WhatsApp per Firewall sperren! Möglich?

[ecox]

Hallo zusammen,

also ich versuche krampfhaft seit Stunden WhatsApp per FW Regel auszusperren, aber no way wie es aussieht. Früher ging es wohl wo es noch über die XMPP Ports kommuniziert hat(5222, 5223). Nun ist es aber so das WhatsApp wohl mittlerweile über 443 kommuniziert, ergo ich kann keine FW Regel schreiben da sonst der HTTPS Verkehr nicht mehr funktioniert für denjenigen oder gibt es da mittel und Wege?

[IP-Router] 2015/10/24 21:04:50,970
IP-Router Rx (T-CLSURF, RtgTag: 0):
DstIP: 192.168.178.10, SrcIP: 17.143.163.227, Len: 60, DSCP: unknown (0x02), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 49824, SrcPort: 443, Flags: SA
Seq: 2733132072, Ack: 1827191342, Win: 14480, Len: 0
Option: Maximum segment size = 1460
Option: SACK permitted
Option: 08 = 88 7a 61 3c 18 5d 03 06
Option: NOP
Option: Window scale = 7 (multiply by 128)
Route: LAN-1 Tx (INTRANET):

EDIT:
Also ich habe jetzt mal 5222,5223 & 443 gesperrt, trotzdem geht WhatsApp Online

mfg

ecox

[cpuprofi]

Hallo ecox,

...gibt es da mittel und Wege?...

mit Lancom's i.M. nicht. Mit der passenden UTM wohl schon...

P.S. Womit testest Du, mit einem Handy? Dann bedenke, dass diese, wenn Wlan nicht geht, automatisch Mobilfunk für Internet nutzen...

Grüße
Cpuprofi

[ecox]

Hallo ecox,

...gibt es da mittel und Wege?...

mit Lancom's i.M. nicht. Mit der passenden UTM wohl schon...

P.S. Womit testest Du, mit einem Handy? Dann bedenke, dass diese, wenn Wlan nicht geht, automatisch Mobilfunk für Internet nutzen...

Grüße
Cpuprofi

ok, da dies ja eine einstellung am handy ist, macht ja eine fw-regel keinen sinn :/ ja ich teste vom handy...habe eben mal ausgestellt das es zugriff auf das mobilfunknetz hat, da hat die regel natürlich funktioniert sowie du 443 sperrst, echt doof hätte das gerne hinbekommen, die anleitungen im internet sind alle nicht sehr hilfreich!!

grüße

[MariusP]

Hi,
Meist geben sich Programme sehr viel Mühe sich durch sowas durchzuwinden.
Da kannst du gerne mal versuchen Skype auszusperren.
Gruß

[Bernie137]

Hi ecox,

natürlich macht es keinen Sinn die Zieldienste wie http oder https zu verbieten. Aber man kan die Ziel IPs verbieten, die zu den Whatsapp Servern gehören: https://www.whatsapp.com/cidr.txt

vg Bernie

[ecox]

Hi ecox,

natürlich macht es keinen Sinn die Zieldienste wie http oder https zu verbieten. Aber man kan die Ziel IPs verbieten, die zu den Whatsapp Servern gehören: https://www.whatsapp.com/cidr.txt

vg Bernie

davon habe ich auch gelesen und auch in betracht gezogen, aber irgendwann hieß es dann das sich die ips alle nase lang ändern :/... wenn man ein script schreiben könnte das diese txt ausliest und automatisch in die fw regel schiebt, das wär doch was

[Bernie137]

Vielleicht reicht es auch aus in der Tabelle DNS-Filter "*.whatsapp.com" zu blocken.

vg Bernie

[hyperjojo]

hi,

wenn man ein script schreiben könnte das diese txt ausliest und automatisch in die fw regel schiebt, das wär doch was

Ein Shell-Script (Windows oder Linux) wäre wohl schnell realisiert, wenn es nur darum geht, eine Datei zeilenweise auszulesen und die Werte dann in Form von Firewall-Einträgen per TFTP auf den LANCOM zu schieben. Ich müsste mich da erst wieder rein denken, habe aber ähnliche Dinge schon realisiert.

Da fällt mir ein: Gibt es Leute, die daran Interesse haben mit externen Scripten die Funktionalität zu erweitern. Ich selbst kann leider nur mit PHP (MySQL, HTML, CSS, ...) dienen. Hatte aber auch schon Ideen, damit mal was zu bauen.

