Über WLAN ausschließlich Surfen und Mail erlauben

[maceis]

Hallo zusammen,

gibt es die Möglichkeit, allen über WLAN verbundenen Computern ausschließlich das "normale" Surfen sowie Email zu erlauben.
Insbesondere Filesharing u. ä. soll unterbunden werden.

Ich hab schon gesucht nach Firewall und/oder Proxy, kenne mich aber (noch) zu wenig aus, um mich ganz gezielt zu informieren.

Es geht um zwei 7270 Boxen (WDS Basis und WDS Repeater).
Auf der einen läuft noch ein altes ds-Mod_26 auf der anderen Freetz.
Schön wäre es, wenn ich das vorläufig über debug.cfg einbinden könnte, da die Boxen 35o km von mir entfernt stehen.

Danke im Voraus für Tipps in die richtige Richtung.
Viele Grüße
maceis

 

[MaxMuster]

Proxy und iptables könnten dafür sorgen, dass ein "Zwangs-Proxy" entsteht. Aber ich gebe zu bedenken, dass "fortgeschrittene Tauscher" sicher auch über einen Proxy hinwegkommen (per Tunnel). Zudem heißt iptables vermutlich neues Image (wenn es nicht schon im Kernel drin ist).

;-) Sorry, kann nicht anders, als das falsch zu verstehen: 350km per WLAN? Respekt ;-)

 

[chked]

Mit Bordmitteln geht das über die "Zugangsregeln/Filter", früher auch bekannt als "Kindersicherung".

 

[maceis]

Wenn (sehr) fortgeschrittene Benutzer die getroffenen Schutzmaßnahmen umgehen können, ist das zwar ärgerlich, aber evtl. doch hinnehmbar.
Es geht u. a. darum, im Erstfall nachweisen zu können, dass man alles zumutbare unternommen hat, um eine missbräuchliche Nutzung des zur Verfügung gestellten WLANs zu unterbinden.
Stichwort "Störerhaftung"

Kindersicherung / Filter sind nicht praktikabel, da ja laufend andere Computer manuelle gesperrt werden müssten.
Auch bin ich mir nicht klar, was durch das Sperren bestimmter Anwendungen genau passiert.
Werde da nur die üblichen Ports gesperrt?
Auch beschränkt sich das auf einige wenige Anwendungen, die blockiert werden können.
Ich möchte aber eher das Gegenteil. Nur eine kleine Zahl von Anwendungen erlauben und alles andere verbieten.

Gruß
maceis

 

[informerex]

Kindersicherung / Filter sind nicht praktikabel, da ja laufend andere Computer manuelle gesperrt werden müssten.

dann stellst du die "Standard-Firewall/-Filter" falsch ein, normalerweise sollte man alles sperren und die Endgeräte individuell freigeben.

http://fritz.box/internet/kids.lua

Computer, für die keine Zugangsregeln aktiv sind:
[_] haben unbegrenzten Internetzugang.
[x] haben keinen Internetzugang

 

[maceis]

Nochmal ausführlicher:
Kindersicherung / Filter sind (in meinem Fall) m. E. nicht praktikabel.
Grund:
Es sind laufend andere Geräte und Benutzer, die sich mit dem WLAN verbinden dürfen.
Aus diesem Grund wäre eine Zwangs-Proxy Lösung aus meiner Sicht eher geeignet.
Bin aber natürlich für alle möglichen Vorschläge offen.

Gruß
maceis

 

[koyaanisqatsi]

Hallo,
Naja, wenn es bei dir möglich ist WLAN <nicht direkt im Router>,
sondern als eigenständiger AP im Switch,
könnte man bestimmt mit einer massgeschneiderten
freetz firmware was auf die Beine stellen.
Als Proxy würde sich sogar der gute alte busybox httpd eignen.
Mit den entsprechenden Optionen (make menuconfig - busybox) kann er Reverse Proxy Umleitungen.

# reverse proxying
P:/home/:127.0.0.1:3128/cgi-bin/index.cgi
P:/xml/:127.0.0.1:3128/html/
P:/game/:127.0.0.1:3128/flash/
P:/svg/:127.0.0.1:3128/html/
P:/darkstat/:127.0.0.1:88/
P:/graphs.js:127.0.0.1:88/graphs.js
P:/graphs.xml:127.0.0.1:88/graphs.xml
P:/style.css:127.0.0.1:88/style.css
P:/hosts/:127.0.0.1:88/hosts/

Verzeichnisse lassen sich mit USERASSWORT schützen.

