Werbung blocken mit avm firewall

[Borner]

Hallo,

ich bin gerade dabei, mir ein paar Firewall-Regeln zu bauen um Werbung herauszufiltern.
Ich beschränke mich dabei auf klassische Werbungs- oder Statistik-Hosts wie etwa:
adclient.uimserv.net
eur.a1.yimg.com
oder auch www.google-analytics.com als Datensammler, deroftmals den Aufbau einer Webseite erheblich bremst.

Das funktioniert so im kleinen Test ganz gut.

Hat damit schon einer Erfahrung?
Insbesondere, wie sich eine deutlich längere Liste an Hostnamen
(wie etwa diese hier: http://www.bedarfshaltestelle.de/netzsperren)
auf die Performance auswirken kann?
Normalerweise müßte ja für jedes Paket eine DNS Anfrage gemacht werden...


Gruß, Borner

 

[matze1985]

Es gibt auch eine Möglichkeit das ganze nicht zu sperren, sondern nach localhost oder so aufzulösen, damit werden die Ziele der Aufrufe auch nicht errreicht.
Dass kannst du hier nachlesen.
Allerdings ist die dortige Liste etwas länger

Ein paar spezielle Hosts zu blocken, per hosts oder Firewall, sollte für die FB noch kein Problem sein. Auch alle Hosts in deiner Liste zu blocken sollte nicht das Problem, allerdings ist es für die Box wahrscheinlich etwas viel, Liste längerer Länge automatisch zu blocken und immer wieder zu updaten. Die verlinkte Liste z.B. wäre dafür wahrscheinlich etwas zu lang.

 

[Silent-Tears]

Immer noch meine Frage, ob es dazu nen freien DNS gibt, der so etwas regelt.

 

[matze1985]

Auf den Seiten habe ich keinen gesehen, hatte aber nur kurz mal drüber geschaut.
Allerdings wäre das immernoch am besten und auch im Sinn von DNS, wenn man es Dynamisch und aktuell halten will.

 

[Silent-Tears]

Für Mailserver gibt es sowas ja ausgiebig, wenn auch partiell kostenfrei. Irgendwer sollte mal suchen, findet sich bestimmt

 

[Borner]

Ich bin mir nicht sicher, in wie weit ein Auflösen nach localhost sinnvoll ist. Im Zweifelsfall findet sich dahinter ein Webserver oder eben kein Server und das System versucht unter http://127.0.0.1/irgendeine/seite.html
einen Dienst und eine Webseite zu finden. Im dümmsten fall solange, bis ein Timeout greift.
Wenn ich also nicht nur werbereduziert, sondern auch etwas fixer im Web surfen will (Reduziereung der Anfragen) hätte ich über diesen Weg die Befürchtung, dass ein vergebliches Suchen nach einem Webdienst auf dieser IP einfach den Seitenaufbau zu lange aufhält.

Aus diesem Grund blocke ich die Webseiten auch beim rausgehenden Filter mit "deny". Ein klares nein zu einem GET-Paket sollte den Browser weiter zum Aufbau der Webseite bewegen als ein wegschmeißen der Pakete.
Da würde ich mich als Brwoser doch fragen, wo die Antwort auf mein GET bleibt.

Problematisch bei diesem Ansatz ist vor allem auch, dass

1.) eine Domain mehere IP's haben kann: block die FBF nach einem DNS lookup eine IP (und cached das Ergebnis), kann es sein, dass der Browser die Werbung nach einem eigenen lookup von einer anderen IP lädt (das wäre ein pro für die /etc/hosts

2.) Ich kann nur hosts blocken und blocke damit alles, was ich sonst noch von dem Webserver hätte laden wollen

3.) ich kann nur host blocken und müßte für jede Subdomain eine neue Regel erstellen, da z.B. google.g.doubleclick.net nicht gleich sein muss mit google.f.doubleclick.net

4.) ich könnte auf Host-basierte Werbefilter zurück greifen. Hiermit reduziere ich aber nicht die Anzahl der Verbindungen die zu verschiedenen Servern notwendig sind. Es wandert dann ja doch alles durch die FBF, vermute ich.
Oder: weiß jemand, wie z.B. adlock arbeitet? unterbintet der auch die GET's oder schmeiß er einach nur das Antwortpaket weg?

Was wären die Alternativen?
Einen Proxy mit Filter? Sicher für so eine kleine Fritzbox auch zu viel.

Ich habe mir für das schnelle surfen mal "dillo" installiert. Der verzichtet darauf kompelxe css seiten und massive flash's zu laden. Man hätte das Gefühl, die Surfgeschwinigkeit hätte sich verhundertfacht. Webseiten sind sofort da - allerdings oftmals mangels der minimalität nicht nutzbar! :-(

Welchen Weg gehen?

