Netflix über DNS Ziele whitelisten

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Bernd_k
Beiträge: 22
Registriert: 25 Apr 2019, 10:17

Netflix über DNS Ziele whitelisten

Beitrag von Bernd_k »

Hallo zusammen,

ich habe ein 1793vaw mit 10.32.RU5 am laufen.

Ziel ist es ein komplettes ARF Netz (mit zwei Smart-TVs) zu blockieren und nur Netflix zuzulassen.

Folgende Regeln habe ich probiert:

1.Regel
Prio: 0
Name: Deny All
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: Beliebig
Ziel-Dienst: alle
Aktion: Zurückweisen


2.Regel
Prio: 1
Name: allow streaming
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: DNS Ziel-> Netflix
Ziel-Dienst: alle
Aktion: übertragen

Vielen Dank für eure Hilfe.
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Netflix über DNS Ziele whitelisten

Beitrag von DanLo »

Was genau funktioniert denn nicht?
Bernd_k
Beiträge: 22
Registriert: 25 Apr 2019, 10:17

Re: Netflix über DNS Ziele whitelisten

Beitrag von Bernd_k »

Hallo,

im Smart TV kann man die Netflix App nicht öffnen (Netzwerkfehler).
Wenn man ein Win PC mit ins Netzwerk hängt. Lässt sich die domain netflix.com schon garnicht auflösen.
(DNS Server ist der Lancom)

Wenn die o.g. Regeln deaktiviert, funktioniert natürlich alles.

MfG
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Netflix über DNS Ziele whitelisten

Beitrag von ittk »

Ist das dein vollstaendiges Regelwerk?

Setze erst mal beide Regel auf Prio 0!

Und trace mal die Firewall und DNS....
Bernd_k hat geschrieben: 13 Jan 2020, 10:57 Hallo zusammen,

ich habe ein 1793vaw mit 10.32.RU5 am laufen.

Ziel ist es ein komplettes ARF Netz (mit zwei Smart-TVs) zu blockieren und nur Netflix zuzulassen.

Folgende Regeln habe ich probiert:

1.Regel
Prio: 0
Name: Deny All
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: Beliebig
Ziel-Dienst: alle
Aktion: Zurückweisen


2.Regel
Prio: 1
Name: allow streaming
Quelle:ARF Netz als Stationsobjekt
Quell-Dienst:alle
Ziel: DNS Ziel-> Netflix
Ziel-Dienst: alle
Aktion: übertragen

Vielen Dank für eure Hilfe.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
Bernd_k
Beiträge: 22
Registriert: 25 Apr 2019, 10:17

Re: Netflix über DNS Ziele whitelisten

Beitrag von Bernd_k »

Hey,

hier der Trace mit DNS und Firewall im Anhang:
Ist das dein vollstaendiges Regelwerk?
Nein, allerdings habe ich alle anderen zum testen immer deaktiviert.

So wie ich den Trace verstehe, greift die deny_all Regel schon bei der Namensauflösung.
Muss ich für mein vorhaben extra noch eine Freigaberegel für DNS Anfragen setzen?

MFG
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Netflix über DNS Ziele whitelisten

Beitrag von DanLo »

Für jedes Paket wird die am besten passendste Regel genommen. Wenn du keine Regel für DNS hast, wäre das wohl Deny-All.

Versuch mal, eine Allow-DNS Regel einzutragen und schau, ob sich das bessert.
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Netflix über DNS Ziele whitelisten

Beitrag von plumpsack »

Bernd_k hat geschrieben: 13 Jan 2020, 10:57 Ziel ist es ein komplettes ARF Netz (mit zwei Smart-TVs) zu blockieren und nur Netflix zuzulassen.
Würde mich auch interessieren.
Bernd_k hat geschrieben: 13 Jan 2020, 10:57 Ziel: DNS Ziel-> Netflix
Wie hast du das Ziel Netflix definiert, reicht da nur DNS?

siehe hierzu u.A.:
https://gist.github.com/frk1/8fb578b36b ... 412c844a1f

Wie verhinderst/blockierst du die Tracker von Netflix?
Bernd_k
Beiträge: 22
Registriert: 25 Apr 2019, 10:17

Re: Netflix über DNS Ziele whitelisten

Beitrag von Bernd_k »

DanLo hat geschrieben: 15 Jan 2020, 09:07 Versuch mal, eine Allow-DNS Regel einzutragen und schau, ob sich das bessert.
Ja das war es. Danke
Wenn ich das jetzt richtig verstehe, werden nur die aufgelösten IPs weitergeleitet, aber nicht die DNS abfrage selber?

plumpsack hat geschrieben: 15 Jan 2020, 20:14 Wie hast du das Ziel Netflix definiert, reicht da nur DNS?
IPv4 Regeln/Neue Regel/Sationen/Verbindung auf folgende DNS Ziele/Netflix
Geht glaub ich erst ab 10.30.

Die DNS Ziele kannst du unter:
Firewall/allgemein/DNS Ziele editieren/neu erstellen
Für die Vorschaubilder von Netflix, musste ich noch *nflxso* hinzufügen.
plumpsack hat geschrieben: 15 Jan 2020, 20:14 Wie verhinderst/blockierst du die Tracker von Netflix?
Derzeit garnicht.
Für Ideen bin ich aber offen :wink:
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Netflix über DNS Ziele whitelisten

Beitrag von plumpsack »

Ich habe da noch eine Verständnisfrage.

