Blacklist auf 7590

[HabNeFritzbox]

Da wurden wohl Beiträge entfernt/geändert.

In #9 stand zuvor "eben für einen 12 Jährigen.... Adult zeug vor allem"

 

[B612]

Und selbst wenn es da gestanden hätte (was ich nicht glaube), dann heißt das noch lange nicht Porno, denn da gibt es noch vieles andere. Aber wahrscheinlich dreht sich in deinem Kopf alles nur noch um Porno.

 

[HabNeFritzbox]

Du musst es auch nicht glauben, dazu kannst in Kirche. Es stand da, kannst auch nen Mod fragen, oder schaust in Email Benachrichtigung.

Mit Adult ist eben sowas gemeint, und nicht sowas wie Actionfilme mit FSK 16 oder 18, dann müsstest ja auch Telekom/Videoload, Netflix, usw. sperren.

 

[FischersFreetz]

... da ist sie auch zu groß...

Die Liste der Fritzbox darf max. 500 Einträge beinhalten. Bei "Ungefähr 1.150.000.000 Porno-Ergebnisse" einer Google-Suche ist etwas Passendes schwer zu realisieren. Und bei anderen Themen sieht es wohl ähnlich aus.
Vielleicht ist ja eine Whitelist mit 500 Einträgen für einen 12-Jährigen eine Option?

 

[HabNeFritzbox]

Dienste wie openDNS bieten ja sone Family Safe Funktion an wo sowas wohl geblockt ist, gilt dann aber wohl für alle und nicht nur für ein bestimmtes Gerät.

Ich habe in der Blacklist eher OneClickHoster und bekannsten Portale wie kinox.to und co, damit man möglichst einschränkt Filme und Musik zuladen. Aber selbst dabei sind Einträge schnell veraltet, Betreiber wechseln Domains durch, oder verschwinden und neue kommen.

Die Listen wären einfach zu lang und komplex diverse Seiten für Porno, Gewalt, Glücksspiel oder anderes zuerfassen. Selbst bei Lösungen für Kindersicherung von Kaspersky und co. ist ganze eher ein Flickenteppich.

Und selbst dann, gibt es noch Foren, Whatsapp und sonst was wie man Daten tauschen kann.

Ganze ist also schwierig, und wohl eher Aufklärung und Erziehung wichtiger als ganze auf Technik abzuwälzen.

 

[FischersFreetz]

apropos...
Ich habe da selbst mal eine Frage: Wie ließen sich die mit der Fritzbox besuchten Domain-Adressen protokollieren? Welche Tools wären geeignet?

 

[HabNeFritzbox]

Dazu kannst von FB alles mitschneiden lassen, und kannst was mit Tools wie Wireshark auslesen.

 

[analog_synth]

doch es hat da gestanden, für 5 min. Aber Porn ist wohl am Wichtigsten zu filtern...

Und selbst wenn es da gestanden hätte (was ich nicht glaube), dann heißt das noch lange nicht Porno, denn da gibt es noch vieles andere. Aber wahrscheinlich dreht sich in deinem Kopf alles nur noch um Porno.

 

[FischersFreetz]

kannst von FB alles mitschneiden lassen

Ich möchte aber gar nicht alles mitschneiden, sondern nur die besuchten Domain Names protokollieren.
(Und das am besten parallel zum laufenden Betrieb und auf Kommandzeilen-Ebene.)
Könnte mir jemand dazu Ansatzpunkte verraten?

 

[B612]

Auf der Konsole kann man sich die Domains des DNS anschauen.

 

[PeterPawn]

Auf der Konsole (meint: "in einer Shell") kann man sich mit showshringbuf dnsd anzeigen lassen, welche Domain-Namen der DNS-Server der FRITZ!Box aufgelöst hat (und wann das war, was dann eine Auswertung der hinzugekommenen Daten erlaubt, wenn man das zyklisch aufruft) und in seinen eigenen Cache geschrieben hat (die "add"-Einträge) - ebenso (sicherlich bei der Fragestellung weniger relevant) kann man sehen, wann diese Einträge wieder gelöscht wurden (del), weil sie "überaltert" waren, sprich: weil ihre TTL abgelaufen war.