 

[RalfFriedl]

Ich bin mir nicht sicher, in wie weit ein Auflösen nach localhost sinnvoll ist. ... Im dümmsten fall solange, bis ein Timeout greift.

Reduziereung der Anfragen ... Seitenaufbau zu lange aufhält.

Ein klares nein zu einem GET-Paket sollte den Browser weiter zum Aufbau der Webseite bewegen als ein wegschmeißen der Pakete.
Da würde ich mich als Brwoser doch fragen, wo die Antwort auf mein GET bleibt.

Das ist so nicht richtig.
Gehen wir mal davon aus, daß die meisten keinen Webserver auf Ihrem PC laufen haben (außer IIS, der per Default aktiviert war). Die Auflösung auf localhost bewirkt ja nicht, daß die Pakete verworfen werden, sondern daß sie an localhost geleitet werden. Wenn der Port zu ist, gibt es eine sofortige Rückmeldung darüber, und zwar nicht bevor überhaupt ein GET gesendet wird. Es ist also die effizienteste Art, dem Browser mitzuteilen, daß es da nichts zu holen gibt. Ein SYN, ein RST, und schon ist klar, daß die Verbindung abgewiesen wird, oder mit anderen Worten, schon das connect() des Browsers bekommt einen Fehler zurück, und nicht erste die Antwort auf die Anfrage. Andererseits ist die Meldung nicht so aussagekräftig.

Wenn ein Web-Server auf localhost läuft, dann sieht es anders aus. Dann bekommt man vermutlich 404 Fehler vom Server, oder gelegentlich auch echte Seiten, die aber nicht mit der Adresse zu tun haben, die man aufgerufen zu haben glaubt.

 

[Stiefel]

Warum nicht einfach den Firefox mit Adblock Plus nutzen. Da gibt es nahezu perfekte Filter gegen Werbung (EasyList, Ares’ ABP Liste, Filter von Dr.Evil und Cédrics Liste) und gegen Datensammler (EasyPrivacy).

 

[Borner]

@RalfFriedl

Wenn der Port zu ist, gibt es eine sofortige Rückmeldung darüber, und zwar nicht bevor überhaupt ein GET gesendet wird.

Vielleicht habe ich mich da etwas unklar ausgedrückt. Mit "GET-Paket" meinte ich nicht das Paket, in dem letztlich der HTTP Auruf drinnen steht. Ich meinte die gesamte Kommunikation rund um das Holen einer Webseite.
Ich denke, dass ein Paket "deny" vergleichbar fix reagiert, wie ein lookup nach localhost.

Warum nicht einfach den Firefox mit Adblock Plus nutzen.

Zum einem wie ich unten bereits schrieb:
der Adblock scheint die Werbung nur auszublenden, sehr wohl aber zu laden, zumindest einen connect zum Webserver durchzuführen.
Jedenfalls kann ich per Browser Webserver von Domains erreichen, die ich eigentlich per Adblock blocke.
Dort hätte ich eine weise Seite vermutet, einen Fehler oder irgendwas vergleichbares
Zudem greift der Adblock leider nur beim firefox, nicht bei alternativen Browsern, Mailprogrammen oder ähnlichem.
Unabhängig davon ist der Adblock im Moment auch meine 1. Wahl.

Gruß, Borner

 

[Stiefel]

der Adblock scheint die Werbung nur auszublenden, sehr wohl aber zu laden, zumindest einen connect zum Webserver durchzuführen.

Nein, sie werden nicht geladen. Es werden aber nicht ganze Server oder Domains geblockt, sondern nur bestimmte Verzeichnisse/Pfade auf diesen Servern, sonst würde z.B. Google auch gebockt werden, was ja nicht Sinn der Sache ist.

Die URL-Bestandteile, die z.B. mit der EasyPrivacy-Liste geblockt werden, findest Du hier.

 

[billygeen]

wie genau hast du denn das eingetragen damit das funktioniert? das firewall-paket nimmt mir bei www.google-analytics.com z.B nicht die ganze adresse an, schneidet immer ein paar buchstaben ab

 

[matze1985]

Mit der AVM-Firewall kann man doch nur IP's blocken und keine Domains, odeR?

 

[Borner]

Nein, sie werden nicht geladen.

