IP Filter: Bestimmten Traffic nicht zulassen?

[TOMillr]

Gibt es eigentlich eine Möglichkeit, um bei einer 7490 bestimmten Traffic gezielt herauszufiltern?

Ich habe bislang nur die Blacklist gefunden, auf der man aber nur URLs eintragen möchte. Ich möchte aber gezielt Anfragen für bestimmte IPs und Ports unterbinden.

 

[MuP]

Lesestoff: Kindersicherung

 

[TOMillr]

Danke für den Tipp, mit den Einstellungen der Kindersicherung habe ich aber schon herumgespielt.

Leider habe ich da keine Möglickeit gefunden, um gezielt z.B. Anfragen über Port 53 auf einen DNS Server 8.8.8.8 zu unterbinden.

 

[HabNeFritzbox]

Dann hast zu dem Thema wohl zuwenig gelesen.

"Anwendung" anlegen dort trägst dann Port 53 ein, und weißt in Sperrregeln die Anwendung zu was nicht erlaubt ist.

8.8.8.8 kannst auch in IP Blacklist setzen..

Verschlüsselten Traffic kannst nur ganz oder garnicht unterbinden.

Gibt dort auch bereits eine Vorlage nur "Mail und surfen" wo dann nur Port für hhtp, https und imap und pop3 nutzbar sind.

 

[TOMillr]

Hm, habe meinen Fall vielleicht einfach nicht genau genug beschrieben.

Wenn ich unter den "Netzwerkanwendung" eine Sperregel für Port 53 anlege, wird ja pauschal der gesamte Traffic über diesen Port gesperrt.

Ich möchte aber gezielt nur den Traffic an Port 53 unterbinden, der z.B. an die IP 8.8.8.8 geschickt wird. Andere Anwendungen, die ebenfalls den Port 53 benötigen, sollen ja weiterhin noch funktionieren.

 

[koyaanisqatsi]

Moins


DNS Anfragen gehen immer an eine IP.
Die DNS Server laufen aber nich einfach auf Port 53, sondern auf Port UDP/53.
Also Port UDP/53 filtern damit DNS über Fritz!Box laufen muss.

Ein Blacklist Profil sammelt übrigens fleissig IPs, IPv4 und auch IPv6.

 

[HabNeFritzbox]

Die Anwendung haben den DNS vom Router zu verwenden, also ist doch egal ob für bestimmte Gerät oder alle andere DNS sperrst.

 

[TOMillr]

Also Port UDP/53 filtern damit DNS über Fritz!Box laufen muss.

Ah ok, danke. Ich war der Annahme, wenn ich UDP/53 über die Kindersicherung blockiere, dann auch die manuell in der Fritzbox hinterlegten DNS Einstellungen nicht mehr durchgelassen würden.

Im Prinzip möchte ich nämlich dem gesamten Netzwerk einen festen DNS Server aufzwingen und so verhindern, dass irgendeine App oder ein Client im Netzwerk seine eigenen DNS Einstellungen mitbringt und die Fritzbox Einstellungen übergeht.

 

[koyaanisqatsi]

Erstelle dafür dieses Filter und weise dies dem Blacklist-Profil zu...

...und ausgiebig testen.

 

[HabNeFritzbox]

Die Filter sind nur für externe Inhalte also Internet. Haben keinerlei Auswirkung auf Heimnetz.

 

[koyaanisqatsi]

Genau.
Und deswegen gibt es nen fetten Fehler wenn ich im WLAN mit Smartfon diesem eine statische IP und Google DNS eingetragen habe.
DHCP mit Fritz!Box als DNS geht.
...ausprobieren.

 

[TOMillr]

Erstelle dafür dieses Filter und weise dies dem Blacklist-Profil zu...
Anhang anzeigen 85968

Wofür wird den der UDP/223 Port benötigt?

Muss ich den auch blockieren, wenn ich den Zugriff auf die Google DNS und OpenDNS Server unterbinden möchte?

 

[HabNeFritzbox]

Wenn du aufs Bild schaust, steht in seiner Regel NTP, also Zeitserver.

Nur 53 für DNS.

 

[TOMillr]

Wenn du aufs Bild schaust, steht in seiner Regel NTP, also Zeitserver.

Ah ok, darüber wird dann also die Uhrzeit vom Router oder den Geräten abgeglichen?

Ich möchte mal kurz zusammenfassen, damit ich es jetzt auch richtig verstanden habe:

Über die Kindersicherung kann ich gezielt den Traffic an einem bestimmten Port und/oder zu einer IP unterbinden. In meinem Fall würden dann alle Anfragen zum Google DNS Server herausgefiltert und stattdessen immer nur die DNS-Einstellungen der Fritzbox verwendet.

Dazu habe ich offenbar zwei verschiedene Möglichkeiten:

1. Ich setze die IPs bei den Filterlisten auf die Blacklist. Dann erstelle ich ein neues Zugangsprofil mit aktivierter Blacklist. Zum Schluss ordne ich unter der Kindersicherung das Zugangsprofil dem gewünschten Netzwerkgerät zu.

2. Ich erstelle einen neue Netzwerkanwendung für den UDP/53 Port. (was gebe ich da als Quellport an? 53 oder beliebig?). Bei den Zugangsprofilen erstelle ich ein neues Profil und wähle die Netzwerkanwendung dann als gesperrte Anwendung aus. Zum Schluss ordne ich unter der Kindersicherung das Zugangsprofil dem gewünschten Netzwerkgerät zu.

 

[HabNeFritzbox]

Jop, hast beide Optionen.

Und Quellport beliebig, ja.

 

[koyaanisqatsi]

Ja, NTP UDP/223, die meisten Androiden haben dann die falsche Uhrzeit.

Aber wenn die Uhrzeit nicht stimmt, ja, dann stimmt das Filter.
Denn ich nutze die ClockSync App auf denen und die Fritz!Box als Zeitserver im Heimnetz.

Quellport (Klientseitig)
...ist zuallermeist beliebig.

Zielport (Server-, Internetseitig)
...ist der Dienst im Internet selber.

 

[HabNeFritzbox]

Wenn Zeit bei dir nicht stimmt liegt es doch eher am Androiden (falsche Zone ect. ggf. durch fehlerhafte Automatik) und nicht am Zeitserver.

Teils kommt falsche Zeit auch durch den Mobilfunkanbieter, gab da letztens bei o2/base ja auch nen Problem.

Was solls, anderes Thema.

 

[sf3978]

2. Ich erstelle einen neue Netzwerkanwendung für den UDP/53 Port. ...

BTW: Auch für den TCP-Port 53, ... denn:

:~$ dig [color=red]+tcp[/color] @8.8.8.8 heise.de +short
193.99.144.80

 

[koyaanisqatsi]

OK, ist zwar unüblich aber stimmt...

Nmap scan report for google-public-dns-a.google.com (8.8.8.8)
Host is up (0.023s latency).
PORT   STATE SERVICE
[COLOR=#ff0000][B]53/tcp open  domain[/B][/COLOR]