ich habe auch auf die DNS-Filterung umgestellt (mittels setup auf dem IPFire). Danach stand bei mir der DNS-Server auch auf “local recursor”. Ich habe dann den IPFire nochmal neu gebootet, und jetzt scheint alles OK. Ich habe keine von den von euch beschriebenen Änderungen in den config-files vorgenommen, und erhalte auch nach mehrmaligem Boot immer dieses Bild:
Stimmt damit was nicht, oder ist das Zufall dass das bei mir klappt?
Ich hatte allerdings keinen Reboot gemacht, sondern nur ein /etc/init.d/unbound restart.
Ohne die Änderungen an der unbound.conf und dem Startscript kommt bei mir dann ein
Stopping Unbound DNS Proxy... [ OK ]
Starting Unbound DNS Proxy... [ OK ]
Ignoring broken upstream name server(s): 129.143.4.3 [ WARN ]
Falling back to recursor mode
Mit den Änderungen:
Stopping Unbound DNS Proxy... [ OK ]
Starting Unbound DNS Proxy... [ OK ]
Configuring upstream name server(s): 129.143.4.3 [ OK ]
Welche Version von ipfire hast du denn? (Bei mir ist’s core update 119)
ich habe auch auf die DNS-Filterung umgestellt (mittels setup auf dem
IPFire). Danach stand bei mir der DNS-Server auch auf “local recursor”.
Ich habe dann den IPFire nochmal neu gebootet, und jetzt scheint alles
OK. Ich habe keine von den von euch beschriebenen Änderungen in den
config-files vorgenommen, und erhalte auch nach mehrmaligem Boot immer
dieses Bild:
belwue-dns
Stimmt damit was nicht, oder ist das Zufall dass das bei mir klappt?
… ich war nach dem Umstellen so frei und hab einfach mal, bei
abgeschlateten URL Filter im IPFire, die Seite www.sex.com angesurft …
das hat funktioniert.
Du könntest es ja auch so testen …
Ich wußte dann, dass zwar die 129.143.4.3 eingetragen war, aber
offensichtlich nicht verwendet wurde.
Welcher DNS da verwendet wurde, ist mir nicht bekannt.
Nach den beschriebenen Änderungen konnte ich mit der Seite die
Sperrseite von BelWü provozieren.
das hat soweit bei mir auch ohne Änderungen in den Dateien funktioniert. Der Härtetest ist aber zum Beispiel bei google “porn” einzugeben und dann bei den Ergebnissen auf “Bilder” zu klicken. Hier funktioniert die Filterung nur, wenn safesearch voreingestellt ist, und zwar so, dass es der Nutzer nicht abschalten kann. Diese Fuktion habe ich erst nach Änderung der Dateien erhalten.
Hallo Wilfried,
ich habe den „porn“-Bildertest jetzt auch durchgeführt: Einmal mit deinen Änderungen, und einmal ohne die Änderungen (dazwischen immer den IPFire neu gestartet). Die Ergebnisse der Bildersuche sind absolut identisch - und sie sind gefiltert.
Für mich ist damit alles gut: Der Belwue-DNS tut was er soll, und das mit den Standard-Configeinstellungen vom IPFire. Das ist mir am liebsten weil ich nicht im Blick haben muss ob diese Einstellungen bei einem Core-Update wieder überschrieben werden (ich habe zur Zeit Core 122).
Ich habe aus demselben Grund jetzt auch alles wieder zurück auf die ipfire-Standardeinstellungen gesetzt, damit funktioniert bei mir die Filterung auch (derzeit noch core 119). Einziges „Problem“ ist eben die Verzögerung beim Booten bis DNSSEC in den „permissive mode“ geht.
hätte es auch gerne mit weniger Änderungen, da aber ohnehin demnächst OPNsense als Firewall ansteht, lasse ich es mal so.
Bei OPNsense wäre wünschenswert, dass es wieder eine Möglichkeit der Deaktivierung mittels der Schuko gibt, sonst geht das Gemecker wegen der Filterung gewünschter Seiten los.
hätte es auch gerne mit weniger Änderungen, da aber ohnehin demnächst
OPNsense als Firewall ansteht, lasse ich es mal so.
