DNS-Filter (Lancom 1511)
Moderator: Lancom-Systems Moderatoren
DNS-Filter (Lancom 1511)
Hallo an alle,
gesundes neues Jahr wünsche ich erst mal. Und für die Lancom-Mannschaft: Macht weiter so!
Ich habe hier gerade einen 1511 stehen (und konfiguriere und teste) und der DNS-Filter arbeitet nicht so, wie ich mir das wünsche. Konkret scheint es so zu sein, dass Domännamen, die vorne erweitert werden, dann nicht gesperrt werden (was aber laut Beschreibung/Direkthilfe so sein soll). Also konkret: ich sperre welt.de im DNS-Filter (LANconfig: TCP/IP, DNS-Filter) und wenn ich www.welt.de aufrufe geht es leider immer noch. Was mache ich falsch?
Hintergrund: ich sperre bei mir einige wenige Werbeserver, so dass ich auf deutschen Standardseiten vom Werbemüll verschont werde. Ich sperre folgende Domänen:
adserv.quality-channel.de
banner.t-online.de
ad.de.doubleclick.net
as-eu.falkag.net
ad.doubleclick.net
s0b.bluestreak.com
as1.falkag.de
adserver.71i.de
ad.uk.doubleclick.net
a.tfag.de
bei as-eu.falkag.net verwendet die Seite www.telefonbuch.de a.as-eu.falkag.net und fällt damit aus der Sperre raus. Gut - ich könnte den Eintrag jetzt bei Lancom ergänzen, aber das betrifft auch einige andere Sachen und so würden es dann immer mehr Einträge werden ...
Wer mir jetzt mitteilen möchte, dass man die ganzen Flash-Animationen und Werbefilmchen auch los wird, in dem man nicht den IE benutzt, den weise ich hiermit darauf hin, dass in meinem Netz noch mehr Leute sind, denen ich nicht den Browser vorschreiben kann und auch nicht will. Außerdem spart es Traffic, obwohl ich diesbezüglich auch keine Begrenzung habe.
Vielen Dank und viele Grüße,
Jirka
gesundes neues Jahr wünsche ich erst mal. Und für die Lancom-Mannschaft: Macht weiter so!
Ich habe hier gerade einen 1511 stehen (und konfiguriere und teste) und der DNS-Filter arbeitet nicht so, wie ich mir das wünsche. Konkret scheint es so zu sein, dass Domännamen, die vorne erweitert werden, dann nicht gesperrt werden (was aber laut Beschreibung/Direkthilfe so sein soll). Also konkret: ich sperre welt.de im DNS-Filter (LANconfig: TCP/IP, DNS-Filter) und wenn ich www.welt.de aufrufe geht es leider immer noch. Was mache ich falsch?
Hintergrund: ich sperre bei mir einige wenige Werbeserver, so dass ich auf deutschen Standardseiten vom Werbemüll verschont werde. Ich sperre folgende Domänen:
adserv.quality-channel.de
banner.t-online.de
ad.de.doubleclick.net
as-eu.falkag.net
ad.doubleclick.net
s0b.bluestreak.com
as1.falkag.de
adserver.71i.de
ad.uk.doubleclick.net
a.tfag.de
bei as-eu.falkag.net verwendet die Seite www.telefonbuch.de a.as-eu.falkag.net und fällt damit aus der Sperre raus. Gut - ich könnte den Eintrag jetzt bei Lancom ergänzen, aber das betrifft auch einige andere Sachen und so würden es dann immer mehr Einträge werden ...
Wer mir jetzt mitteilen möchte, dass man die ganzen Flash-Animationen und Werbefilmchen auch los wird, in dem man nicht den IE benutzt, den weise ich hiermit darauf hin, dass in meinem Netz noch mehr Leute sind, denen ich nicht den Browser vorschreiben kann und auch nicht will. Außerdem spart es Traffic, obwohl ich diesbezüglich auch keine Begrenzung habe.
