 |
|
|
|
| Autor |
Nachricht |
Claus
Anmeldungsdatum: 25.01.2005
Beiträge: 103
Wohnort: Höllenthal
|
 Verfasst am:
So 11 Dez, 2005 06:41 |
  |
|
Hardwarwe: LC1100 Office Fw 3.56
Hallo ins Forum,
ich hatte zu diesem Problem wohl schon mal gepostet aber die Aufgabe niemals zufiedenstellend gelöst.
Was muss ich im DNS Filter eintragen damit Seiten wie Bittorrent, Kazaa oder Winmx nicht mehr aufgerufen werden können?
Es soll für alle Stationen gelten die von mir in der Firewall zum Inet Zugang berechtigt sind.
Was passiert wenn ich bei der IP Abfrage des DNS Filters die voreingestellte 0.0.0.0 nicht ändere, gilt der Filter dann Global?
Kennt jemand evtl. die Ports die ich für o.a clientsoftware sperren muss oder reicht es wenn ich in der Firewallregel mein Häkchen nur bei HTTP, POP/SMTP und FTP mache? - welche Ports sind in diesem Fall geöffnet? 80/25/110/20/21?
Gruß Claus |
|
|
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
So 11 Dez, 2005 19:07 |
|
|
Hi Claus
| Zitat:
|
ich hatte zu diesem Problem wohl schon mal gepostet aber die Aufgabe niemals zufiedenstellend gelöst.
Was muss ich im DNS Filter eintragen damit Seiten wie Bittorrent, Kazaa oder Winmx nicht mehr aufgerufen werden können?
|
Es ist ja auch kein Wunder, daß es nicht zufriedenstellend gelöst wurde...
Bittorrent, Kazaa, Emule & Co kannst du nicht über DNS-Filter blocken - das ist ja gerade die herausragende Eigenschaft der P2P-Dienste. Die einzige Chance die du hast, ist die von den Diensten verwendeten Ports in der Firewall zu blocken - das hilft aber auch nicht wirklich, weil die Programme sich dann einen anderen Port suchen...
| Zitat:
|
|
Was passiert wenn ich bei der IP Abfrage des DNS Filters die voreingestellte 0.0.0.0 nicht ändere, gilt der Filter dann Global?
|
genau das. Du kannst ein Netzwerk angeben, für das der Filter gelten soll - 0.0.0.0 mit Netzmaske 0.0.0.0 meint somit alle Netze
| Zitat:
|
|
Kennt jemand evtl. die Ports die ich für o.a clientsoftware sperren muss oder reicht es wenn ich in der Firewallregel mein Häkchen nur bei HTTP, POP/SMTP und FTP mache? - welche Ports sind in diesem Fall geöffnet? 80/25/110/20/21?
|
Da funktioniert natürlich nur dann, wenn du zusätzlich eine deny-all Regel in der Firewall hast. Aber wie schon gesagt im Ernstfall suchen sich die Programme einen freien Port. Wenn du es wirklich unterbinden willst, dann kommst du nicht um einen Zwangsproxy herum - und Firewallregeln, die nur dem Proxy den Zugriff aufs Internet erlauben...
Ansonsten hilft nur noch eine passende "Dienstanweisung" mit der Androhung den "Übeltäter" komplett zu blocken...
Gruß
Backslash |
|
|
|
|
|
Claus
Anmeldungsdatum: 25.01.2005
Beiträge: 103
Wohnort: Höllenthal
|
| Verfasst am:
Mo 12 Dez, 2005 22:08 |
|
|
Hallo backslash,
da ich eine deny_all Strategie verfolge und nur Stück für Stück die clients und deren Rechte freischalte, wird bei den entsprechenden Kandidaten dann nur noch der HTTP Port 80 frei sein.
Nützt das nichts gibts Qos auf Modem Niveau.
Trotzdem bin ich mit der DNS Filter Funktion noch nicht weitergekommen.
