[Problem] download in einer WG an einer fritz!box 7170 einzuschränken

[effekt]

Ich wohne in einer WG und der Internetanschluss läuft auf meinen Namen. Als Router/DSL Modem benutze ich ein Fritz!Box 7170 an einer 16Mbits Leitung

Mir ist kürzlich aufgefallen dass meine Mitbewohner viele Web Download via filehoster laden (ki**.to war sogar namentlich genannt). Ich habe sie auf die Thematik Urheberrecht und Abmahnung angesprochen, die sie aber scheinbar gleich wieder vergessen haben. Ich als Anschlussinhaber muss natürlich ständig Sorgen darüber machen, eines Tages irgendwelche Abmahnung zu erhalten. Nebenbei wird meine eigene Leitung für’s täglichen Surfen und Arbeiten dabei stark eingeschränkt, so dass bei mir einfache Seite wie news.google.de oder welt.de nur noch mit sehr starken Verzögerungen zu öffnen sind und das über mehreren Stunden manchmal auch den ganzen Tag.

Sie haben auch schon gezofft als ich sie gebeten habe keine unsichere Sachen mehr aus dem Internet runterzuladen. Da ich einsehen muss, wie wenig Erfolge ich eine Lösung durch anständige Diskussion erziehen kann, möchte ich bei der Community erkundigen, ob ich technische Maßnahmen ergreifen kann, die Nutzung einzuschränken.

Meine Mitbewohner sollen dabei nichts merken, weil sie gleichberechtigte Mieter sind und sie finanzieren den Internetanschluss anteilig. Ich möchte sie also nichts verbieten welche Seiten sie besuchen wollen (auch um den Hausfrieden zu wahren ). Ich denke dabei an eine Art Bandwith-Beschränker, so dass sie von sich aus keine Freude mehr dabei haben weil die Downloads viel zu zeitaufwendig werden. Gib es dafür passende Lösung? Ich habe die Frage hier gestellt weil ich dachte es könnte passende Erweiterung via Freetz für mein Problem geben. Für Ratschläge und Empfehlungen bin ich sehr dankbar.

 

[HyBird]

Nun gleichberechtigte Mieter hin oder her, haften tust Du. Als relativ einfache Technische Maßnahme kann ich Open DNS
empfehlen. Hier hast du die Möglichkeit das Netz nach Kategorien zu filtern. Das handhabe ich hier genau so.

hier siehst du die Kategorien die du filtern kannst.
Nun mal ehrlich, wenn deine Mitbewohner sich nicht als einsichtig erweisen müssen Maßnahmen getroffen werden. Wenn Sie damit nicht klarkommen, sollen die sich doch nen eigenen Anschluß legen lassen.

Gute Anleitungen für Open DNS gibbet hier im Forum.

 

[sf3978]

..., möchte ich bei der Community erkundigen, ob ich technische Maßnahmen ergreifen kann, die Nutzung einzuschränken.
...
... Ich denke dabei an eine Art Bandwith-Beschränker, so dass sie von sich aus keine Freude mehr dabei haben weil die Downloads viel zu zeitaufwendig werden. Gib es dafür passende Lösung? ...

Sehr gut gedacht. Ja, die passende Lösung gibt es mit Freetz, iptables, trickle (im trunk) und privoxy.
trickle limitiert die Bandbreite beim privoxy (ist ein proxy) und mit iptables zwingst Du deine Freunde, den proxy zu benutzen.
Evtl. wirst Du hier, noch einige nichttechnische Ratschläge von "Soziologen" und "Juristen" bekommen.

 

[effekt]

Hallo, vielen Dank für die schnelle Antwort. Wenn ich richtig verstehe, ist openDNS eine Art content filter? Wenn man eine indizierte Adresse eingibt, wird die Seite nicht gefunden weil ja die DNS nicht aufgelöst wird oder?

Werde dann am Anfang den Weg mit iptables + trickle versuchen. Mit openDNS gehe ich sozusagen gleich auf offene Konfrontation mit meinen Mitbewohnern, wenn sie die entsprechende Seite plötzlich nicht mehr aufzurufen können... Ich denke dass subtile Machtausübung die gewaltigsten sind ich kann ja mit der Zeit nach und nach ganz subtil entsprechende Inhalte indizieren.

Was ich noch nicht verstehe: was ist mit „mit iptables zwingst Du deine Freunde, den proxy zu benutzen“ gemeint? Müssen sie jetzt im Betriebssystem oder Browser einen Proxy Server manuell eintragen oder stelle ich das alles im Freetz ein? Bin natürlich die einzige Person mit Zugang zum fritz!box .

 

[princenewton007]

Die Pakete werden auf der Box an den Proxy umgeleitet. Dabei sind keine Einstellungen am Browser nötig.

Statt Reduzieren mit trickle ginge vielleicht auch Anonymisieren mittels tor für deinen Zweck. Dann geht das Surfverhalten der WG nicht auf dich zurück.

 

[sf3978]

... ich kann ja mit der Zeit nach und nach ganz subtil entsprechende Inhalte indizieren.

Das kannst Du auch mit Freetz, dnsspoof (aus dem trac) und iptables machen.

Müssen sie jetzt im Betriebssystem oder Browser einen Proxy Server manuell eintragen ...?

Das ist auch möglich, wenn deine Freunde es so haben wollen.

EDIT:
trickle sollte man auch mit tor benutzen können.

 

[HyBird]

Nun ja, ich denke die Leute sind ja nicht blöd. Wenn die Downloads nicht mehr fluppen, dann werden Fragen gestellt. Unangenehme.
Wie auch immer Du das Problem angehst, das Ergebnis ist das gleiche.

