<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <div class="moz-text-html" lang="x-unicode">

      <div class="moz-text-html" lang="x-unicode">

        <p>Allego lo schema di come ho pensato l'architettura di base:</p>

        <p><font size="1"><font face="Verdana, Arial"><a class="moz-txt-link-freetext" href="https://drive.google.com/file/d/1IFABzkv3zByWJ5U28_F3Z9Ve0VCT8apY/view?usp=sharing">https://drive.google.com/file/d/1IFABzkv3zByWJ5U28_F3Z9Ve0VCT8apY/view?usp=sharing</a></font></font></p>

        <p><br>

        </p>

        <p>Nella mia idea il fornitore del servizio di filtraggio DNS

          consente la creazione di profili differenti attestati su DNS

          server con IP differenti.</p>

        <p>Quindi sarebbe sufficiente ad esempio create 7 profili con 3

          combinazioni (es. pornografia, giochi_d_azzardo,

          armi+violenza+altro), che fanno capo a 7 coppie di IP del

          fornitore terzo.</p>

        <p>Su Unbound sarà possibile classificare le categorie e i

          relativi DNS forwarder, e applicare le ACL che associano IP

          sorgente dell'utente con la combinazione di categorie

          desiderata.</p>

        <p>Su RADIUS sarà necessario assegnare gli IP delle utenze in

          base alla configurazione "parental control" prescelta che sarà

          legata a un IP POOL specifico.</p>

        <p>Ovviamente chi fa CGNAT non avrà grossi problemi, mentre chi

          assegna IP pubblici dinamicamente avrà un notevole spreco di

          IP.</p>

        <p>E' pensabile di assegnare le ACL dinamicamente via Unbound

          API, dettagliando le /32 dei clienti?<br>

        </p>

        <p>Se queste problematiche sono già state affrontate in qualche

          consesso elitario/settario, sarebbe utile alla comunità avere

          qualche

          contributo costruttivo. Sempre che non si violi una qualche

          regola massonica ;-)<br>

        </p>

        <p>Grazie.<br>

        </p>

        <p>Massimo</p>

        <p><br>

        </p>

        <div class="moz-cite-prefix">Il 28/07/2023 16:59, Matteo

          Sgalaberni ha scritto:<br>

        </div>

        <blockquote type="cite"

          cite="mid:1335290795.2534365.1690556376662.JavaMail.zimbra@ehiweb.it">

          <div style="font-family: arial, helvetica, sans-serif;

            font-size: 10pt; color: #000000">

            <div style="">

              <div style="">

                <div style="">Ciao a tutti,</div>

                <div style=""><br>

                </div>

                <div style="">volevo condividere un'idea di architettura

                  per l'applicazione della 9/23/CONS (Parental control)

                  che allego.</div>

                <div style=""><br>

                </div>

                <div style="">L'ho costruita pensando di fare qualcosa

                  di semplice dal punto di vista architetturale e senza

                  dipendenze.</div>

                <div style=""><br>

                </div>

                <div style="">Se qualcun altro ha identificato soluzioni

                  più semplici e/o robuste e vuole condividere queste

                  informazioni, è il benvenuto.</div>

                <div style=""><br>

                </div>

                <div style="">Circa le liste da cui raccogliere l'elenco

                  dei domini da bloccare rimane un forte dubbio

                  amletico. Io ho provato a contattare anche C** di

                  società di sicurezza che offrono DNS as a service in

                  EU e US, e mi è stato risposto da tutti che non

                  rivendono le loro liste, che non le comprano da

                  nessuno e che se le fanno trovando liste open un po'

                  di qua e un po' di la' senza grande "scienza"

                  dietro...</div>

                <div style=""><br>

                </div>

                <div style="">Un punto per ottemperare alla delibera

                  sarebbe comunicare anche da dove prendiamo le liste...

                  non so se dire "le ho trovate su google e github un

                  po' a caso" sia accettabile ;)</div>

                <div style=""><br>

                </div>

                <div style="">Qualcuno è riuscito a trovare qualche

                  fornitore di liste con cui si possa fare regolare

                  contratto?</div>

                <div style=""><br>

                </div>

                <div style="">Ciao!</div>

                <div style=""><br>

                </div>

                <div style="">Matteo Sgalaberni</div>

              </div>

            </div>

          </div>

          <br>

          <fieldset class="moz-mime-attachment-header"></fieldset>

          <pre class="moz-quote-pre" wrap=""></pre>

        </blockquote>

        <div class="moz-signature"><br>

          <font size="2" face="Verdana, Arial">---------------------------------------

          </font>

          <div class="moz-signature"><font size="2" face="Verdana,

              Arial"><b>Massimo Fontanive</b><br>

              Network operations<br>

            </font></div>

          <div class="moz-signature"><font size="2" face="Verdana,

              Arial"><br>

            </font></div>

          <div class="moz-signature"><font size="1" face="Verdana,

              Arial"> <br>

            </font></div>

          <div class="moz-signature"><font size="1" face="Verdana,

              Arial"> Progetto 8 Srl <br>

              Via XXI Aprile 76 <br>

              29121 Piacenza <br>

              Tel. 0523.1885611 <br>

              Fax 0523.1880303 <br>

              <a href="http://www.progetto8.net">www.progetto8.net</a></font></div>

        </div>

      </div>

    </div>

    <p><font size="1"><font face="Verdana, Arial"></font></font></p>

  </body>

</html>