Probiert hab ichs mit zb. *.kazaa oder *.kazaa.de oder www.kazaa.de oder kazaa.
Den Browser cache geleert und und und, trotzdem kann ich die Seite www.kazaa.de noch aufrufen.
Was muss ich denn explizit eintragen um die Seite kazaa nicht mehr aufrufen zu können?
Gruß Claus |
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Mo 12 Dez, 2005 22:24 |
|
|
Hi Claus,
wenn Du die Suchfunktion des Board benutzt, dann findest Du das hier: http://www.lancom-forum.de/htopic,195,dns+filter.html
Das sollte Dir doch schon mal etwas bei Deiner Anfrage weiterhelfen.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
 |
|
Claus
Anmeldungsdatum: 25.01.2005
Beiträge: 103
Wohnort: Höllenthal
|
| Verfasst am:
Di 13 Dez, 2005 03:18 |
|
|
Hallo Louis,
ich glaub mein Lancom(seit gestern DSL/10 weil endlich DSL verfügbar) arbeitet nicht als DNS Server sondern routet weiter zu T-Online. (siehe Bild)
Das komische ist das die gesperrten Adressen im trace nicht auftauchen sondern nur die nicht gesperrten.
Was muss ich einstellen das alle Adressen im Lancom aufgelöst werden und somit der DNS Filter greift? |
| Beschreibung: |
|
| Dateigröße: |
55.73 KB |
| Angeschaut: |
5064 mal |
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 13 Dez, 2005 08:55 |
|
|
| Zitat:
|
ich glaub mein Lancom(seit gestern DSL/10 weil endlich DSL verfügbar) arbeitet nicht als DNS Server sondern routet weiter zu T-Online. (siehe Bild)
|
Das liegt wohl daran, das das LANCOM kein vollstaendiger DSN Server ist, sondern ein Forwarder, ist also normal.
| Zitat:
|
Das komische ist das die gesperrten Adressen im trace nicht auftauchen sondern nur die nicht gesperrten.
Was muss ich einstellen das alle Adressen im Lancom aufgelöst werden und somit der DNS Filter greift?
|
Pruefe ob die Clients das LANCOM als DNS Server eingestellt haben und loesche den DNS Cache der RECHNER und der Browser!
Bei Windows loescht man den DNS Cache auf der Konsole mit "ipconfig /flushdns", im Browser dann in den jeweiligen Konfigurations-Menues.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
Claus
Anmeldungsdatum: 25.01.2005
Beiträge: 103
Wohnort: Höllenthal
|
| Verfasst am:
Di 13 Dez, 2005 17:18 |
|
|
Hallo Louis,
nach dem flushdns und der Eingabe von *.kazaa.de im DNS Filter ist die Seite nicht mehr aufzurufen.
Im trace steht dann : "Request filtered"
Die nicht gesperrten Seiten werden weiterhin zum ISP geroutet, ist okay wenn Du sagst das der DSL/10 nur ein DNS Forwarder ist.
Wie in dem von dir empfohlenen Beitrag zu dem Thema habe ich ebenfalls die Erfahrung mit Netgear Routern gemacht, das die Eingabe eines Schlüsselwortes reicht um alle Seiten die dann indiziert sind zu sperren.
Schade das so etwas mit dem DSL/10 nicht funktioniert.
Welcher Lancom DSL Router kann denn auch als DNS Server dienen und evtl. Schlüsselwörter sperren?
Hab noch ne kurze Frage: Seit dem einrichten von dyn.DNS was auch prima funktioniert, habe ich das Gefühl das der Router in recht kurzen Intervallen eine Verbindung zu dyndns.com aufbaut. Wo kann ich die Zeit des Intervalls einstellen oder noch besser ihm sagen das er nur aktualisieren soll wenn sich die WAN-IP geändert hat?
