7390 Sperre versch. Internetzugriffe

[mike-ao]

moin---- tach---- 'n abend

HarteWare: 7390 mit aktuellem FritzOS 06.20.

ich habe eine Gruppe mobiler Geräte im w-lan hängen, die aber ein paar sperren benötigen. dazu habe ich ein eigenes Profil geschaffen, welches u.a auch die Blacklist berücksichtigen soll.
nun hab ich per wireshark mal rausgesucht, welche URL's ich noch sperren muss und hab die in der Blacklist eingetragen. jedoch wird lustig weiter auf diese URL zugegriffen
desweiteren soll der gesamte UDP-verkehr gesperrt werden, was ich auch irgendwie nicht hinbekomme.

anmerkung: zugriff auf diese mobilteile habe ich keinen... will ich auch nicht
feiertägliche grüsse mike

ps: einen guten rutsch nach 2015 :bier:

 

[MuP]

Profil anlegen.
Dann probiere die Kindersicherung.

 

[HabNeFritzbox]

https wird nicht gefiltert, bzw. wenn ganz oder garnicht.

Für UDP einfach bei Netzwerkanwendungen wenn nicht bereits vorhanden eine Anwendung anlegen für UDP. Dann bei dem Profil mit auswählen dass diese gesperrt werden soll.

Damit wäre auch VPN gesperrt.

 

[mike-ao]

Profil anlegen.
Dann probiere die Kindersicherung.

profil ist angelegt (mehrere zum testen)

was verflixt iritieren ist bei INTERNET->FILTER->LISTEN Netzwerkanwendungen:
da steht

Die nachfolgende Liste enthält Netzwerkanwendungen, die für das Erstellen von Zugangs- und Priorisierungsregeln zur Verfügung stehen. Sie können die Listeneinträge bearbeiten und fehlende ergänzen.

und darunter die von AVM voreingestellten listen.
nun möchte ich eine liste einstellen, in der ALLE UDP-Ports geblockt werden
da ich in dieser liste aber nur die einzelnen port's (oder beliebigt) einstellen kann, die ERLAUBT sind, ist es eigentlich gar nicht möglich ALLE zu sperren. so habe ich in der liste QUELLE port 1 und ZIEL port 2 eingetragen. das bedeutet doch, dass alle anderen geblockt werden sollten.
von wegen, auf den UDP-ports 30000 bit 40000 läuft immer noch verkehr

eigentlich sollte es wurscht sein, ob HTTP oder HTTPS verwendet wird (????) wenn ich eine bestimmte URL sperre, also die haupt-domain (z.b. <subdomain.>hauptdomain.com) dann dürfte der gar nicht ein query auflösen bzw durchschleusen.
siehe hier. wenn z.b. die domain googleapis.com in der blacklist steht, müsste die FB doch den standardquery schon mal abfangen und entweder ins nirvana schicken bzw eine NAK-meldung zurückgeben.

No.     Time           Source                Destination           Protocol Length Info
  50180 31.955444000   xxx.xxx.xxx.xxx       8.8.8.8               DNS      78     Standard query 0x9fd7  A www.googleapis.com

Frame 50180: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) on interface 0
Ethernet II, Src: SamsungE_yy:yy:yy (yy:yy:yy:yy:yy:yy), Dst: Avm_zz:zz:zz (zz:zz:zz:zz:zz:zz)
Internet Protocol Version 4, Src: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx), Dst: 8.8.8.8 (8.8.8.8)
User Datagram Protocol, Src Port: ismc (1638), Dst Port: domain (53)
Domain Name System (query)

0000  zz zz zz zz zz zz yy yy yy yy yy yy 08 00 45 00   .%..Y.41......E.
0010  00 40 3b 8e 40 00 40 11 2c e2 xx xx xx xx 08 08   .@;.@.@.,.......
0020  08 08 06 66 00 35 00 2c 10 74 9f d7 01 00 00 01   ...f.5.,.t......
0030  00 00 00 00 00 00 03 77 77 77 0a 67 6f 6f 67 6c   .......www.googl
0040  65 61 70 69 73 03 63 6f 6d 00 00 01 00 01         eapis.com.....