Vielen Dank und viele Grüße,
Jirka
Re: DNS-Filter (Lancom 1511)
Moin, moin!
Ciao, Georg
Kannst du (per Telnet/SSH oder Browser in der Expertenkonfiguration) nachsehen, was in der Sperrliste konkret eingetragen ist? Korrekt wäre z.B. *.welt.de bzw. *.as-eu.falkag.net.Jirka hat geschrieben:Also konkret: ich sperre welt.de im DNS-Filter (LANconfig: TCP/IP, DNS-Filter) und wenn ich www.welt.de aufrufe geht es leider immer noch.
Ciao, Georg
Hallo !
Ich habe einen 1821 hier stehen, und habe gerade *.welt.de in den DNS Filter eingetragen. Und siehe da, kein www.welt.de; welt.de funktioniert mehr.
Hoffe weitergeholfen zu haben.
Gruss mark13
Ich habe einen 1821 hier stehen, und habe gerade *.welt.de in den DNS Filter eingetragen. Und siehe da, kein www.welt.de; welt.de funktioniert mehr.
Hoffe weitergeholfen zu haben.
Gruss mark13
Hallöchen an alle,
vielen Dank für die Antworten - ich bin jetzt einen Schritt weiter, siehe weiter unten.
> Bist Du sicher, daß der Browser nicht zufällig den
> DNS-Eintrag noch in seinem Cache hatte?
Das hat mich tatsächlich auch etwas durcheinander gebracht, aber ich habe nachher dann lieber mit nslookup gearbeitet und da bestätigte sich, was ich oben schrieb.
> Kannst du (per Telnet/SSH oder Browser in der Expertenkonfiguration)
> nachsehen, was in der Sperrliste konkret eingetragen ist? Korrekt wäre
> z.B. *.welt.de bzw. *.as-eu.falkag.net.
Also bei mir stand bis dato nur (als Beispiel) welt.de drin. Dein Tipp ging aber in die richtige Richtung und hat mich zur Lösung gebracht.
> Ich habe einen 1821 hier stehen, und habe gerade *.welt.de in den
> DNS Filter eingetragen. Und siehe da, kein www.welt.de; welt.de
> funktioniert mehr.
Das ist bei mir nicht so!!! Siehe nachfolgend.
--->>> Also ich bin jetzt zu folgenden Ergebnissen gekommen:
Eintrag in DNS-Filter /// gesperrte Domänen /// NICHT gesperrte Domänen
welt.de /// welt.de /// www.welt.de
*.welt.de /// www.welt.de /// welt.de
*welt.de /// welt.de www.welt.de /// -
D. h. *.welt.de führt auch nicht zum gewünschten Ergebnis!!!
Und *welt.de ist die Lösung für das Problem! Aber so meiner Ansicht nach nirgends bei Lancom dokumentiert.
In der Direkthilfe zum DNS-Filter im Lancom unter LANconfig steht: "Tragen Sie hier den Namen einer Station oder Domäne ein, die Sie sperren wollen. Wenn Sie hier beispielsweise unproduktiv.de eintragen, dann werden damit auch Zugriffe auf www.unproduktiv.de oder ftp.unproduktiv.de gesperrt." Richtig muss es hier dann heißen *unproduktiv.de ODER das funktioniert nur beim 1511 nicht so wie es soll. Hab gerade nur 1511 und L-54g zur Hand, mein 1811 ist verborgt ... werds vielleicht nachher auch noch mal am L-54g austesten.
An die Lancomer: Auf alle Fälle also Direkthilfe korrigieren oder Bug ausmerzen.
Viele Grüße,
Jirka
vielen Dank für die Antworten - ich bin jetzt einen Schritt weiter, siehe weiter unten.
> Bist Du sicher, daß der Browser nicht zufällig den
> DNS-Eintrag noch in seinem Cache hatte?
Das hat mich tatsächlich auch etwas durcheinander gebracht, aber ich habe nachher dann lieber mit nslookup gearbeitet und da bestätigte sich, was ich oben schrieb.