Gruß Claus |
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 13 Dez, 2005 20:39 |
|
|
| Zitat:
|
|
Welcher Lancom DSL Router kann denn auch als DNS Server dienen und evtl. Schlüsselwörter sperren?
|
Keiner, dafuer sind Router IMHO primaer nicht gedacht, wenn Du sowas willst, dann installiere Dir einen Proxy, der solche Aufgaben ausfuehren kann.
Alle LANCOM sind nur DNS Forwarder, ein kompletter DNS Server ist nicht implementiert.
| Zitat:
|
|
Hab noch ne kurze Frage: Seit dem einrichten von dyn.DNS was auch prima funktioniert, habe ich das Gefühl das der Router in recht kurzen Intervallen eine Verbindung zu dyndns.com aufbaut. Wo kann ich die Zeit des Intervalls einstellen oder noch besser ihm sagen das er nur aktualisieren soll wenn sich die WAN-IP geändert hat?
|
Wie kommst Du da drauf? Wie kann man das "Gefuehl" haben der Router uodate eine IP? Das LANCOM wird nur ein Update durchfuehren, wenn sich die WAN IP geaendert hat, oder der DNS Check (auf Grund eines Fehlers im uebergeordneten DNS Server des Providers) eine andere Adresse meldet als die aktuelle WAN IP. Einfestes Update nach einem bestimmten Intervall ist nicht vorgesehen. Das Updatescript laeuft zyklisch durch die Schleife und prueft ob die WAN IP sich geaendert hat.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
Claus
Anmeldungsdatum: 25.01.2005
Beiträge: 103
Wohnort: Höllenthal
|
| Verfasst am:
Di 13 Dez, 2005 21:04 |
|
|
Hallo Louis,
bevor ich den dyndns Dienst eingerichtet hatte, hat das Lancom nach der eingestellten Leerlaufzeit die Verbindung getrennt.
Jetzt hält es die Verbindung permanent aufrecht und in der DNS Hit-Liste sehe ich das ca. alle 5min eine Verbindung zu meiner bei dyndns eingerichteten subdomain dsluser.selfip.net aufgebaut wird.
Claus |
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 13 Dez, 2005 21:11 |
|
|
| Zitat:
|
|
Jetzt hält es die Verbindung permanent aufrecht und in der DNS Hit-Liste sehe ich das ca. alle 5min eine Verbindung zu meiner bei dyndns eingerichteten subdomain dsluser.selfip.net aufgebaut wird.
|
Das ist die DNS-HITLISTE! Da stehen DNS Anfragen drin, dies bedeutet, dass alle 5 Minuten eine DNS-Anfrage fuer "dsluser.selfip.net" ausgeloest wird, um die IP dieser FQDN zu pruefen. Das bedeutet NICHT, das eine Verbindung zu der FQDN aufgebaut wird.
Ciao
LoUiS
P.S. Diese Anfragen an den DNS-Server sind verbindungshaltend, weshalb die Verbindung nicht abgegebaut wird und die Haltezeit neu aufgezogen wird. |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
Claus
Anmeldungsdatum: 25.01.2005
Beiträge: 103
Wohnort: Höllenthal
|
| Verfasst am:
Di 13 Dez, 2005 21:40 |
|
|
okay, den gleichen Denkfehler hab ich schon einmal gemacht.
Mich wunderte nur das ich in der Aktions Tabelle nach dem einrichten des dyndns Dienstes einen Eintrag mit den Zugangsdaten des dyndns Dienstes mit einem Parameter "repeat 300s" hatte.
Im Lcos Referenzhandbuch 3.52 / 14.2.5 ist dort ein check IP Intervall Parameter angegeben und ich dachte es wäre vergleichbar.
Zum DNS:
Im Lcos Referenzhandbuch 3.52 / 14.2.5 las ich: Der DNS Server im Lancom kann gleichzeitig als komfortabler Filter genutzt werden...
