurazione#
Il controller AD utilizza un resolver DNS esterno.
Nell’interfaccia utente di FlashStart DNS su NethSecurity, aggiungere il dominio locale del controller AD per la risoluzione, specificando l’indirizzo IP del controller AD per la risoluzione di questi nomi locali (ad esempio,
/ad.mydomain.local/192.168.55.1).Configurare i client affinché utilizzino un server DNS esterno oppure il firewall stesso come loro resolver DNS.
Note importanti#
È necessario impedire ai client di interrogare il controller AD per la risoluzione di domini non locali; questo può essere ottenuto tramite:
Blocco della porta 53 UDP/TCP in ingresso sul controller AD
disabilitare la ricorsione DNS per i client sul server AD, in modo che il server risponda solo alle query per la propria zona locale.
FlashStart Pro vs FlashStart Pro Plus#
FlashStart fornisce soluzioni di filtraggio dei contenuti basate su cloud integrate con NethSecurity. I due principali tipi di servizio, FlashStart Pro e FlashStart Pro Plus, offrono capacità differenti in termini di granularità del filtraggio e gestione dei profili. Di seguito è riportato un breve confronto che evidenzia le principali differenze.
FlashStart Pro#
FlashStart Pro consente il filtraggio dei contenuti utilizzando un unico profilo di filtro, applicato all’intera rete o a zone di rete selezionate.
Filtraggio con profilo singolo: Tutti gli IP filtrati seguono le stesse regole e i blocchi di categoria definiti sulla piattaforma FlashStart.
Applicazione basata su zone: Gli amministratori possono scegliere quali zone di rete sono soggette al filtraggio.
Gestione dei profili basata su IP: FlashStart Pro su NethSecurity supporta implicitamente tre profili di traffico, basati su IP:
IP filtrati : Soggetti al singolo profilo di filtro definito in FlashStart.
IP non filtrati : Nessun filtro applicato (vedere Esclusioni di seguito)
IP bloccati : Accesso negato a livello di firewall utilizzando regole del firewall.
Esclusioni: È possibile configurare delle eccezioni utilizzando indirizzi IP o blocchi CIDR.
FlashStart Pro Plus (Beta)#
FlashStart Pro Plus estende la funzionalità con il supporto per più profili di filtraggio indipendenti, consentendo una maggiore flessibilità e l’applicazione delle policy a livello utente.
Supporto multi-profilo: Possono essere definiti fino a 5 profili indipendenti, ciascuno con la propria configurazione di filtraggio.
Configurazione indipendente del profilo: Ogni profilo può essere personalizzato individualmente (categorie, Safe Search, restrizioni YouTube, ecc.).
Opzioni dei criteri di filtraggio: I profili possono essere assegnati utilizzando:
Oggetti firewall (host set): Dal pannello di configurazione di FlashStart, gli amministratori possono associare insiemi specifici di host (definiti nel firewall) a un profilo.
Utenti Active Directory: Se il connettore FlashStart AD è installato, i profili possono essere assegnati direttamente agli utenti AD, eliminando la necessità di fare affidamento sugli indirizzi IP.
Nota
A causa delle limitazioni della piattaforma, il sistema può gestire insiemi di host con un numero limitato di elementi.
Se l’insieme contiene solo host, può includere fino a 16 voci. Se contiene solo reti CIDR, può includere fino a 13 voci. Se l’insieme di host contiene dati misti (sia host che reti), è consigliabile fare riferimento al limite inferiore (13).
Funzionalità comuni (Pro e Pro Plus)#
Stesse capacità di filtraggio:
Filtraggio basato su categorie di URL (liste nere)
Filtraggio dei motori di ricerca (Safe Search)
Modalità con restrizioni di YouTube
Protezione dalle minacce
Configurazione gestita dal cloud: Tutte le regole di filtraggio e i profili sono gestiti tramite l’interfaccia web di FlashStart.