Beispiele:
- WLAN PSK per Script (z.b. täglich) ändern und per Weboberfläche ausgeben
- WLAN PSK als QR Code ausgeben
- PublicSpot-Funktionen (Login, Logging, Blacklist, ...) über externen Webserver erweitern

Leider sind das für mich bisher alles Spielereien (ohne konkreten Kundenbedarf) und daher hat es Priorität 999 bei mir. Sollte Interesse und Mitarbeit von Anderen vorhanden sein, könnte man sich ja zusammen tun.

Gruß hyperjojo

[ecox]

hi,

wenn man ein script schreiben könnte das diese txt ausliest und automatisch in die fw regel schiebt, das wär doch was

Ein Shell-Script (Windows oder Linux) wäre wohl schnell realisiert, wenn es nur darum geht, eine Datei zeilenweise auszulesen und die Werte dann in Form von Firewall-Einträgen per TFTP auf den LANCOM zu schieben. Ich müsste mich da erst wieder rein denken, habe aber ähnliche Dinge schon realisiert.

Da fällt mir ein: Gibt es Leute, die daran Interesse haben mit externen Scripten die Funktionalität zu erweitern. Ich selbst kann leider nur mit PHP (MySQL, HTML, CSS, ...) dienen. Hatte aber auch schon Ideen, damit mal was zu bauen.

Beispiele:
- WLAN PSK per Script (z.b. täglich) ändern und per Weboberfläche ausgeben
- WLAN PSK als QR Code ausgeben
- PublicSpot-Funktionen (Login, Logging, Blacklist, ...) über externen Webserver erweitern

Leider sind das für mich bisher alles Spielereien (ohne konkreten Kundenbedarf) und daher hat es Priorität 999 bei mir. Sollte Interesse und Mitarbeit von Anderen vorhanden sein, könnte man sich ja zusammen tun.

Gruß hyperjojo

hört sich ganz interessant an pm mir mal damit wir kontaktdaten austauschen können wenn du lust hast

grüße

[ecox]

Hallo zusammen,

kann es seien das der Content Filter es schafft Whatsapp auszusperren?

Grüße

ecox

[ecox]

.....kann es seien das der Content Filter es schafft Whatsapp auszusperren?....

Ich zitiere mich mal selbst also es ist in der Tat so, das ich es geschafft habe mich mittels Content Filter von WhatsApp auszusperren, es kommt keine Verbindung zustande, auch nicht über 443, nun Frage ich mich, was macht der CF, blockt der evtl. diese gesamte https://www.whatsapp.com/cidr.txt von Whatsapp? Wäre jetzt meine einzige plausible Erklärung...?

Grüße

thanks in advanced

[Bernie137]

Hi ecox,

den Verdacht habe ich auch, dass der ContentFilter irgendwas blockiert. Mein Problem besteht immer noch, doch mangels Zeit habe ich es bisher nicht weiter verfolgt, zumal es bisher keine Beschwerden von Usern gab. Aber ich merke es deutlich am Smartphone, es dauert seeeeeehhhhhr lange bis es sich verbindet oder eine Nachricht angezeigt wird. Die von mir angesprochenen Ports im anderen beitrag sind Geschichte, wurde mit diversen Updates der Apps auf http/https gebracht.

Nur als Zielport UDP 3478 ist wohl noch für Whatsapp Telefonate notwendig.

vg Bernie

[garfield0815]

ich vermute da wirst du n Application Control brauchen
mit sowas kannst du es auf jedenfall blocken

[Bernie137]

Hallo Garfield0815,

Es geht aber gerade darum, dass der ContentFilter ungewollt Whatsapp blockt.

Vg Bernie

[ecox]

......ich merke es deutlich am Smartphone, es dauert seeeeeehhhhhr lange bis es sich verbindet oder eine Nachricht angezeigt wird...

Das Problem ist ja, das sich bei mir keine Verbindung am Smartphone aufbaut, auch nicht nach 5 Minuten, er rödelt immer vor sich hin aber ich sehe ja anhand der untergraung von dem senden button das ich definitiv nicht online bin mit whatsapp, whatsapp web kann das ebenfalls bestätigen...

Ob das nun gewollt oder ungewollt ist sei erstmal dahin gestellt, ansich ging es mir ja darum es zu sperren, habe es dann mit viel mühe in eine fw regel gepackt (CIDR.txt), das hat auch geklappt, aber die regel ist natürlich der hammer aber in einem readscript -m sieht man ja das der lancom es irgendwie clever verpackt...

Was für eine Smartphone hast du berni?

grüße

ecox