 

[iqjet]

Frage ist was blocken willst, unendliche List verkraftet FB nicht, wenn da noch Werbung und Tracker blocken willst, wäre es falscher Ansatz.

In #9 stand zuvor "eben für einen 12 Jährigen.... Adult zeug vor allem"

Wie @HabNeFritzbox schon bemerkte ist eine FB der falsche Ansatz.

Vor 15 Jahren hatte ich mit meinem Nachwuchs ein ähnliches Problem mit ebay. Die Lösung hieß damals Kerio Connect.
Solltest du technikaffin sein, dann nutze eine pFsense Firewall mit pfblocker/Snort. Ob PiHole eine alternative darstellt kann ich dir nicht sagen.
Für den pfblocker wird im wesentlichen auf 2 Listen zugegriffen welche sich regelmäßig erneuern:
https://www.shallalist.de/cgi-bin/stat.cgi und https://dsi.ut-capitole.fr/blacklists/index_en.php
Beispiel gesperrte Dating Seiten:


Insgesamt werden 116325 IP's gesperrt

Spoiler

Alias table IP Counts
-----------------------------
116231 total
85234 /var/db/aliastables/pfB_DNSBLIP_v4.txt
25540 /var/db/aliastables/pfB_PRI1_v4.txt
2664 /var/db/aliastables/pfB_PRI5_v4.txt
1621 /var/db/aliastables/pfB_BlockListDE_v4.txt
1006 /var/db/aliastables/pfB_PRI2_v4.txt
166 /var/db/aliastables/pfB_SCANNERS_v4.txt

pfSense Table Stats
-------------------
table-entries hard limit 400000
Table Usage Count 116325

und 1018084 DNS Anfragen geblockt

Spoiler: DNSBL

===[ DNSBL Domain/IP Counts ] ===================================

1018084 total
367919 /var/db/pfblockerng/dnsbl/UT1_dating.txt
163613 /var/db/pfblockerng/dnsbl/UT1_malware.txt
137421 /var/db/pfblockerng/dnsbl/Maltrail_BD.txt
102874 /var/db/pfblockerng/dnsbl/UT1_phishing_v4.ip
98238 /var/db/pfblockerng/dnsbl/UT1_malware_v4.ip
27092 /var/db/pfblockerng/dnsbl/SFS_Toxic_BD.txt
18875 /var/db/pfblockerng/dnsbl/Shallalist_spyware.txt
14524 /var/db/pfblockerng/dnsbl/Shallalist_gamble.txt
14034 /var/db/pfblockerng/dnsbl/C19_CTC.txt
11548 /var/db/pfblockerng/dnsbl/EasyList.txt
11197 /var/db/pfblockerng/dnsbl/SWC.txt
9907 /var/db/pfblockerng/dnsbl/Shallalist_adv.txt
6993 /var/db/pfblockerng/dnsbl/Spam404.txt
6253 /var/db/pfblockerng/dnsbl/Adaway.txt
5573 /var/db/pfblockerng/dnsbl/MVPS.txt
4386 /var/db/pfblockerng/dnsbl/Shallalist_adv_v4.ip
3037 /var/db/pfblockerng/dnsbl/Shallalist_dating.txt
2554 /var/db/pfblockerng/dnsbl/UT1_publicite.txt
2428 /var/db/pfblockerng/dnsbl/EasyPrivacy.txt
1981 /var/db/pfblockerng/dnsbl/Krisk_C19.txt
1461 /var/db/pfblockerng/dnsbl/Shallalist_costtraps.txt
1335 /var/db/pfblockerng/dnsbl/Shallalist_spyware_v4.ip
1205 /var/db/pfblockerng/dnsbl/Shallalist_tracker.txt
737 /var/db/pfblockerng/dnsbl/UT1_phishing.txt
722 /var/db/pfblockerng/dnsbl/Yoyo.txt
691 /var/db/pfblockerng/dnsbl/UT1_gambling.txt
509 /var/db/pfblockerng/dnsbl/D_Me_ADs.txt
302 /var/db/pfblockerng/dnsbl/Shallalist_aggressive_v4.ip
302 /var/db/pfblockerng/dnsbl/Shallalist_aggressive.txt
93 /var/db/pfblockerng/dnsbl/UT1_agressif_v4.ip
88 /var/db/pfblockerng/dnsbl/UT1_agressif.txt
74 /var/db/pfblockerng/dnsbl/UT1_publicite_v4.ip
42 /var/db/pfblockerng/dnsbl/Shallalist_gamble_v4.ip
26 /var/db/pfblockerng/dnsbl/UT1_marketingware.txt
14 /var/db/pfblockerng/dnsbl/UT1_gambling_v4.ip
14 /var/db/pfblockerng/dnsbl/D_Me_Tracking.txt
11 /var/db/pfblockerng/dnsbl/Shallalist_tracker_v4.ip
7 /var/db/pfblockerng/dnsbl/UT1_reaffected.txt
2 /var/db/pfblockerng/dnsbl/EasyList_v4.ip
1 /var/db/pfblockerng/dnsbl/Shallalist_costtraps_v4.ip
1 /var/db/pfblockerng/dnsbl/D_Me_Malv.txt
0 /var/db/pfblockerng/dnsbl/MDS_Immortal.update
0 /var/db/pfblockerng/dnsbl/MDS_Immortal.fail
0 /var/db/pfblockerng/dnsbl/MDS.update
0 /var/db/pfblockerng/dnsbl/MDS.fail
0 /var/db/pfblockerng/dnsbl/MDL.txt
0 /var/db/pfblockerng/dnsbl/D_Me_Malw.txt