> Kannst du (per Telnet/SSH oder Browser in der Expertenkonfiguration)
> nachsehen, was in der Sperrliste konkret eingetragen ist? Korrekt wäre
> z.B. *.welt.de bzw. *.as-eu.falkag.net.
Also bei mir stand bis dato nur (als Beispiel) welt.de drin. Dein Tipp ging aber in die richtige Richtung und hat mich zur Lösung gebracht.
> Ich habe einen 1821 hier stehen, und habe gerade *.welt.de in den
> DNS Filter eingetragen. Und siehe da, kein www.welt.de; welt.de
> funktioniert mehr.
Das ist bei mir nicht so!!! Siehe nachfolgend.
--->>> Also ich bin jetzt zu folgenden Ergebnissen gekommen:
Eintrag in DNS-Filter /// gesperrte Domänen /// NICHT gesperrte Domänen
welt.de /// welt.de /// www.welt.de
*.welt.de /// www.welt.de /// welt.de
*welt.de /// welt.de www.welt.de /// -
D. h. *.welt.de führt auch nicht zum gewünschten Ergebnis!!!
Und *welt.de ist die Lösung für das Problem! Aber so meiner Ansicht nach nirgends bei Lancom dokumentiert.
In der Direkthilfe zum DNS-Filter im Lancom unter LANconfig steht: "Tragen Sie hier den Namen einer Station oder Domäne ein, die Sie sperren wollen. Wenn Sie hier beispielsweise unproduktiv.de eintragen, dann werden damit auch Zugriffe auf www.unproduktiv.de oder ftp.unproduktiv.de gesperrt." Richtig muss es hier dann heißen *unproduktiv.de ODER das funktioniert nur beim 1511 nicht so wie es soll. Hab gerade nur 1511 und L-54g zur Hand, mein 1811 ist verborgt ... werds vielleicht nachher auch noch mal am L-54g austesten.
An die Lancomer: Auf alle Fälle also Direkthilfe korrigieren oder Bug ausmerzen.
Viele Grüße,
Jirka
Moin Jirka!
Ciao, Georg
*welt.de führt auch nicht zum gewünschten Ergebnis, denn das Sperrt auch z.B. www.in-die-weite-welt.de. Korrekt wären für dich zwei Einträge: welt.de und *.welt.de.Jirka hat geschrieben:Eintrag in DNS-Filter /// gesperrte Domänen /// NICHT gesperrte Domänen
welt.de /// welt.de /// www.welt.de
*.welt.de /// www.welt.de /// welt.de
*welt.de /// welt.de www.welt.de /// -
D. h. *.welt.de führt auch nicht zum gewünschten Ergebnis!!!
Und *welt.de ist die Lösung für das Problem! Aber so meiner Ansicht nach nirgends bei Lancom dokumentiert.
Ciao, Georg
-
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Kennt einer eine Möglichkeit, den DNS Filter rückwärts zum oben beschriebenen einzsetzen.
Eine Art positiv Liste.
oder DENYALL DNS Strategie
Ich möchte, da der Mailserver abgeraucht ist nun doch jedem client das E-mailen direkt erlauben.
Aber eben nur zu unserem provider (1und1/Schlund) und keine GMX und andere Accounts ermöglichen.
Oder ist hier ein IP Filter die erste Wahl. So nach dem Motto, wenn sich alle beschweren überprüfe ich mal die MailserverIP?
Michael
Eine Art positiv Liste.
oder DENYALL DNS Strategie
Ich möchte, da der Mailserver abgeraucht ist nun doch jedem client das E-mailen direkt erlauben.
Aber eben nur zu unserem provider (1und1/Schlund) und keine GMX und andere Accounts ermöglichen.
Oder ist hier ein IP Filter die erste Wahl. So nach dem Motto, wenn sich alle beschweren überprüfe ich mal die MailserverIP?
Michael
Hallo Michael,
Also Deny für pop und smtp und Allow für die Mailserver Deines Providers einsetzen.