No.     Time           Source                Destination           Protocol Length Info
  50227 31.977463000   8.8.8.8               xxx.xxx.xxx.xxx         DNS      128    Standard query response 0x9fd7  CNAME googleapis.l.google.com A 74.125.133.95

Frame 50227: 128 bytes on wire (1024 bits), 128 bytes captured (1024 bits) on interface 0
Ethernet II, Src: Avm_zz:zz:zz (zz:zz:zz:zz:zz:zz), Dst: SamsungE_yy:yy:yy (yy:yy:yy:yy:yy:yy)
Internet Protocol Version 4, Src: 8.8.8.8 (8.8.8.8), Dst: xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)
User Datagram Protocol, Src Port: domain (53), Dst Port: ismc (1638)
Domain Name System (response)

0000  yy yy yy yy yy yy zz zz zz zz zz zz 08 00 45 00   41.....%..Y...E.
0010  00 72 94 08 00 00 39 11 1b 36 08 08 08 08 xx xx   .r....9..6......
0020  xx xx 00 35 06 66 00 5e 97 05 9f d7 81 80 00 01   ...5.f.^........
0030  00 02 00 00 00 00 03 77 77 77 0a 67 6f 6f 67 6c   .......www.googl
0040  65 61 70 69 73 03 63 6f 6d 00 00 01 00 01 c0 0c   eapis.com.......
0050  00 05 00 01 00 00 0d e1 00 16 0a 67 6f 6f 67 6c   ...........googl
0060  65 61 70 69 73 01 6c 06 67 6f 6f 67 6c 65 c0 1b   eapis.l.google..
0070  c0 30 00 01 00 01 00 00 00 fd 00 04 4a 7d 85 5f   .0..........J}._

hier mal ein schkriinschuut des NoUPD-filters...

 

[HabNeFritzbox]

Die Anwendungslisten sind erst mal neutral. Bei Kindersicherung kann diese Auswählen zum Sperren und bei der Priorisierung halt zum priorisieren für den Upload.

Ist doch nicht schwer vorhandene oder sonst neue Liste anzulegen wo auf beiden Seiten einmal beliebig eingetragen ist für UDP.

 

[mike-ao]

....Ist doch nicht schwer vorhandene oder sonst neue Liste anzulegen wo auf beiden Seiten einmal beliebig eingetragen ist für UDP.

hab ich doch, siehe nachträglich eingefügten schkriinschuut vor deiner antwort.
lg mike

 

[HabNeFritzbox]

"schkriinschuut"? Meinst Screenshot, oder einfach Bildschirmfoto, Bildschirmkopie, Schnappschuss... :mrgreen:

Eine vorgelieferte Regel "UDP-Protokoll" gibt es schon.


Diese brauchst doch im Profil nur hinzufügen zu den gesperrten Anwendungen.

Deine Regel auf dem Bild blockt ja nur UPD von Port 1 bei dir auf Port 2 im Internet.

Und wie gesagt, filtert die FB nur http, nicht https. Für https findet die BL keine Anwendung, ganz oder garnicht. AVM hat leider BL noch nicht auf DNS Ebene durchgesetzt.

 

[mike-ao]

plonk.... (shame on me)
das bedeutet somit, ich muss bayrisch* denken (megaLOL) beliebig bedeutet doch freigabe von port 0-65535. und wenn ich das dann in der liste eintrage, invertiert mir die FB diese "freigaben" und macht 'ne sperre daraus.. aha

kann das erst morgen testen . aber was ist mit den gesperrten URL's in der bläcklist ??

* bayrisch denken ist etwas mit "JA" verneinen oder vice-versa. nach dem motto "Na Kumm... Gehh"

 

[HabNeFritzbox]

Die Anwendungsliste ist halt wie gesagt neutral, dann kannst diese halt für eine oder andere anwenden.

URL nur http, kein https, ftp, dns oder ähnliches. Daher ist die KIS etwas dürftig.

https wird aber halt für Google, Facebook, Onlinebanking ect. verwendet. Daher schwierig dieses ganz zu sperren.

Verwende für Gastlan auch ne UDP Sperre, allerdings bleiben 2-3 Ports offen für VPN. Ein Risiko bleibt halt immer, kannst auch über Facebook und co sonstiges Straftaten begehen ect., da muss man nicht mal zwingend Torrent oder so verwenden. Wenn richtig blocken willst, nur TOR Browser zulassen, dann ist alles nicht dein Problem, oder alles über nen VPN im Ausland routen.

Je nachdem was für "Gäste" hast.

 

[mike-ao]

Je nachdem was für "Gäste" hast.

hehe.. gäste

naja, fratzenbuch das darf bleiben, da wird sowieso ab 22:00h das lan abgeschaltet, aber paar andere "Äpps" sollten HIER drraussen bleiben. das was mit den anderen Äpps geschehen kann/darf ist auch auf dem kontollierbaren PC möglich. ich möchte zumindestens ein paar dinger raus haben um das folgende bild nicht echt zur realität werden lassen.

 

[HabNeFritzbox]

Da wäre evt. Zeitlimits ne Option von wegen 1Std pro Tag oder so, dann müssen die es sich selbst einteilen und müssen sich ggf. anders beschäftigen, zumindest bei dir.