Naja, so hätte ich es mir auch gedacht. Aber wenn ich im Adblock http://4stats.de/* blocke (oder auch ohne /*) erwarte ich, dass ein Aufrufen der Webseite in der Browseradresse nicht's oder einen adblock "Fehler" zurück liefert.
Stattdessen kann ich bei tcpdump erkennen, dass Daten raus gehen.
...wäre mal interessant zu wissen, ob adblock eine "vorsätzlich" eingegebene URL nicht blockt sondern nur dann, wenn die URL im Rahmen einer Webseite mit geladen wird. Das würde dieses Verhalten erklären.

@billygeen
ich habe im Feld "Regel" einfach den kompletten Domainnamen angegeben. Dann wird nix abgeschnitten.
Muss aber auch dazu sagen, dass ich es ersteinmal nur mit yahoo-ads versucht habe. Die anderen Domains habe ich eingetragen, aber die Themantik magels Zeit noch nicht getestet.

Ich wollte auch nochmal in die Runde werfen, dass es sich hierbei nur um die Idee handelt, Inhalte über diesen Weg zu blocken. Gut denkbar, dass eine Diskussion darüber zum Ergebnis führt, dass die AVM Firewal nicht das richtige Mittel dafür ist.

Deshlab auch meine Aufzählung der Vor- und Nachteile einige Posts zuvor.

Mit der AVM-Firewall kann man doch nur IP's blocken und keine Domains, odeR?

Wer weiß... aber was spricht dagegen? die FW müßte eben nur die Hosts auflösen - wie oben beschrieben. Im Zweifelsfall einfach mal mit einer klassischen Domain testen, die idaler weise nur eine IP hat (also eher www.gmx.de als www.google.de)

 

[zirkon]

Da würde ich dann doch lieber direkt zu einem Proxy-Server greifen. Privoxy eignet sich dafür hervorragend. Um nicht an jedem Client die Einstellungen zu setzen, kann man dann auch den kompletten Internetverkehr darüber routen.

 

[Borner]

Ich denke auch, dass ein schlanker Proxy hier eine gute Wahl ist. Zumal man durch etwas caching ebenfalls eine performancesteigerung erreichen könnte.

Aber ein Proxy auf der FBF. Passt das von den Leistungsdaten der Box her?

 

[Silent-Tears]

Aber ein Proxy auf der FBF. Passt das von den Leistungsdaten der Box her?

Wir haben doch schon einige im "Angebot". Wie wäre es mit ausprobieren?

 

[Schommel]

Nun es muss ja nicht gleich die gesamte Liste sein... der richtige Ausschnitt ermöglicht bereits einen sehr werbefreien Webbesuch.

Bei Themen wie Proxy und DNS komme ich leider an die Grenzen meines Internet-Verständnisses, doch ihr sucht nach einem DNS welcher die Werbung für euch filtert.. ich glaube ich habe hier zumindest eine Anleitung (Programmcode) dazu gefunden: http://www.mvps.org/access/tables/tbl0014.htm

Zum Thema Request-Antwort kann ich hinzufügen, dass das von mir erwähnte Programm HostsMan hierzu einen eigenen kleinen Webserver startet, welcher auf alle Anfragen mit einer - mehr oder weniger - selbst definierten Seite antwortet. In der Regel ist dies eine schlichtweg weiße Seite oder eine Grafik mit einem Kreuz o.ä. Es geht jedoch auch ganz gut ohne diesen Server.

 

[sf3978]

Ich blocke unerwünschte Werbung (d. h. Webseiten) mit dnsmasq aus Freetz:

# Add domains which you want to force to an IP address here.
# The example below send any host in doubleclick.net to a local
# webserver.
[B]address=/doubleclick.net/192.168.25.25
address=/doubleclick.com/192.168.25.25[/B]
#..........................

Die IP-Adresse 192.168.25.25 gibt es bei mir nicht. Man kann diese IP-Adresse (192.168.25.25) auch zusätzlich mit der AVM-Firewall oder mit iptables noch blocken.
Mit Opera bekomme ich kein timeout, aber sofort diese Meldung:

Fehler!
Die Verbindung wurde durch den Server beendet.

Die von Ihnen aufgerufene Adresse, http://www.doubleclick.net/, ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.
Stellen Sie sicher, dass eine Verbindung mit dem Internet besteht und überprüfen Sie, ob andere Programme mit der selben Verbindung funktionieren.

 

[Borner]

Wir haben doch schon einige im "Angebot". Wie wäre es mit ausprobieren?

Ausprobieren wäre eine Möglichkeit. Es hätte ja durchaus sein können, dass mancheiner schon Erfahrungen mit einem Proxy@FBF hat.

@Schommel
DSN != DNS
Hier wird von Datenquellen für Datenbankverbindungen gesprochen. Knapp am Thema vorbei! ;-)

 

[zirkon]

Privoxy sollte eigentlich ein Wink mit dem Zaunpfahl sein