Gruß
Mario
Der DNS-Filter ist prinzipiell ungeeignet, Zugriffsbeschränkungen für Clients durchzusetzen. Jeder der in der Lage ist, mit nslookup oder dig umzugehen, holt sich damit die IP-Adresse die hinter einem DNS-Namen steht. Und die tippt man dann einfach in seinen Browser oder email-Programm ein.Ich möchte, da der Mailserver abgeraucht ist nun doch jedem client das E-mailen direkt erlauben.
Aber eben nur zu unserem provider (1und1/Schlund) und keine GMX und andere Accounts ermöglichen.
Oder ist hier ein IP Filter die erste Wahl.
Also Deny für pop und smtp und Allow für die Mailserver Deines Providers einsetzen.
Gruß
Mario
-
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hallo Michael,
Du mußt die Adressen der pop und smtp Server, die Du mit Deinem Provider nutzt ermitteln und darauf die Regeln erstellen.
Gruß
Mario
nöö - nicht den MX! Der ist nur für die Ermittlung des zuständigen SMTP-Servers für alle jene zuständig, die Dir oder Deinen anderen Usern emails zustellen wollen.ich werde den Zugriff von den Clients auf die IP Adresse des Mailservers (MX Record)beschränken und entsprechende Ports für SMTP mit SSL(465), POP mit SSL(995) freigeben.
Du mußt die Adressen der pop und smtp Server, die Du mit Deinem Provider nutzt ermitteln und darauf die Regeln erstellen.
Gruß
Mario
Mailserver IPs gerade bei den Großen ändern sich - da kommt mal einer hinzu etc. wegen Lastverteilung.
Ich habe daher das ganze Subnetz der Schlund Server freigegeben - denn das wird sich wirklich eher selten ändern...
Gruß
COMCARGRU
Ich habe daher das ganze Subnetz der Schlund Server freigegeben - denn das wird sich wirklich eher selten ändern...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
-
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Hi COMCARGRU
kannst du mir nochmal kurz helfen, wie ich das Subnetz oder eben die einzelnen Server herausfinden kann.
WinXP/Pro/SP2
nslookup
set type=MX
schlund.de
liefert:
> schlund.de
Server: DSL10i
Address: 192.168.2.2
Nicht autorisierte Antwort:
schlund.de MX preference = 10, mail exchanger = mxintern1.schlund.de
schlund.de MX preference = 10, mail exchanger = mxintern0.schlund.de
Diese nach IP aufgelöst, ergibt:
Nicht autorisierte Antwort:
mxintern1.schlund.de internet address = 212.227.126.204
mxintern0.schlund.de internet address = 212.227.126.201
Meinst du jetzt das ich 212.227.126.0 freigeben soll?
Eine Anfrage von schlund liefert:
> schlund.de
Server: DSL10i
Address: 192.168.2.2
Nicht autorisierte Antwort:
schlund.de internet address = 212.227.147.70
schlund.de nameserver = nsa2.schlund.de
schlund.de nameserver = nsa.schlund.de
Jetzt ist das Subnetz mit 212.227.0.0 ja riesig.
Oder schreibt man alle mit 212.227.255.255 bin mir nicht sicher.
Danke
Michael
Ich habe daher das ganze Subnetz der Schlund Server freigegeben - denn das wird sich wirklich eher selten ändern...
kannst du mir nochmal kurz helfen, wie ich das Subnetz oder eben die einzelnen Server herausfinden kann.
WinXP/Pro/SP2
nslookup
set type=MX
schlund.de
liefert:
> schlund.de
Server: DSL10i
Address: 192.168.2.2
Nicht autorisierte Antwort:
schlund.de MX preference = 10, mail exchanger = mxintern1.schlund.de
schlund.de MX preference = 10, mail exchanger = mxintern0.schlund.de
Diese nach IP aufgelöst, ergibt:
Nicht autorisierte Antwort:
mxintern1.schlund.de internet address = 212.227.126.204
mxintern0.schlund.de internet address = 212.227.126.201
Meinst du jetzt das ich 212.227.126.0 freigeben soll?
