Hardwarwe: LC1100 Office Fw 3.56
Hallo ins Forum,
ich hatte zu diesem Problem wohl schon mal gepostet aber die Aufgabe niemals zufiedenstellend gelöst.
Was muss ich im DNS Filter eintragen damit Seiten wie Bittorrent, Kazaa oder Winmx nicht mehr aufgerufen werden können?
Es soll für alle Stationen gelten die von mir in der Firewall zum Inet Zugang berechtigt sind.
Was passiert wenn ich bei der IP Abfrage des DNS Filters die voreingestellte 0.0.0.0 nicht ändere, gilt der Filter dann Global?
Kennt jemand evtl. die Ports die ich für o.a clientsoftware sperren muss oder reicht es wenn ich in der Firewallregel mein Häkchen nur bei HTTP, POP/SMTP und FTP mache? - welche Ports sind in diesem Fall geöffnet? 80/25/110/20/21?
Gruß Claus
DNS Filter für Bittorrent, Kazaa und Winmx
Moderator: Lancom-Systems Moderatoren
Hi Claus
Bittorrent, Kazaa, Emule & Co kannst du nicht über DNS-Filter blocken - das ist ja gerade die herausragende Eigenschaft der P2P-Dienste. Die einzige Chance die du hast, ist die von den Diensten verwendeten Ports in der Firewall zu blocken - das hilft aber auch nicht wirklich, weil die Programme sich dann einen anderen Port suchen...
Ansonsten hilft nur noch eine passende "Dienstanweisung" mit der Androhung den "Übeltäter" komplett zu blocken...
Gruß
Backslash
Es ist ja auch kein Wunder, daß es nicht zufriedenstellend gelöst wurde...ich hatte zu diesem Problem wohl schon mal gepostet aber die Aufgabe niemals zufiedenstellend gelöst.
Was muss ich im DNS Filter eintragen damit Seiten wie Bittorrent, Kazaa oder Winmx nicht mehr aufgerufen werden können?
Bittorrent, Kazaa, Emule & Co kannst du nicht über DNS-Filter blocken - das ist ja gerade die herausragende Eigenschaft der P2P-Dienste. Die einzige Chance die du hast, ist die von den Diensten verwendeten Ports in der Firewall zu blocken - das hilft aber auch nicht wirklich, weil die Programme sich dann einen anderen Port suchen...
genau das. Du kannst ein Netzwerk angeben, für das der Filter gelten soll - 0.0.0.0 mit Netzmaske 0.0.0.0 meint somit alle NetzeWas passiert wenn ich bei der IP Abfrage des DNS Filters die voreingestellte 0.0.0.0 nicht ändere, gilt der Filter dann Global?
Da funktioniert natürlich nur dann, wenn du zusätzlich eine deny-all Regel in der Firewall hast. Aber wie schon gesagt im Ernstfall suchen sich die Programme einen freien Port. Wenn du es wirklich unterbinden willst, dann kommst du nicht um einen Zwangsproxy herum - und Firewallregeln, die nur dem Proxy den Zugriff aufs Internet erlauben...Kennt jemand evtl. die Ports die ich für o.a clientsoftware sperren muss oder reicht es wenn ich in der Firewallregel mein Häkchen nur bei HTTP, POP/SMTP und FTP mache? - welche Ports sind in diesem Fall geöffnet? 80/25/110/20/21?
Ansonsten hilft nur noch eine passende "Dienstanweisung" mit der Androhung den "Übeltäter" komplett zu blocken...
Gruß
Backslash
DNS Filter
Hallo backslash,
da ich eine deny_all Strategie verfolge und nur Stück für Stück die clients und deren Rechte freischalte, wird bei den entsprechenden Kandidaten dann nur noch der HTTP Port 80 frei sein.
Nützt das nichts gibts Qos auf Modem Niveau.
Trotzdem bin ich mit der DNS Filter Funktion noch nicht weitergekommen.
Probiert hab ichs mit zb. *.kazaa oder *.kazaa.de oder www.kazaa.de oder kazaa.
Den Browser cache geleert und und und, trotzdem kann ich die Seite www.kazaa.de noch aufrufen.
Was muss ich denn explizit eintragen um die Seite kazaa nicht mehr aufrufen zu können?
Gruß Claus
da ich eine deny_all Strategie verfolge und nur Stück für Stück die clients und deren Rechte freischalte, wird bei den entsprechenden Kandidaten dann nur noch der HTTP Port 80 frei sein.
Nützt das nichts gibts Qos auf Modem Niveau.
Trotzdem bin ich mit der DNS Filter Funktion noch nicht weitergekommen.
Probiert hab ichs mit zb. *.kazaa oder *.kazaa.de oder www.kazaa.de oder kazaa.
