CleanBrowsing.org DNS forcieren

[p0ddie]

Hallo Gemeinde,

die Aufgabe ist schnell erklärt:

Wie müssen die Firewallregeln aussehen, damit sämtliche DNS-Anfragen umgeleitet werden auf den von mir festgelegten DNS-Server?

Zusätzlich sollen sämtliche Anfragen über CryptDNS over HTTPS, DNS over TLS und Simple DNSCrypt auch umgeleitet werden.

Ausführlicher:

Eine Schule hat einen Glasfaseranschluss mit einem Lancom 1900EF dran. Eines der auf dem Router konfigurierten Netzwerke soll nun ein BYOD Wifi Netzwerk für die Schüler werden. Das Wifi mit eigener Schul SSID in eigenem VLAN ist in sämtlichen Gebäuden schon vorhanden.

Die Boomer in der Schulverwaltung stellen sich natürlich dagegen (Neuland...) und wollen effektive Maßnahmen, damit sie nicht für Schindluder der teilweise minderjährigen Schüler haftbar werden und auch ihre Aufsichtspflicht nicht verletzen.

Mein Plan ist, die Zensursula zu machen, also die DNS-Dienste von z.B. cleanbrowsing.org zu benutzen, das ist ein konfigurierbarer DNS-Server, der eine Menge filtern kann, auch VPN-Dienste. Natürlich wird das für technisch interessierte Schüler ein Katz und Maus Spiel und sie werden trotzdem an ihre Seiten kommen, geschätzte 98% der Schüler an der Schule werden aber zu doof dazu sein.

Damit man nicht auf seinem eigenen Gerät einfach mit einem eigenen DNS Server die Filter umgeht, sollen sämtliche DNS-Anfragen aus diesem Netzwerk (möglichst auch CryptDNS over HTTPS, DNS over TLS und Simple DNSCrypt, auch wenn das fast unmöglich wird) an die vorgegebene IP umgeleitet werden.

(Mit meinem Setup zu Hause habe ich das übrigens schon gelöst: https://community.ui.com/questions/Redi ... f9792367b7)

Kann mir jemand einen Tipp geben, wie wir das bewerkstelligen können? Danke!

inb4 der Content Filter im Lancom ist dafür keine Lösung, habe ich vor einer Weile schon mal probiert, der Filter bzw. der Router ist vollkommen überfordert mit der Menge der Anfragen, das ist eine Schule mit über 2.000 Schülern.

[backslash]

Hi p0ddie,

normales DNS kannst du ganz einfach über die (IPv4-) Firewall ausfiltern:

Code: Alles auswählen

Name:    DENY_DNS
Aktion:  Zurückweisen
Quelle:  alle Stationen
Ziel:    alle Stationen
Dienste: DNS

Um DNS over TLS gleich mit auszufiltern erweiterts du das Dienst-Objekt "DNS" um den Port 853 (unter Firewall/Qos -> IPv4-Regeln -> Dienst-Objekte -> DNS -> Dienste -> Benutzerdefinierte Protokolle -> Protokolle bearbeiten)

Da du damit auch den DNS-Server des LANCOMs unerreichbar machst, brauchst du noch eine Regel, die den Zugriff auf das LANCOM erlaubt:

Code: Alles auswählen

Name:    ALLOW_LANCOM_DNS
Aktion:  übertragen
Quelle:  alle Stationen im lokalen Netz
Ziel:    IP des LANCOMs
Dienste: DNS

Dann können alle nur noch das LANCOM als DNS-Server verwenden (allerdings ohne TLS). In dem trägst du dann eine Weiterleitung für "?*" zum DNS-Server deiner Wahl ein (unter IPv4 -> DNS -> Wweiterleitungen)...

DNS over HTTPS kannst du nicht so einfach ausfiltern, denn dazu müßtest du das TLS aufbrechen, um zu sehen, ob es DNS enthält oder eben doch HTTP. Hier bleibt dir nur, sämtliche IP-Adressen, von DNS over HTTPS Servern explizit zu filtern

Und das Ganze machst du dann auch nochmal für die IPv6-Firewall - da brauchst du aber nur die Deny-Regeln im Forwarding-Zweig, da im Inbound-Regelsatz bereits DNS-Allow-Regeln im Default vorhanden ist.

Gruß
Backslash

[p0ddie]

Hallo backslash,

vielen Dank, wie immer qualitativ großartige Antwort - ich probiere es aus, es liest sich aber verständlich und scheint viel einfacher als erwartet. 1000 Dank!!!

[plumpsack]

@p0ddie

Dir ist schon klar auf was du dich da gerade mit

cleanbrowsing.org --> 192.124.249.8

und

community.ui.com --> 54.192.209.8

besonders in der aktueller Rechtsprechung einläßt?

Eine Schule hat einen Glasfaseranschluss mit einem Lancom 1900EF dran.

Ich wäre da gerade jetzt ein bisschen mehr vorsichtig ....

[p0ddie]