Eine Anfrage von schlund liefert:
> schlund.de
Server: DSL10i
Address: 192.168.2.2
Nicht autorisierte Antwort:
schlund.de internet address = 212.227.147.70
schlund.de nameserver = nsa2.schlund.de
schlund.de nameserver = nsa.schlund.de
Jetzt ist das Subnetz mit 212.227.0.0 ja riesig.
Oder schreibt man alle mit 212.227.255.255 bin mir nicht sicher.
Danke
Michael
Hallöchen,
> eben nur zu unserem provider (1und1/Schlund)
> und entsprechende Ports für SMTP mit SSL(465), POP mit SSL(995) freigeben
Als ich 1und1 und POP mit SSL gelesen habe, dachte ich mich verlesen zu haben, denn bei 1und1 gibt es kein POP mit SSL - darüber rege ich mich seit bestimmt 2 Jahren auf. Habe denen schon 2 mal eine E-Mail geschrieben, ob die das nicht mal bald ändern wollen, denn ansonsten kann ich ja meine E-Mails nie wirklich sicher abholen.
Nun hab ich ja keine Ahnung, was Schlund mit 1und1 zu tun hat, aber das eine scheint wohl die Profi-Variante und das andere das MediaMarkt-Niveau zu sein. Jedenfalls hab ich einfach mal die bei Schlund angegebenen POP-Server mit SSL bei meinen E-Mail Adressen eingetragen und siehe da, es funktioniert ... ICH HAB ENDLICH SSL - das ist ja echt der Hit ...
Das LANCOM-Forum ist echt spitze, ich danke Euch für die Ausschweifungen ...
Viele Grüße,
Jirka
P.S.: ich komme auf folgende IPs für die POP-Server
nslookup ssl.pop.kundenserver.de
Name: ssl.pop.kundenserver.de
Addresses: 212.227.15.80, 212.227.15.81, 212.227.15.82, 212.227.15.83
und SMTP-Server
nslookup auth.smtp.kundenserver.de
Name: auth.smtp.kundenserver.de
Addresses: 212.227.15.162, 212.227.15.178, 212.227.15.130, 212.227.15.146
> eben nur zu unserem provider (1und1/Schlund)
> und entsprechende Ports für SMTP mit SSL(465), POP mit SSL(995) freigeben
Als ich 1und1 und POP mit SSL gelesen habe, dachte ich mich verlesen zu haben, denn bei 1und1 gibt es kein POP mit SSL - darüber rege ich mich seit bestimmt 2 Jahren auf. Habe denen schon 2 mal eine E-Mail geschrieben, ob die das nicht mal bald ändern wollen, denn ansonsten kann ich ja meine E-Mails nie wirklich sicher abholen.
Nun hab ich ja keine Ahnung, was Schlund mit 1und1 zu tun hat, aber das eine scheint wohl die Profi-Variante und das andere das MediaMarkt-Niveau zu sein. Jedenfalls hab ich einfach mal die bei Schlund angegebenen POP-Server mit SSL bei meinen E-Mail Adressen eingetragen und siehe da, es funktioniert ... ICH HAB ENDLICH SSL - das ist ja echt der Hit ...
Das LANCOM-Forum ist echt spitze, ich danke Euch für die Ausschweifungen ...
Viele Grüße,
Jirka
P.S.: ich komme auf folgende IPs für die POP-Server
nslookup ssl.pop.kundenserver.de
Name: ssl.pop.kundenserver.de
Addresses: 212.227.15.80, 212.227.15.81, 212.227.15.82, 212.227.15.83
und SMTP-Server
nslookup auth.smtp.kundenserver.de
Name: auth.smtp.kundenserver.de
Addresses: 212.227.15.162, 212.227.15.178, 212.227.15.130, 212.227.15.146