 

[koyaanisqatsi]

Moinsen


Ich nutze einen lokalen Proxy (tinyproxy) mit Filterlisten und regulären Ausdrücken.
Aber zum Eigenschutz auch vor irgendwelchen Scripten in HTML Seiten die das LAN scannen...
<-Gefiltert Statistik->
...dann kommen die auch nicht übern Webbrowser z.B. an den Router ran.

 

[FischersFreetz]

Welchen Umfang kann die Filterliste beim tinyproxy - praktisch betrachtet - haben?
(Du erwähnst die Mehrzahl.) Sind es mehrere Listen?

 

[koyaanisqatsi]

Ich nutze nur Eine, aber durch reguläre Ausdrücke kannste mit einem Rutsch eine ganze Palette Server aussperren.
Beispiel: google.[a-z]{2,4}
...sperrt alle Server egal welche Endung ( .de, .com, .xxx, etc. etc. )

Zum Meditieren welchen Ausdruck ich als nächstes einfüge, starre ich aufs wachsende tinyproxy.log.
Beispielausgabe entspricht den obigen Screenshoots...

CONNECT   Feb 01 16:46:43 [6233]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:46:43 [6233]: Request (file descriptor 10):
WARNING   Feb 01 16:46:43 [6233]: Could not retrieve all the headers from the client
CONNECT   Feb 01 16:46:43 [6237]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:46:43 [6237]: Request (file descriptor 10):
WARNING   Feb 01 16:46:43 [6237]: Could not retrieve all the headers from the client
CONNECT   Feb 01 16:46:48 [6233]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:46:48 [6233]: Request (file descriptor 10):
WARNING   Feb 01 16:46:48 [6233]: Could not retrieve all the headers from the client
CONNECT   Feb 01 16:47:00 [6237]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:47:00 [6237]: Request (file descriptor 10): GET http://osmc/fax/pdf/ HTTP/1.1
CONNECT   Feb 01 16:47:00 [6237]: Established connection to host "osmc" using file descriptor 11.
CONNECT   Feb 01 16:47:04 [6233]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:47:04 [6233]: Request (file descriptor 10): GET http://fritz.box/ HTTP/1.1
NOTICE    Feb 01 16:47:04 [6233]: Proxying refused on filtered url "http://fritz.box/"
CONNECT   Feb 01 16:49:34 [6237]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:49:34 [6237]: Request (file descriptor 10):
WARNING   Feb 01 16:49:34 [6237]: Could not retrieve all the headers from the client
CONNECT   Feb 01 16:49:34 [6233]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:49:34 [6233]: Request (file descriptor 10):
WARNING   Feb 01 16:49:35 [6233]: Could not retrieve all the headers from the client
CONNECT   Feb 01 16:49:43 [6237]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:49:43 [6237]: Request (file descriptor 10): GET http://tinyproxy/ HTTP/1.1
NOTICE    Feb 01 16:49:43 [6237]: Request for the stathost.
CONNECT   Feb 01 16:49:43 [6233]: Connect (file descriptor 10): Microknoppix.fritz.box [192.168.188.100]
CONNECT   Feb 01 16:49:43 [6233]: Request (file descriptor 10): GET http://tinyproxy/favicon.ico HTTP/1.1
NOTICE    Feb 01 16:49:43 [6233]: Request for the stathost.