 

[Andre]

Es kommt auf den Telekommunikationsanbieter an. T-com und Tcom-Reseller, aber angeblich auch Telefonica Vollanschlüsse, nicht aber Bitstream:

Jeder Mitbenutzer hat - um Dich rechtlich abzusichern - eine eigene, echte IP zu bekommen.

Dazu muss ein Router her, der Passthrough für PPPoE-Sessions erlaubt. z.B. Fritz!Box mit etwas älterer Firmware.
Die Mitbewohner bekommen alle eigene Router (zb. ältere Fritz!Boxen), die über Internetzugang via LAN, LAN 1 bzw. LAN A eingerichtet sind. Nicht als IP-Client, sondern mit eigenen Zugangsdaten.
Wenn Du dazu FBF Classic ATAs oder FBF Classic WLAN nutzt (sehr günstig bei eBay), können die eh nicht die 16.000 ausnutzen, eine Bandbreitenbeshränkung ergibt sich automatisch (auch mal ein Vorteil ).
Jeder Mittbewohner muss sich Zugangsdaten besorgen, z.B. http://www.easybell.de/fuer-telekom-kunden/dsl-by-call.html
Er ist dann Anschlussinhaber seines eigenen Internetzugangs mit eigener IP und kann straf- und zivilrechtlich direkt in Haftung genommen werden.
Das kostet pro Mitbewohner maximal 6,93 ¤/Monat extra - das sollte es Dir wert sein. Bei 3 Personen, die sich so einen Anschluß teilen wollen, heist das 2*6,93/3 = 4,62 ¤/Monat je Person Mehrkosten.
Das einzige, was als Alternative zu eigenen Anschlüssen funktioniert.

Ansonsten musst Du halt den Mitbewohnern die Pistole auf die Brust setzen: Entweder einer der Dauerleecher übernimmt Deinen Anschluss (und muss dann ggf. für Urheberrechtsverletzungen er ganzen WG gerade stehen), oder die müssen sich einen eigenen Anschluß zu legen (dann musst Du halt Deinen allein bezahlen).


Eine weitere Alternative, die aber aufwändiger ist:
Ein Router (bzw dazu umgebauter PC), der alle Verbindungen der lokalen PCs mit Zeit, interner IP, genutze Ports (intern), genutzte Ports (extern) loggt.
Kommt eine Schadensersatzklage, so haftet man als Anschlußinhaber nur, wenn man die Aussage verweigert und keine substantiierten Angaben macht, die zur Aufklärung über den wahren Täter dienen. Die Angaben hat man aber - ganz detailliert. Dass der Klagende nur die externe IP erfasst hat, aber nicht den Port, über den das abgewickelt wurde... naja, das Problem liegt bei ihm.

 

[sf3978]

...
Eine weitere Alternative, die aber aufwändiger ist:
Ein Router (bzw dazu umgebauter PC), der alle Verbindungen der lokalen PCs mit Zeit, interner IP, genutze Ports (intern), genutzte Ports (extern) loggt.
...

Das geht mit der gefreetzten FB7170 und einem externen Datenträger auch. U. a. mit httpry (im trunk).
Beispiel (der capture filter (rot) muss auf die jeweiligen Bedürfnisse/Wünsche angepasst/eingestellt werden:

httpry -d -q -i dsl -o /var/media/ftp/uStor01/httpry.log [COLOR="red"]'src host <IP-Adresse> && dst port 80 || dst port 443 && proto TCP[/COLOR]'

 

[Silent-Tears]

Über das Loggen der Verbindungen muss er aber zum einen seine Mitbewohner informieren, und zum anderen wissen sie es dann und nutzen nen Proxy

 

[mikrogigant]

Ich wohne in einer WG und der Internetanschluss läuft auf meinen Namen. (...) Meine Mitbewohner sollen dabei nichts merken, weil sie gleichberechtigte Mieter sind und sie finanzieren den Internetanschluss anteilig.

Dann würde ich ab sofort die Kosten des Internetanschlusses wieder alleine übernehmen und den Zugang für deine Mitbewohner sperren. Wenn sie partout illegale Dinge tun wollen, dann sollen sie das gefälligst über ihren eigenen Zugang machen. Vermutlich wird das Zoff geben, aber der ist verglichen mit dem, was ein Abmahnverfahren wegen illegaler Downloads an Ärger und Kosten verursacht, eher harmlos.

Grüßle

Der Mikrogigant

 

[sf3978]

... und nutzen nen Proxy

Kann man mit einer gefreetzten FB7170, die Nutzung eines Proxy, nicht verhindern?

 

[Silent-Tears]

Schwer Klar, man kann alle Proxies sperren, und alle Ports dichtmachen, aber es gibt durchaus einige Seiten, die als Proxy auf Port 80 fungieren. Ach ja, selbst freetz enthält einige Tools zum umgehen diverser Sperren.... Von daher: Ein bisschen lesen und so. Denn _sicher_ ist man nie. Das einzig irgendwie zuverlässige ist eine Positivliste von URLs. Sprich nur, was erlaubt ist, ist erreichbar und der Rest nicht.

 

[sf3978]

Schwer Klar, man kann alle Proxies sperren, und alle Ports dichtmachen, ...

Ich denke man kann mit iptables die FORWARD chain dichtmachen und den Zugang ins Internet, (nur) über einen Proxy (evtl. mit Positivliste von URLs) auf der gefreetzten Box, erlauben.

 

[Andre]

Das einzig sichere neben vollständig getrennten Anschlüssen ist, wie beschrieben, die Trennung von Zugang und Anschlußleitung. Wenn es geht, unbedingt umsetzen.
Die paar Euro im Monat sind den Ärger nicht wert.