Den Browser cache geleert und und und, trotzdem kann ich die Seite www.kazaa.de noch aufrufen.
Was muss ich denn explizit eintragen um die Seite kazaa nicht mehr aufrufen zu können?
Gruß Claus
Hi Claus,
wenn Du die Suchfunktion des Board benutzt, dann findest Du das hier: http://www.lancom-forum.de/htopic,195,dns+filter.html
Das sollte Dir doch schon mal etwas bei Deiner Anfrage weiterhelfen.
Ciao
LoUiS
wenn Du die Suchfunktion des Board benutzt, dann findest Du das hier: http://www.lancom-forum.de/htopic,195,dns+filter.html
Das sollte Dir doch schon mal etwas bei Deiner Anfrage weiterhelfen.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo Louis,
ich glaub mein Lancom(seit gestern DSL/10 weil endlich DSL verfügbar) arbeitet nicht als DNS Server sondern routet weiter zu T-Online. (siehe Bild)
Das komische ist das die gesperrten Adressen im trace nicht auftauchen sondern nur die nicht gesperrten.
Was muss ich einstellen das alle Adressen im Lancom aufgelöst werden und somit der DNS Filter greift?
ich glaub mein Lancom(seit gestern DSL/10 weil endlich DSL verfügbar) arbeitet nicht als DNS Server sondern routet weiter zu T-Online. (siehe Bild)
Das komische ist das die gesperrten Adressen im trace nicht auftauchen sondern nur die nicht gesperrten.
Was muss ich einstellen das alle Adressen im Lancom aufgelöst werden und somit der DNS Filter greift?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Das liegt wohl daran, das das LANCOM kein vollstaendiger DSN Server ist, sondern ein Forwarder, ist also normal.ich glaub mein Lancom(seit gestern DSL/10 weil endlich DSL verfügbar) arbeitet nicht als DNS Server sondern routet weiter zu T-Online. (siehe Bild)
Pruefe ob die Clients das LANCOM als DNS Server eingestellt haben und loesche den DNS Cache der RECHNER und der Browser!Das komische ist das die gesperrten Adressen im trace nicht auftauchen sondern nur die nicht gesperrten.
Was muss ich einstellen das alle Adressen im Lancom aufgelöst werden und somit der DNS Filter greift?
Bei Windows loescht man den DNS Cache auf der Konsole mit "ipconfig /flushdns", im Browser dann in den jeweiligen Konfigurations-Menues.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo Louis,
nach dem flushdns und der Eingabe von *.kazaa.de im DNS Filter ist die Seite nicht mehr aufzurufen.
Im trace steht dann : "Request filtered"
Die nicht gesperrten Seiten werden weiterhin zum ISP geroutet, ist okay wenn Du sagst das der DSL/10 nur ein DNS Forwarder ist.
Wie in dem von dir empfohlenen Beitrag zu dem Thema habe ich ebenfalls die Erfahrung mit Netgear Routern gemacht, das die Eingabe eines Schlüsselwortes reicht um alle Seiten die dann indiziert sind zu sperren.
Schade das so etwas mit dem DSL/10 nicht funktioniert.
Welcher Lancom DSL Router kann denn auch als DNS Server dienen und evtl. Schlüsselwörter sperren?
Hab noch ne kurze Frage: Seit dem einrichten von dyn.DNS was auch prima funktioniert, habe ich das Gefühl das der Router in recht kurzen Intervallen eine Verbindung zu dyndns.com aufbaut. Wo kann ich die Zeit des Intervalls einstellen oder noch besser ihm sagen das er nur aktualisieren soll wenn sich die WAN-IP geändert hat?
Gruß Claus
nach dem flushdns und der Eingabe von *.kazaa.de im DNS Filter ist die Seite nicht mehr aufzurufen.
Im trace steht dann : "Request filtered"
Die nicht gesperrten Seiten werden weiterhin zum ISP geroutet, ist okay wenn Du sagst das der DSL/10 nur ein DNS Forwarder ist.
Wie in dem von dir empfohlenen Beitrag zu dem Thema habe ich ebenfalls die Erfahrung mit Netgear Routern gemacht, das die Eingabe eines Schlüsselwortes reicht um alle Seiten die dann indiziert sind zu sperren.
Schade das so etwas mit dem DSL/10 nicht funktioniert.
Welcher Lancom DSL Router kann denn auch als DNS Server dienen und evtl. Schlüsselwörter sperren?
Hab noch ne kurze Frage: Seit dem einrichten von dyn.DNS was auch prima funktioniert, habe ich das Gefühl das der Router in recht kurzen Intervallen eine Verbindung zu dyndns.com aufbaut. Wo kann ich die Zeit des Intervalls einstellen oder noch besser ihm sagen das er nur aktualisieren soll wenn sich die WAN-IP geändert hat?