# securing the server with name and password
/:fritz:$1$xMdnYBNX$t6ipOELrnZirklTBlmkTy1	# folder:name:password

/cgi-bin/ mit Shellscriptausführungsoption (supermächtigewaltig).
Mimetypes lassen sich hinzufügen und werden auch ausgeliefert:

# mime-types
.xhtml:application/xhtml+xml			# xhtml ;-)
.xml:application/xml					# extended markup language (XML)
.xsl:application/xml+xsl				# extended markup language (XML-Transformation)
.dtd:application/xml+dtd				# extended markup language (XML-DocTypeDefinition)
.svg:image/svg+xml					# scalable vector graphic
.swf:application/x-shockwave-flash		# shockwave flash
.cgi:text/plain
.sh:text/plain
# *.php:/path/php			# run xxx.php through an interpreter
*.cgi:/var/tmp/bin/sh			# :-)
*.sh:/var/tmp/bin/sh			# :-)

Aber mit iptables kenn ich mich nicht aus.

 

[sf3978]

Aber mit iptables kenn ich mich nicht aus.

Wenn die Box als Proxy benutzt werden soll, dann muss man das Forwarding der Box blocken (AVM-Firewall und/oder iptables, evtl. auch mit Standard-Firewall/-Filter). D. h. man muss die user "zwingen", die Box als Proxy zu benutzen. Mit Freetz könnte man privoxy so drosseln (Bandbreite reduzieren), dass Surfen und Mailen noch möglich ist, aber z. B. Filesharing und Downloads sehr lang dauern. Wenn erwünscht dann könnte man allen usern (254) im Subnetz, mit iptables auch eine tägliche quota (... z. B. 200 MB/Tag = ausreichend für Surfen und Mailen! ;-)) einrichten.

 

[koyaanisqatsi]

Hehe, Quota's sind natürlich toll.
Wenn (wie ich vorschlug) als IP-Box mit WLAN AP im LAN-Switch konfiguriert,
läuft auf der keine Firewall, auch AVM's Regeln gelten auf der nicht mehr und
dann muss man sich um die Firewall selber kümmern.
Das hat aber den Vorteil, dass AVM's Firewall einen *nicht* dazwischenfunkt.
Und bei iptables dacht ich ganz einfach (auf der WLAN Box *nicht* auf dem Router):
Nur die Ports durchlassen die man für EMail/www(Surfen) braucht.
Alle anderen werden gefiltert. Sprich dicht gemacht.

 

[maceis]

Mit iptables komme ich schon klar.

Das Problem bei einem reinen Portfilter ist, dass Filesharing im Grunde über beliebige Ports durchgeführt werden kann.
Trotzdem werde ich in jedem Fall einen Portfilter aufsetzen, solange ich keine andere Lösung habe.
Damit fängt man schon mal die nicht ganz so versierten Filesharing Benutzer ab.

Das Drosseln der Bandbreite oder Quotas hingegen halte ich für nicht gut.
Man "schickaniert" damit einerseits diejenigen, die sonst eine hohe Performance für erlaubten Datenverkehr nutzen könnten.
Andererseits reichen im ungünstigen Fall auch wenige kB für ein Schreiben von den Abmahnverbrechern.

Gruß
maceis

 

[koyaanisqatsi]

Auweia, ja da hilft, glaub ich, nur ein 'Dropper' der die Pakete auf Korrektheit überprüft

Das Problem bei einem reinen Portfilter ist, dass Filesharing im Grunde über beliebige Ports durchgeführt werden kann.
Trotzdem werde ich in jedem Fall einen Portfilter aufsetzen, solange ich keine andere Lösung habe.
Damit fängt man schon mal die nicht ganz so versierten Filesharing Benutzer ab.

Auf Quota's solltest du fairerweise aufmeksam machen.

Das Drosseln der Bandbreite oder Quotas hingegen halte ich für nicht gut.
Man "schickaniert" damit einerseits diejenigen, die sonst eine hohe Performance für erlaubten Datenverkehr nutzen könnten.
Andererseits reichen im ungünstigen Fall auch wenige kB für ein Schreiben von den Abmahnverbrechern.

Dann ist's auch keine "Schikane".
Und es kann 'Sauger' davon abhalten eben diese Leitung zu wählen.
Sinnvolle Werte vorausgesetzt.

Das grosse Problem welches ich erstmal seh ist internes
LAN <--> ROUTER <--> INTERNET
komplett vom bösen
WLAN <--> ROUTER <--> INTERNET
(Es wird schon getuschelt die Haftung für WLAN-Betreiber bei Straftaten/Missbrauch seitens (unbekannter) Benutzer zumindest zu lockern)
zu trennen.

 

[maceis]

Nun ja, nicht wirklich.
Vom LAN aus, muss auch niemand Filesharing machen dürfen.
Wenn das mir geschützt wird, habe ich kein Problem.


Gruß
maceis

 

[Joe_57]

Hallo maceis,

warum fängst du nicht einfach mal "klein" an und nimmst die Portfreigaben für die Filesharer raus?
Zu finden ist das unter Internet / Freigaben / Portfreigaben.
Wenn das keine Wirkung zeigt, kann man ja immer noch zu anderen Mitteln greifen.