Daher mein verdacht der DSL/10 könnte das nicht aber evtl. andere Lancom Produkte.
Claus |
|
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Di 13 Dez, 2005 22:16 |
|
|
Hi,
also, das DynDNS Script legt 4 Eintraege an. Der erste Eintrag ist ein generelles Update der FQDN, was alle 27 Tage wiederholt wird (fuer Accounts auf denen sich die WAN IP nie andert muss nach den 27 Tagen ein Zwangsupdate durchgefuehrt werden). Der zweite Eintrag ist eben der DNSCHECK, der prueft ob die eigene IP gleich der vom DNS gelieferten IP ist. Die Bedingung "isequal=%a?skipiftrue=1" skipt den naechsten Eintrag (also Nr.3) wenn die eigene IP (%a) gleich dem Ergebnis des DNS check ist. Eintrag Nr.3 wuerde dann das eigentliche Update ausfuehren, wenn die IPs ungleich sind und Eintrag Nr.4 repeated das Script alle 300 Sekunden.
Die Sperrzeit vor Eintrag Nr.1 und Nr.3 sperrt die Ausfuehrung der Eintraege fuer die dort angegebene Zeit generell. Fuer Eintrag 3 ist der Grund, das es einige Zeit dauern kann, bis das erste Update bis zu jedem DNS Server durch ist, so dass evtl am Anfang der DNS Check noch falsche Ergebnisse liefern kann und deshalb erstmal sicherheitshalber 15 Minuten gewartet wird bis erin erneutes Update moeglich ist.
Das wird gerne schon mal als "DNS Server" bezeichnet, ist aber tatsaechlich ein Forwarder. Es ist zwar eine gehobene Variante der Forwarder, aber halt kein vollstaendiger DNS-Server.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
|
|
MoinMoin
Moderator
Anmeldungsdatum: 12.11.2004
Beiträge: 870
|
| Verfasst am:
Mi 14 Dez, 2005 13:01 |
|
|
Moin LoUIS!
| LoUiS hat folgendes geschrieben:
|
|
Das wird gerne schon mal als "DNS Server" bezeichnet, ist aber tatsaechlich ein Forwarder. Es ist zwar eine gehobene Variante der Forwarder, aber halt kein vollstaendiger DNS-Server.
|
DNS-Server ist das LANCOM schon, aber nur für Adressen, die lokal auf dem LANCOM definiert sind. Da das LANCOM keinen DNS-Cache enthält, werden alle Anfragen, die das LANCOM nicht lokal beantworten kann, an den übergeordneten DNS-Server weitergeleitet. Generell machen andere DNS-Server das aber auch nicht anders, wenn sie keinen Cache haben.
Ciao, Georg |
|
|
|
|
|
holgi03
Anmeldungsdatum: 12.07.2005
Beiträge: 20
|
| Verfasst am:
Mi 14 Dez, 2005 20:33 |
|
|
Andere Router-Projekte (Open Source) verwenden „l7-Filter“ um Kazaa, Bittorrent, eDonkey2000, etc. zu filtern.
http://l7-filter.sourceforge.net/
Ist vielleicht mal ne Anregung für Lancom so was zu implementieren.
Gruß Holger |
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 15 Dez, 2005 13:51 |
|
|
Hi holgi03
| Zitat:
|
Andere Router-Projekte (Open Source) verwenden „l7-Filter“ um Kazaa, Bittorrent, eDonkey2000, etc. zu filtern.
http://l7-filter.sourceforge.net/
Ist vielleicht mal ne Anregung für Lancom so was zu implementieren.
|
wenn im LANCOM eine x GHz-CPU arfbeiten würde, dann könnte man über soetwas nachdenken - dann hätte man aber die Hauptvorteile eines Hardware-Routers verspielt: Lüfterfreiheit, geringer Stromverbrauch..
Gruß
Backslash |
|
|
|
|
|
|
|
|
|
| |
|
|