Gruß Claus
Keiner, dafuer sind Router IMHO primaer nicht gedacht, wenn Du sowas willst, dann installiere Dir einen Proxy, der solche Aufgaben ausfuehren kann.Welcher Lancom DSL Router kann denn auch als DNS Server dienen und evtl. Schlüsselwörter sperren?
Alle LANCOM sind nur DNS Forwarder, ein kompletter DNS Server ist nicht implementiert.
Wie kommst Du da drauf? Wie kann man das "Gefuehl" haben der Router uodate eine IP? Das LANCOM wird nur ein Update durchfuehren, wenn sich die WAN IP geaendert hat, oder der DNS Check (auf Grund eines Fehlers im uebergeordneten DNS Server des Providers) eine andere Adresse meldet als die aktuelle WAN IP. Einfestes Update nach einem bestimmten Intervall ist nicht vorgesehen. Das Updatescript laeuft zyklisch durch die Schleife und prueft ob die WAN IP sich geaendert hat.Hab noch ne kurze Frage: Seit dem einrichten von dyn.DNS was auch prima funktioniert, habe ich das Gefühl das der Router in recht kurzen Intervallen eine Verbindung zu dyndns.com aufbaut. Wo kann ich die Zeit des Intervalls einstellen oder noch besser ihm sagen das er nur aktualisieren soll wenn sich die WAN-IP geändert hat?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo Louis,
bevor ich den dyndns Dienst eingerichtet hatte, hat das Lancom nach der eingestellten Leerlaufzeit die Verbindung getrennt.
Jetzt hält es die Verbindung permanent aufrecht und in der DNS Hit-Liste sehe ich das ca. alle 5min eine Verbindung zu meiner bei dyndns eingerichteten subdomain dsluser.selfip.net aufgebaut wird.
Claus
bevor ich den dyndns Dienst eingerichtet hatte, hat das Lancom nach der eingestellten Leerlaufzeit die Verbindung getrennt.
Jetzt hält es die Verbindung permanent aufrecht und in der DNS Hit-Liste sehe ich das ca. alle 5min eine Verbindung zu meiner bei dyndns eingerichteten subdomain dsluser.selfip.net aufgebaut wird.
Claus
Das ist die DNS-HITLISTE! Da stehen DNS Anfragen drin, dies bedeutet, dass alle 5 Minuten eine DNS-Anfrage fuer "dsluser.selfip.net" ausgeloest wird, um die IP dieser FQDN zu pruefen. Das bedeutet NICHT, das eine Verbindung zu der FQDN aufgebaut wird.Jetzt hält es die Verbindung permanent aufrecht und in der DNS Hit-Liste sehe ich das ca. alle 5min eine Verbindung zu meiner bei dyndns eingerichteten subdomain dsluser.selfip.net aufgebaut wird.
Ciao
LoUiS
P.S. Diese Anfragen an den DNS-Server sind verbindungshaltend, weshalb die Verbindung nicht abgegebaut wird und die Haltezeit neu aufgezogen wird.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
okay, den gleichen Denkfehler hab ich schon einmal gemacht.
Mich wunderte nur das ich in der Aktions Tabelle nach dem einrichten des dyndns Dienstes einen Eintrag mit den Zugangsdaten des dyndns Dienstes mit einem Parameter "repeat 300s" hatte.
Im Lcos Referenzhandbuch 3.52 / 14.2.5 ist dort ein check IP Intervall Parameter angegeben und ich dachte es wäre vergleichbar.
Zum DNS:
Im Lcos Referenzhandbuch 3.52 / 14.2.5 las ich: Der DNS Server im Lancom kann gleichzeitig als komfortabler Filter genutzt werden...
Daher mein verdacht der DSL/10 könnte das nicht aber evtl. andere Lancom Produkte.
Claus
Mich wunderte nur das ich in der Aktions Tabelle nach dem einrichten des dyndns Dienstes einen Eintrag mit den Zugangsdaten des dyndns Dienstes mit einem Parameter "repeat 300s" hatte.
Im Lcos Referenzhandbuch 3.52 / 14.2.5 ist dort ein check IP Intervall Parameter angegeben und ich dachte es wäre vergleichbar.
Zum DNS:
Im Lcos Referenzhandbuch 3.52 / 14.2.5 las ich: Der DNS Server im Lancom kann gleichzeitig als komfortabler Filter genutzt werden...
Daher mein verdacht der DSL/10 könnte das nicht aber evtl. andere Lancom Produkte.