Wenn du nur über DNS, wie beschrieben, deinen TV-Geräten den Internetzugang nur zu Netflix erlaubst, kannst du bzw. können deine TV-Geräte dann nicht trotzdem noch andere externe IP-Adressen, die nicht zu Netflix gehören, erreichen?
:G)

PS: Nach meiner Recherche benötigt Netflix nur Port 443. Warum erlaubst du alle Dienste?
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Netflix über DNS Ziele whitelisten

Beitrag von DanLo »

Wenn ich das richtig gesehen habe, hatte er eine DENY-ALL Regel und die explizite "Netflix per DNS erlauben" Regel drin, damit sollte der TV nicht auf andere IPs außer auf die von Netflix zugreifen können.

Klar, wenn auf der selben IP auch andere Dienste laufen, wären die dann vermutlich auch erlaubt. Aber über den Sinn und Unsinn IP-Adressen-Spezifischer Filter für das Internet (Stichworte Over- und Underblocking) wurde schon seinerzeit bei der Zensursula-Debatte ausführlich diskutiert...
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Netflix über DNS Ziele whitelisten

Beitrag von plumpsack »

Sorry, das ist für mich Voodoo.

DNS heißt für mich immer noch Domain-Name-System, also Namensauflösung.

Selbst ohne DNS-Server kann ich doch immer noch IP-Adressen im Internet erreichen.

These:

Warum greift der DNS-Filter nicht:

A) Wenn der Client keinen DNS-Server hat/bekommt oder ignoriert da IP-Adress-Direktverbindung.
B) Wenn der Client einen Hardcoded DNS-Server hat und diesen nutzt und dieser nicht via Routing-Tabelle blockiert wird.

:G)
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Netflix über DNS Ziele whitelisten

Beitrag von DanLo »

Das ist überhaupt kein Voodoo.

Wenn es eine Deny-All Regel gibt, kommt auch per IP-Adresse keiner an irgendwelche Server, außer es gibt eine Regel, die die Verbindung explizit erlaubt (und in dem Beispiel hier gab es nur eine DNS-Regel die netflix.com separat erlaubt).
Bernd_k
Beiträge: 22
Registriert: 25 Apr 2019, 10:17

Re: Netflix über DNS Ziele whitelisten

Beitrag von Bernd_k »

plumpsack hat geschrieben: 17 Jan 2020, 17:57 PS: Nach meiner Recherche benötigt Netflix nur Port 443. Warum erlaubst du alle Dienste?
Hab ich mit hinzugefügt, danke für den Hinweis

plumpsack hat geschrieben: 21 Jan 2020, 17:30 Selbst ohne DNS-Server kann ich doch immer noch IP-Adressen im Internet erreichen.
Nein, da hier deny all greift.

Ich habe das so verstanden:

TV startet DNS Anfrage an lancom
Lancom antwortet mit dazugehöriger IP (da DNS Anfragen erlaubt sind (diese Regel hat bei mir gefehlt))
TV stellt Anfrage an aufgelöste IP (hier greift Netflix Allow, da der Lancom nun weiß welche ip hinter Netflix steht)

Was passieren könnte, ist dass eine Verbindung nach netflix.böse-domain gestattet wird.
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Netflix über DNS Ziele whitelisten

Beitrag von ittk »

Bernd_k hat geschrieben: 23 Jan 2020, 06:32 Was passieren könnte, ist dass eine Verbindung nach netflix.böse-domain gestattet wird.
Ja, ist eben ein simple DNS-Methode, die nun mal Einschränkungen hat....
Mir ist klar, dass Unifed (Next-Generation) Firewalls eine echte (Layer 5- bis 7) Anwendungserkennung und differenzierte Kontrolle bieten... (z. B. um nur facebook Games gezielt zu sperren)..... Dies kann die Hardware eines Gateways im LANCOMs nicht leisten...

Die Applikationserkennung kann auch z. B. per TLS Helo den DNS-Namen der Webseite extrahieren und damit erkennen.
Die Applikationskontrolle kann dies aber (noch?) nicht. Sprich, wenn Webseiten bei Anbietern wie all-inkl als vHost auf einer gemeinsamen (derselben) IP-Adresse gehostet werden, kann der LANCOM nicht zwischen den Webseiten differenzieren und sperrt mittels der DNS-Filter gleich alle Webseiten, die dieselbe IP-Adresse benutzen.
Kann hier nicht ein verbesserter Mechanismus implementiert werden, der ebenfalls aus dem Zertifikatsinfos (TLS-Kommunikation z. B. über die Felder DNS-Namen und Subject Alternative Name (SAN)-Infos der angefragten Webseiten extrahiert), um danach eine differenziertere Entscheidung zur Blockade zu treffen?
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Netflix über DNS Ziele whitelisten

Beitrag von plumpsack »

DanLo hat geschrieben: 22 Jan 2020, 08:28 Das ist überhaupt kein Voodoo.

Wenn es eine Deny-All Regel gibt, kommt auch per IP-Adresse keiner an irgendwelche Server, außer es gibt eine Regel, die die Verbindung explizit erlaubt (und in dem Beispiel hier gab es nur eine DNS-Regel die netflix.com separat erlaubt).
These:

C) Wenn der Client sich direkt mit einem Proxy via IP-Adresse verbindet.

Ist halt nur via DNS blockiert aber immer noch kein hosts.deny :(

Ja was kommt denn nach der Deny-All Regel ?

Eine Whitelist von IP-Adressen (hosts.allow)?

Bevor hier irgendwelche wilden Thesen publizierte werden, warum konkretisiert ihr das nicht an einem einfachen Beispiel:

Alle Klients sollen nur Zugriff auf google.com haben (google.de ist eh eine fake-domain), der Zugriff auf alle anderen IP-Adressen UND Domains soll unterbunden werden.

Danke schon einmal vorab für eure Konfigurationen.
Antworten