Funzionalità |
FlashStart Pro |
FlashStart Pro Plus |
|---|---|---|
Filtraggio basato su zone |
Sì |
Sì |
Esclusioni del profilo (IP/CIDR) |
Sì |
Sì |
Numero di profili filtro |
1 |
Fino a 5 |
Blocco IP |
No |
Sì |
Blocco app |
No |
Sì |
Agente remoto per Win/Mac/Android/iOS |
No |
Sì |
Filtraggio per utente AD |
No |
Sì |
Integrazione degli oggetti firewall |
No |
Sì |
Gestione dei conflitti (utente vs oggetto) |
N/A |
L’oggetto Firewall ha la priorità |
Nota
Sebbene al momento non siano stati segnalati bug noti, la funzionalità Pro Plus è attualmente rilasciata come Beta. Si consiglia di testarla in un ambiente non critico prima di implementarla in produzione.
Risoluzione dei problemi#
1. Il mio IP pubblico non è elencato nelle reti FlashStart#
Se l’indirizzo IP pubblico non compare nella dashboard di FlashStart sotto le reti registrate, attendere fino a 15 minuti. Questo ritardo può essere causato da meccanismi di protezione sulla piattaforma FlashStart progettati per mitigare tentativi di registrazione ripetuti o automatizzati.
2. Il filtro DNS sembra non funzionare#
Se il filtraggio non è efficace immediatamente dopo la configurazione:
Si tenga presente che FlashStart potrebbe richiedere alcuni minuti per propagare le impostazioni applicate attraverso la propria infrastruttura.
Considerare anche l’impatto della cache DNS del browser, che potrebbe ritardare gli effetti visibili.
Per verificare se il filtraggio è effettivamente attivo e funzionante, è possibile eseguire una query DNS manuale sul client locale utilizzando il comando dig:
dig @8.8.8.8 www.mydomain.com
Sostituire www.mydomain.com con il dominio effettivo che si sta testando.
Se il dominio viene ancora risolto e dovrebbe essere bloccato, verificare nuovamente il profilo attivo e le impostazioni di blocco sulla dashboard di FlashStart.
Nota
Questo test dig deve essere sempre eseguito dal client e mai dal firewall. Il firewall non viene mai filtrato dai server DNS di FlashStart, poiché ciò potrebbe potenzialmente entrare in conflitto con alcuni dei servizi che fornisce.
3. Verifica del filtraggio DNS con dig direttamente dal firewall#
Se si desidera eseguire dei test utilizzando dig direttamente dal firewall, è possibile farlo specificando la porta. Ogni porta corrisponde a un diverso profilo di filtraggio.
FlashStart Pro#
Se si utilizza FlashStart Pro, la porta è sempre 5300. È possibile verificare se la richiesta viene filtrata correttamente con il seguente comando:
dig @127.0.0.1 -p 5300 mydomain.com
FlashStart Pro Plus#
Se si utilizza FlashStart Pro Plus, ogni profilo è associato a una porta diversa. È possibile inviare una richiesta per ciascun profilo per verificare che il filtraggio si comporti come previsto.
Per prima cosa, è necessario identificare la porta corretta per ciascun profilo. Utilizzare il seguente comando per visualizzare la configurazione:
uci show dhcp
Si vedranno più voci come questa:
dhcp.ns_56e6071cbd=dnsmasq
dhcp.ns_56e6071cbd.ns_flashstart='1'
dhcp.ns_56e6071cbd.ns_tag='automated'
dhcp.ns_56e6071cbd.ns_flashstart_profile='Guests'
dhcp.ns_56e6071cbd.ns_flashstart_dns_code='143'
dhcp.ns_56e6071cbd.port='5301'
dhcp.ns_56e6071cbd.noresolv='1'
dhcp.ns_56e6071cbd.max_ttl='60'
dhcp.ns_56e6071cbd.max_cache_ttl='60'
dhcp.ns_56e6071cbd.server='185.236.104.124' '185.236.105.125'
In questo esempio, il profilo «Guests» è associato alla porta 5301, quindi si dovrebbe eseguire:
dig @127.0.0.1 -p 5301 mydomain.com