Joe

 

[maceis]

Da sind keine Portfreigaben eingerichtet (jedenfalls keine, die ich nicht benötige).

Ich möchte nicht erst dann "zu anderen Mitteln greifen", wenn ein Abmahnschreiben vorliegt, sondern präventiv tätig werden.

Gruß
maceis

 

[HabNeFritzbox]

Ich würde einfach die Kindersicherung verwenden wie bereits gesagt wurde.

Gängige Ports sperren, sowie einschlägige Seiten in Blacklist.

 

[maceis]

In #6 habe ich geschrieben, warum Kindersicherung nicht praktikabel ist.

Portfilter sind zu leicht zu umgehend um als ausreichender Schutz anerkannt zu werden;
Blacklists? okay, kann evtl. etwas bringen, aber nur, wenn man Sie für alle lokalen Hosts einstellen kann, auch solche die sich in Zukunft verbinden werden.
Außerdem: wer hat schon eine halbwegs vollständige Liste "einschlägiger Seiten"?

 

[HabNeFritzbox]

Eine kleine Auswahl an Foren, OneClickHostern oder Linkcrypter könnt ich dir per PN senden.

Jedoch wechseln solche "Angebote" ständig. Müsste man teils also einfach Google befragen oder bei Usern im Haushalt auf den Rechner geschaut werden oder Netzwerk Paketmitschnitte.

Eine All-In-One Lösung wirst du hier nicht bekommen können, die stehts aktuell ist oder absolute Rechtssicherheit bringt, bis auf Anschluss stilllegen.

Bei ständig wechselnden Geräten ist wie du sagst Kindersicherung eher falsch, da man ständig erst Regel zum Surfen bzw. Zugang freigeben muss. Wobei ganze würde mit einem zweiten Router gehen, in dem halt Kindersicherung für den Router festlegst.

 

[JohnDoe42]

Portfilter sind zu leicht zu umgehend um als ausreichender Schutz anerkannt zu werden

Du kannst mit iptables selbstverständlich maßgeschneiderte FORWARD-Rules kreieren. Also z.B. solche, die Surfen, SMTP etc. per WLAN über Port 80(25 etc.) erlauben und alles andere droppen. Auch kannst Du für diese erlaubten Zugänge viele weitere Möglichkeiten nutzen (quotas, suchen nach verdächtigen Strings in den Paketen etc.).
Allerdings wirst Du im Fall eines versierten Users, wie bereits mehrfach beschrieben, keine Chance haben, missliebige Aktionen mittels Deines WLANS zu unterbinden. Überlege Dir mal, welche Einschränkung ein paranoides Sperren aller bis auf ein paar Ports, aller bis auf ein paar Privoy-Rules etc. für die "guten" User zur Folge hat (vergleiche Firmenfirewall -> Zugriff in s INet).
Und zu guter Letzt: Wie weit soll Deiner Meinung nach die Mitstörerhaftung reichen ? Nach meinem Kenntnisstand reicht bereits ein ausreichend gegen unbefugten Zugang gesichertes (WPA2) WLAN aus. Wenn jemand Missbrauch wirklichen treiben will und er nicht komplett lernresistent ist, schafft ers' auch.
Ich kann mir nur schwer vorstellen, daß man die 83jährige Oma dazu zwingen kann, auf ihrem (WPA2-gesicherten) Router zusätzlich Vorkehrungen dafür zu treffen, daß Ihr Enkel sich keine illegalen Dinge aus dem INet besorgt.
Grüße,

JD.

 

[koyaanisqatsi]

Jetz kommal nicht mit Logik. Damit kommst du gegen die deutsche Justiz erstmal garnicht an. Vielleicht mit Anwalt (Proxy) ?

Aber bevor wir uns weiter maceis's Kopf zerbrechen:
maceis, kennst du das 'La Fonera' Prinzip?
Wenn nicht, dann google mal danach.
Vielleicht reicht das ja für deine Anforderrungen.
Und wenn der AP richtig raucht, kannste deine Unkosten damit rausholen

Hintergrund:
Als ich mal kein DSL-Inet hatte, scannte ich die Umgebung nach AP's ab.
Dabei gelangte ich auf eine 'La Fonera'.
In der Standardeinstellungen konnte man googlen und youtuben.
15 minütige Tickets oder so, konte man per paypal erwerben.
Hab den Betreiber dann erfolgreich per EMail erreicht und der hat mich dann (kostenlos) freigeschaltet.
War ein echt netter Zug von ihm (Im Rahmen von "Nachbarschaftshilfe").

 

[informerex]

was vielleicht auch eine Möglichkeit wäre: opendns - hier gibt es ja unterschiedliche "Modelle"