Bei OPNsense wäre wünschenswert, dass es wieder eine Möglichkeit der
Deaktivierung mittels der Schuko gibt, sonst geht das Gemecker wegen der
Filterung gewünschter Seiten los.
ich denke nicht, dass wir das bieten: den DNS Filter per SchuKo ab zu
schalten.
Es wird wieder einen URL Filter geben: der greift aber nicht bei https
Seiten: deswegen muss der DNS Filter her.
Es wird also zweistufig bleiben: DNS immer, URL Filter abschaltbar.
mir ist nicht klar, was Du in oberen blauem Fenster geändert hast? Ich habe jetzt nur die unbound.conf geändert, es reicht aber nicht, er verwendet den BelWü-DNS nicht.
Hallo Leute,
das mit dem DNS-Filter ist in Zeiten, in denen 90% des Verkehrs über HTTPS läuft, sicher der richtige Ansatz. Doch wie sieht es bei der BelWue-Lösung mit der Konfigurierbarkeit aus?
Kann ich für meine Schule bestimmte Seiten abweichend erlauben (white list) oder verbieten (black list)?
Kann ich einzelne Rechner im blauen Netz für alle Seiten freischalten, also auf einen “normalen” DNS umbiegen?
LG
Michael.
das mit dem DNS-Filter ist in Zeiten, in denen 90% des Verkehrs über
HTTPS läuft, sicher der richtige Ansatz. Doch wie sieht es bei der
BelWue-Lösung mit der Konfigurierbarkeit aus?
Kann ich für meine Schule bestimmte Seiten abweichend erlauben
(white list) oder verbieten (black list)?
das weiß ich nicht.
Da müßtest du mal bei BelWü anrufen und fragen.
Kann ich einzelne Rechner im blauen Netz für alle Seiten
freischalten, also auf einen “normalen” DNS umbiegen?
… nun ja: wenn du Port 53udp von Blau nach Rot erlaubst, dann kann in
Blau jeder den DNS verwenden, den er mag.
Welcher das ist kannst du optional vorgeben indem du im DHCP eben einen
anderen als den BelWü FilterDNS angibst.
Ungetestet, sollte aber klappen.
Hallo an alle,
Bei uns steht nun die Umstellung auf DNS Filterung an.
ich weiß, ich bin spät dran, aber man hat ja auch noch anderes zu tun…
Nach der Lektüre dieses Threads habe ich folgendes mitgenommen:
Der IP-Fire ist listenreich dazu zu bringen, den belwue-DNS zu akzeptieren, allein mit Eintragen dieses DNS ist es nur mit etwas Glück getan, sonst irgendwie an unbound rumfummeln, Anleitung ist oben.
Den Port 53 grün nach rot sperren, damit man keinen anderen DNS erreicht.
Kollegen per Knopfdruck zu ermöglichen, die Filterung abzuschalten ist nicht möglich, nur wer Zugang zur Firewall hat, kann die Firewallregel für Port 53 abschalten muss dann aber auch noch lokal einen anderen DNS eintragen.
Bitte korrigiert mich, wenn ich da was falsch verstanden habe. Vor allem Punkt 3 macht mir Sorgen. Es wäre ja noch akzeptabel, wenn ich tätig werden müsste, um für eine Hitlerreden-Recherche von Seminarkursschülern die Firewall zu ändern, aber dann noch erklären müssen, dass sie einen anderen DNS brauche - nöö, das ist nicht praktikabel. Hat da nicht jemand eine einfachere Lösung gefunden?
Kollegen per Knopfdruck zu ermöglichen, die Filterung abzuschalten
ist nicht möglich, nur wer Zugang zur Firewall hat, kann die
Firewallregel für Port 53 abschalten muss dann aber auch noch lokal
einen anderen DNS eintragen.
… ich würde sagen: Filter Abschalten ist nicht mehr möglich: das ist zu
aufwändig.
Der Vorteil der DNS Filterung ist, dass sie auch https filtert.
Der NAchteil ist, dass es viel unschärfer ist.
Ich nehme also an,dass du eher keine „zuviel“ gesperrten Seiten
bekommst: eher „zuwenig“…