Normalmente quando si vuole bloccare, limitare o controllare gli accessi ad internet si fa ricorso ad un server proxy, piottosto che a delle configurazioni sui router/firewall o a dei servizi associati a questi apparati.
Nel caso però in cui vogliate bloccare l’accesso ad alcuni siti, che non sono attinenti al lavoro (facebook.com non me ne voglia), ma non avete budget da investire e ammesso che la vostra LAN sia gestita da un DNS interno, forse qualcosa si può fare!
In realtà questo è un workaround, non la soluzione migliore al problema, che consiste nel “drogare” il DNS server per deviare le richieste con destinazione non gradita.
In una rete Microsoft con Active Directory installato, il controller di dominio ha quasi sicuramente un servizio DNS attivo, fate in modo che tutti i client di rete (magari attraverso un servizio DHCP) abbiano come unico DNS server il Domain Controller (DC). Ora create delle finte zone primarie, ad esempio facebook.com o alice.it, lasciandole anche vuote, in questo modo tutti i client di rete non saranno più in grado di raggiungere i siti perchè non otterranno l’IP corretto in risposta alla query.
Quali sono gli svantaggi?
Vale per tutti gli utenti (anche l’IT Manager), non c’è possibilità dilegarlo a user o a gruppi, non può essere limitato per tempo massimo e nemmeno per fasce orarie, oltre ad essere scomodo da gestire.
Quali i vantaggi?
Costa poco o nulla e visto che influisce direttamente sulla produttività non è neanche poi così male!
Nonostante questo articiolo, continuerò a consigliare fino allo sfinimento Microsoft ISA Server.