Netflix über DNS Ziele whitelisten

[DanLo]

Ist halt nur via DNS blockiert

Das ist leider kontrafaktisch. Deny-All ist eine IP-basierteFirewall-Regel, keine DNS-Server-Regel und blockt deshalb alle IPs. Allow-Netflix-Via-DNS erlaubt die IPs, die bei einer DNS-Auflösug von netflix.com als Ergebnis geliefert werden. Allow-DNS erlaubt es, DNS-Anfragen überhaupt erst zu stellen.

[plumpsack]

Das ist leider kontrafaktisch. ...
Allow-Netflix-Via-DNS erlaubt die IPs, die bei einer DNS-Auflösug von netflix.com als Ergebnis geliefert werden.

Ich dachte erst "ARF" ist das Zauberwort.

Nachdem ich mir das mit dem ARF durchgelesen hatte bin ich doch eines Besseren belehrt worden.

MA_LCOS-1032-Addendum_DE.pdf

"SD-WAN Application Routing / Layer-7-Applikationskontrolle"

Einsatzempfehlungen
Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen, d. h. Clients im lokalen Netzwerk müssen den Router als DNS-Server verwenden. Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf. browserintern) mit externen DNS-Servern durch Clients verhindert werden.

Dies kann wie folgt erreicht werden:

> Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen (wird standardmäßig vom Internet-Wizard eingerichtet)

> Einrichtung von Firewall-Regeln, die die direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 (UDP) für Clients aus dem entsprechenden Quellnetzwerk

> Einrichtung von Firewall-Regeln, die die direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden Ports 853 (TCP) für Clients aus dem entsprechenden Quellnetzwerk

> DNS-over-HTTPS (DoH) im Browser deaktivieren

So wie ich das sehe steht und fällt das System mit dem DNS-System.

IP-basierende Systeme fallen da raus, da sie keinen DNS-Server benutzen.

[plumpsack]

"SD-WAN Application Routing / Layer-7-Applikationskontrolle"

Einsatzempfehlungen
> Einrichtung von Firewall-Regeln, die die direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 (UDP) für Clients aus dem entsprechenden Quellnetzwerk

Könntet ihr mir mal bitte eure Firewall-Regel dazu posten?
Und warum nur UDP Port 53 und nicht auch TCP port 53?

[Bernd_k]

Könntet ihr mir mal bitte eure Firewall-Regel dazu posten?

Für mein Netflix Beispiel:

1.Regel
Prio: 0
Name: allow DNS Anfragen
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: alle (alternativ Lancom DNS Server)
Ziel-Dienst: DNS
Aktion: übertragen

2.Regel
Prio: 0
Name: allow streaming
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: DNS Ziel-> Netflix
Ziel-Dienst: alle
Aktion: übertragen

3.Regel
Prio: 0
Name: Deny All
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: Beliebig
Ziel-Dienst: alle
Aktion: Zurückweisen

Und warum nur UDP Port 53 und nicht auch TCP port 53?

Ist ja nur ein Beispiel. Ich denke da DNS meist über UDP läuft

[plumpsack]

Für mein Netflix Beispiel:

1.Regel
Prio: 0
Name: allow DNS Anfragen
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: alle (alternativ Lancom DNS Server)
Ziel-Dienst: DNS
Aktion: übertragen

Sorry, aber ich verstehe das nicht.

Was ist dein ARF Netz als Stationsobjekt ?

ARF gilt laut Dokumentation für virtuelle Netzwerke. Ich habe nichts mit virtuellen Netzwerken zu tun,
könntest du bitte dein "ARF Netz als Stationsobjekt" beschreiben?

Zu deinem Ziel/Ziel-Dienst:
Wie verhinderst du die Verbindungen zu 8.8.8.8, 8.8.4.4 oder auch 114.114.114.114 und allen anderen Open-DNS-Servern?

[ittk]

Ich glaube, dass es fuer Dich ratsam ist, sich nach einer Next-Generation Firewall umzusehen, da gibt es genuegend Anbieter auf dem Markt....

Für mein Netflix Beispiel:

1.Regel
Prio: 0
Name: allow DNS Anfragen
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: alle (alternativ Lancom DNS Server)
Ziel-Dienst: DNS
Aktion: übertragen

Sorry, aber ich verstehe das nicht.

Was ist dein ARF Netz als Stationsobjekt ?

ARF gilt laut Dokumentation für virtuelle Netzwerke. Ich habe nichts mit virtuellen Netzwerken zu tun,
könntest du bitte dein "ARF Netz als Stationsobjekt" beschreiben?

Zu deinem Ziel/Ziel-Dienst:
Wie verhinderst du die Verbindungen zu 8.8.8.8, 8.8.4.4 oder auch 114.114.114.114 und allen anderen Open-DNS-Servern?

[plumpsack]

Ich glaube, dass es fuer Dich ratsam ist, sich nach einer Next-Generation Firewall umzusehen, da ...

Warum?

Bis jetzt löse ich das Problem über die Routing-Tabelle.

Ich hab das

Einsatzempfehlungen
> Einrichtung von Firewall-Regeln, die die direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 (UDP) für Clients aus dem entsprechenden Quellnetzwerk

nicht geschrieben, das war Lancom, ohne genauer darauf einzugehen.

Ich wollte einfach nur ein Beispiel haben wie die DNS-Abfrage/n der Klienten, nicht aber der/des Router/s, verhindert wird.

Mehr nicht.

[ittk]

Weil die Extra Features und Anbieterlisten zur Blockade von Botnet- und C&C Verbindungen gleich eingebaut haben, sodass Du nichts mehr haendisch an IP-Adressblocklisten (bei dir die Routing-Tabelle) eintragen musst...

Warum?

Bis jetzt löse ich das Problem über die Routing-Tabelle.

[plumpsack]

schon klar, ...

Aber wie müssen die Firewall-Regeln für den/die externen DNS-Server aussehen?

A) für die Clients (verbieten, nur Router ist erlaubt)
B) für den Router (erlauben, nur ISP und/oder Weiterleitung)

Danke schon einmal vorab.

[plumpsack]

Ich habe den Fehler gefunden:

Quelle:ARF Netz als Stationsobjekt

In der Doku von Lancom sind Stationsobjekte wohl nur mit Microsoft-Windows und Lanconfig erstellbar.

Wenn man kein Microsoft-Windows hat, dann hat man halt die "A-Karte", da das Web-Interface diese Möglichkeit nicht hergibt!

PS: Ich hab das nochmal mit einem einfachen Squid, listen port 80 plus port 443 ausprobiert. Da benötigt der Client echt keinen DNS-Server. Soviel zum DNS-Ziele whitelisten ...

[plumpsack]

Ich möchte zum Thema Netflix noch einmal nachhaken.

Wie reagiert Netflix im Zusammenhang mit dem Lancom-Proxy (Content-Filter) bzw. mit dem Squid in der R&S-Firewall?

Ich habe hier einen "normalen" Proxy (Squid), also nicht transparent.

Netflix umgeht diesen Proxy.

[plumpsack]

Warum bekomme ich hier keine Antwort?

Habe ich da etwas bei dem Lancom Content-Filter bzw. bei dem Squid von den R&S-Geräten falsch verstanden?

Ich hatte das so verstanden, das beide als transpartente Proxys arbeiten?