Claus
Hi,
also, das DynDNS Script legt 4 Eintraege an. Der erste Eintrag ist ein generelles Update der FQDN, was alle 27 Tage wiederholt wird (fuer Accounts auf denen sich die WAN IP nie andert muss nach den 27 Tagen ein Zwangsupdate durchgefuehrt werden). Der zweite Eintrag ist eben der DNSCHECK, der prueft ob die eigene IP gleich der vom DNS gelieferten IP ist. Die Bedingung "isequal=%a?skipiftrue=1" skipt den naechsten Eintrag (also Nr.3) wenn die eigene IP (%a) gleich dem Ergebnis des DNS check ist. Eintrag Nr.3 wuerde dann das eigentliche Update ausfuehren, wenn die IPs ungleich sind und Eintrag Nr.4 repeated das Script alle 300 Sekunden.
Die Sperrzeit vor Eintrag Nr.1 und Nr.3 sperrt die Ausfuehrung der Eintraege fuer die dort angegebene Zeit generell. Fuer Eintrag 3 ist der Grund, das es einige Zeit dauern kann, bis das erste Update bis zu jedem DNS Server durch ist, so dass evtl am Anfang der DNS Check noch falsche Ergebnisse liefern kann und deshalb erstmal sicherheitshalber 15 Minuten gewartet wird bis erin erneutes Update moeglich ist.
Das wird gerne schon mal als "DNS Server" bezeichnet, ist aber tatsaechlich ein Forwarder. Es ist zwar eine gehobene Variante der Forwarder, aber halt kein vollstaendiger DNS-Server.
Ciao
LoUiS
also, das DynDNS Script legt 4 Eintraege an. Der erste Eintrag ist ein generelles Update der FQDN, was alle 27 Tage wiederholt wird (fuer Accounts auf denen sich die WAN IP nie andert muss nach den 27 Tagen ein Zwangsupdate durchgefuehrt werden). Der zweite Eintrag ist eben der DNSCHECK, der prueft ob die eigene IP gleich der vom DNS gelieferten IP ist. Die Bedingung "isequal=%a?skipiftrue=1" skipt den naechsten Eintrag (also Nr.3) wenn die eigene IP (%a) gleich dem Ergebnis des DNS check ist. Eintrag Nr.3 wuerde dann das eigentliche Update ausfuehren, wenn die IPs ungleich sind und Eintrag Nr.4 repeated das Script alle 300 Sekunden.
Die Sperrzeit vor Eintrag Nr.1 und Nr.3 sperrt die Ausfuehrung der Eintraege fuer die dort angegebene Zeit generell. Fuer Eintrag 3 ist der Grund, das es einige Zeit dauern kann, bis das erste Update bis zu jedem DNS Server durch ist, so dass evtl am Anfang der DNS Check noch falsche Ergebnisse liefern kann und deshalb erstmal sicherheitshalber 15 Minuten gewartet wird bis erin erneutes Update moeglich ist.
Das wird gerne schon mal als "DNS Server" bezeichnet, ist aber tatsaechlich ein Forwarder. Es ist zwar eine gehobene Variante der Forwarder, aber halt kein vollstaendiger DNS-Server.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Moin LoUIS!
Ciao, Georg
DNS-Server ist das LANCOM schon, aber nur für Adressen, die lokal auf dem LANCOM definiert sind. Da das LANCOM keinen DNS-Cache enthält, werden alle Anfragen, die das LANCOM nicht lokal beantworten kann, an den übergeordneten DNS-Server weitergeleitet. Generell machen andere DNS-Server das aber auch nicht anders, wenn sie keinen Cache haben.LoUiS hat geschrieben:Das wird gerne schon mal als "DNS Server" bezeichnet, ist aber tatsaechlich ein Forwarder. Es ist zwar eine gehobene Variante der Forwarder, aber halt kein vollstaendiger DNS-Server.
Ciao, Georg
Andere Router-Projekte (Open Source) verwenden „l7-Filter“ um Kazaa, Bittorrent, eDonkey2000, etc. zu filtern.
http://l7-filter.sourceforge.net/
Ist vielleicht mal ne Anregung für Lancom so was zu implementieren.
Gruß Holger
http://l7-filter.sourceforge.net/
Ist vielleicht mal ne Anregung für Lancom so was zu implementieren.
Gruß Holger
Hi holgi03
Gruß
Backslash
wenn im LANCOM eine x GHz-CPU arfbeiten würde, dann könnte man über soetwas nachdenken - dann hätte man aber die Hauptvorteile eines Hardware-Routers verspielt: Lüfterfreiheit, geringer Stromverbrauch..Andere Router-Projekte (Open Source) verwenden „l7-Filter“ um Kazaa, Bittorrent, eDonkey2000, etc. zu filtern.
http://l7-filter.sourceforge.net/
Ist vielleicht mal ne Anregung für Lancom so was zu implementieren.
Gruß
Backslash