...tinyproxy kann auch IPv6, hab ich aber "sicherheitshalber" deaktiviert

 

[iqjet]

Hmmm, muss man an den Client (Browser) wpad einstellen? Ich seh den alt bekannten Port 3128.

 

[koyaanisqatsi]

Ich wähle den über Browser Addon...

...ist bei mir ja kein: Zwangsproxy
Port und andere Einstellungen hab ich in der /etc/tinyproxy/tinyproxy.conf individualisiert.


Kleiner Joke mit Blick auf dein Avatarbildchen: PST! - Willste ein E kaufen?

 

[FischersFreetz]

... mit showshringbuf dnsd anzeigen lassen, welche Domain-Namen der DNS-Server der FRITZ!Box aufgelöst hat...

Lässt sich die Größe des "Ringbuffers" direkt manipulieren?
Oder könnte ich ihn selbst passend neu anlegen (wie hier beschrieben)?
Oder einfach dem Ringpuffer direkt eine neue Größe "unterjubeln"?

Das können wir aber leicht korrigieren, indem wir ab Verschiebung 16 in der Datei die richtige Größe eintragen.

...
eval echo -ne "$maxstr" | dd if=/proc/self/fd/0 of=$file bs=4 count=1 conv=notrunc seek=4 2>/dev/null

 

[PeterPawn]

AVM hat irgendwann mal (wenn ich mich richtig erinnere inzwischen bin ich sicher, siehe Link) das Format der Datei geändert, da muß der ganz alte Thread also nicht mehr zwingend stimmen. Wie man sich eine Datei dafür selbst anlegen kann, kann man in modfs nachlesen (https://github.com/PeterPawn/modfs/blob/master/modfs#L2752).

Ansonsten würde ich zuvor aber tatsächlich alle Dienste anhalten, die in diese Datei schreiben (das dürfte hier vermutlich nur der multid sein), dann die Größe ändern (oder das schon vor dem Start des Daemons machen, da wäre dann die rc.net eine passende Anlaufstelle) und erst danach den Daemon neu starten.

Das wäre m.E. zumindest die "Nummer Sicher" - durch die Verwaltung über die verkettete Liste können sich sonst Probleme ergeben, denn in multid gibt es zumindest mal ein Symbol mit dem Namen protected_dnsd_shringbuf in der BSS-Sektion und es würde mich nicht wundern, wenn darin die Daten zur Verwaltung der Liste quasi gedoppelt würden.

EDIT: Und selbst wenn man die Datei vorher angelegt hat, kann es problemlos noch passieren, daß der Daemon die löscht und sich selbst wieder eine neue anlegt - welche Optionen genau da die Funktionen in der libavmcsock.so bieten (da befinden sich die Routinen zur Verwaltung dieser Ringbuffer), ist m.W. nicht weiter bekannt/untersucht.

 

[FischersFreetz]

Danke...
[Edit] und ein kleiner Hinweis:
Ich glaube, in https://github.com/PeterPawn/modfs/blob/master/modfs#L2757 ist das "-?" unnötig, da es schon in https://github.com/PeterPawn/modfs/blob/master/modfs#L78 steht. Oder ist das ein spezieller "conditional (ternary) operator", den ich nicht überblicke?

... kann es problemlos noch passieren, daß der Daemon die löscht und sich selbst wieder eine neue anlegt...

Der Daemon zeigt sich bei mir flexibel. Mit einem script:

#! /bin/bash
init_ringbuffer_file() {
...
}
/etc/init.d/rc.multid stop
init_ringbuffer_file dnsd 16
/etc/init.d/rc.multid start

konnte ich den dnsd-Ringbuffer auf 16 kB (bisher ohne Probleme) vergrößern.
(Und der erste Eintrag im vergrößerten Ringbuffer lautet "startup".)