Controllo dell’accesso a Internet
Generale
Il componente aggiuntivo Veyon Internet Access Control consente di bloccare l’accesso a Internet per l’intera classe o per singoli computer in situazioni come gli esami. L’accesso a Internet viene bloccato lato client tramite meccanismi forniti dai diversi backend.
Configurazione iniziale
Prima di tutto è necessario installare il pacchetto Veyon Add-ons. Assicurati di scaricare e installare la versione corrispondente alla tua installazione Veyon, ovvero Veyon 4.9.1 richiede Veyon Add-ons 4.9.1 mentre per Veyon 4.8.3 devi installare la versione 4.8.3 degli add-ons. Per ulteriori informazioni, fai riferimento a Deployment.
Una volta completata l’installazione, vedrai alcune nuove pagine di configurazione nel programma Veyon Configurator. Una di queste si chiama Internet access control e consente di impostare l’add-on:

Pagina di configurazione del controllo dell’accesso a Internet
Nella maggior parte dei casi è possibile lasciare le impostazioni predefinite e continuare a distribuire il componente aggiuntivo sui computer degli studenti.
Importante
Se si apportano modifiche alla configurazione, ricordarsi di distribuire sempre la configurazione aggiornata ai computer degli studenti! Solo le impostazioni lato client influenzano il modo in cui l’accesso a Internet viene bloccato sui client.
Ora puoi avviare Veyon Master e cliccare sul pulsante Accesso a Internet per aprire il menu con le voci Blocca accesso a Internet e Sblocca accesso a Internet. Dopo aver attivato la voce Blocca accesso a Internet, gli utenti sui computer selezionati non dovrebbero più essere in grado di aprire un sito web su Internet. Se lo sono ancora, controlla le impostazioni e prova eventualmente un’altra modalità di blocco o un altro backend.
Backend
Attualmente ci sono due backend che forniscono meccanismi diversi per bloccare l’accesso a Internet. Entrambi i backend sono descritti nelle sottosezioni seguenti.
Blocca l’accesso a Internet tramite il firewall di sistema
Questo è il backend standard che dovrebbe essere preferibilmente utilizzato, poiché offre la massima flessibilità e funziona in modo più affidabile. Quando viene utilizzato questo backend, il servizio Veyon apporta modifiche al firewall di sistema per bloccare l’accesso a Internet. Ci sono differenze specifiche della piattaforma:
- Windows
Veyon controlla il firewall Windows integrato e apporta modifiche temporanee alla sua configurazione. Ciò significa che il firewall Windows deve essere attivato. Inoltre, le modifiche alla configurazione del firewall Windows non devono essere impedite dai criteri di gruppo.
- Linux
Veyon funziona sulla base di nftables e richiama il relativo strumento da riga di comando
nft
. Questo viene utilizzato per aggiungere temporaneamente regole aggiuntive per bloccare l’accesso a Internet.
Per entrambi i sistemi operativi, la configurazione del backend è identica. In generale sono disponibili diverse modalità. La selezione della modalità dipende dall’ambiente di rete e dal comportamento di blocco desiderato.
- Blocca tutto il traffico in uscita per le porte TCP e UDP
Questa è la modalità predefinita e dovrebbe funzionare nella maggior parte degli ambienti. In questa modalità il servizio Veyon aggiunge regole speciali al firewall che bloccano qualsiasi traffico verso le porte configurate. Utilizzare questa modalità se è sufficiente bloccare le porte TCP e UDP 80/443 e una o più porte personalizzate (separate da uno spazio). Per bloccare tutto il traffico, utilizzare la seconda modalità.
- Blocca tutto il traffico in uscita verso subnet non locali
In questa modalità, tutto il traffico di rete diretto a reti esterne alle subnet locali viene bloccato. Su Windows, il servizio Veyon modifica temporaneamente la configurazione di tutti i profili firewall (dominio, privato, pubblico) in «Le connessioni in uscita che non corrispondono a una regola vengono bloccate». Se sono configurate Eccezioni, vengono aggiunte regole appropriate per consentire l’accesso a queste reti, host o porte. Questo può essere utilizzato, ad esempio, per preservare l’accesso all’intranet e ad altre piattaforme ospitate internamente. Anche i siti Web esterni possono essere definiti come eccezioni in determinate circostanze, ma devono essere specificati anche gli indirizzi di tutti i server/CDN da cui il sito Web carica risorse.
- Blocca il traffico ai server (ad esempio proxy o DNS)
Se i computer degli studenti accedono a Internet tramite un server proxy, puoi selezionare questa opzione. Viene quindi aggiunta una regola firewall che blocca semplicemente tutto il traffico verso l’indirizzo proxy. In alternativa, può essere bloccato anche l’accesso a determinati server DNS, sebbene nella maggior parte dei casi ciò comporti problemi quando si accede a risorse interne come unità di rete ecc.
- Abilita regola firewall preconfigurata
Se le tre modalità sopra non sono adatte alla tua rete, puoi anche configurare una regola personalizzata nel firewall di Windows. Questa regola dovrebbe essere disabilitata per impostazione predefinita. Il servizio Veyon abiliterà questa regola mentre l’accesso a Internet deve essere bloccato. Su Linux, il servizio Veyon chiama
nft
per caricare le regole nftables dal file/etc/veyon/iac/firewall/rules.d/<RULENAME>
. Puoi definire qualsiasi regola nftables in questo file.
Blocca l’accesso a Internet modificando la tabella di routing
Se il backend del firewall non può essere utilizzato (ad esempio se si utilizza un software firewall di terze parti al posto del firewall di Windows), è possibile utilizzare questo backend come fallback. Funziona in modo molto semplice rimuovendo temporaneamente la route predefinita dalla tabella di routing e/o aggiungendo una route definita dall’utente (eventualmente deliberatamente non valida) per bloccare l’accesso a Internet. In ogni caso, le impostazioni devono essere eseguite con attenzione in modo che l’accesso alla rete interna continui a funzionare correttamente. Soprattutto nelle reti segmentate più grandi, entrambe le opzioni devono essere combinate rimuovendo la route predefinita da un lato e aggiungendo una route alla rete interna dall’altro.