Hallo zusammen,
ich habe auch auf die DNS-Filterung umgestellt (mittels setup auf dem IPFire). Danach stand bei mir der DNS-Server auch auf “local recursor”. Ich habe dann den IPFire nochmal neu gebootet, und jetzt scheint alles OK. Ich habe keine von den von euch beschriebenen Änderungen in den config-files vorgenommen, und erhalte auch nach mehrmaligem Boot immer dieses Bild:
Stimmt damit was nicht, oder ist das Zufall dass das bei mir klappt?
LG Alex
Hallo Alex,
Gute Frage…
Ich hatte allerdings keinen Reboot gemacht, sondern nur ein /etc/init.d/unbound restart.
Ohne die Änderungen an der unbound.conf und dem Startscript kommt bei mir dann ein
Stopping Unbound DNS Proxy... [ OK ]
Starting Unbound DNS Proxy... [ OK ]
Ignoring broken upstream name server(s): 129.143.4.3 [ WARN ]
Falling back to recursor mode Mit den Änderungen:
Stopping Unbound DNS Proxy... [ OK ]
Starting Unbound DNS Proxy... [ OK ]
Configuring upstream name server(s): 129.143.4.3 [ OK ]Welche Version von ipfire hast du denn? (Bei mir ist’s core update 119)
Das DNSSEC-Problem gibt es wohl erst seit 106:
Viele Grüße
Andreas
Hallo Alex,
ich habe auch auf die DNS-Filterung umgestellt (mittels setup auf dem
IPFire). Danach stand bei mir der DNS-Server auch auf “local recursor”.
Ich habe dann den IPFire nochmal neu gebootet, und jetzt scheint alles
OK. Ich habe keine von den von euch beschriebenen Änderungen in den
config-files vorgenommen, und erhalte auch nach mehrmaligem Boot immer
dieses Bild:
belwue-dns
Stimmt damit was nicht, oder ist das Zufall dass das bei mir klappt?
… ich war nach dem Umstellen so frei und hab einfach mal, bei
abgeschlateten URL Filter im IPFire, die Seite www.sex.com angesurft …
das hat funktioniert.
Du könntest es ja auch so testen …
Ich wußte dann, dass zwar die 129.143.4.3 eingetragen war, aber
offensichtlich nicht verwendet wurde.
Welcher DNS da verwendet wurde, ist mir nicht bekannt.
Nach den beschriebenen Änderungen konnte ich mit der Seite die
Sperrseite von BelWü provozieren.
LG
Holger
Ich habe Core 121.
LG Alex
Hallo Holger,
das habe ich natürlich auch probiert: Der Belwue-Filter funktioniert.
Dann lass ich das jetzt mal so ohne weitere Änderungen.
LG Alex
Hallo Alex,
ich hatte (um die Reboot-Zeit nach dem Update auf 119 zu verkürzen) damals noch das hier gemacht:
Keine Ahnung, ob das evtl. damit zu tun haben könnte. Vielleicht teste ich das mal bei Gelegenheit…
Viele Grüße
Andreas
Die 3-Minuten Ehrenrunde hab ich auch, stört mich aber nicht, die Tage von ipfire sind in Bezug auf linuxmuster 7 ja wohl eh gezählt.
LG Alex
Hallo Alex,
das hat soweit bei mir auch ohne Änderungen in den Dateien funktioniert. Der Härtetest ist aber zum Beispiel bei google “porn” einzugeben und dann bei den Ergebnissen auf “Bilder” zu klicken. Hier funktioniert die Filterung nur, wenn safesearch voreingestellt ist, und zwar so, dass es der Nutzer nicht abschalten kann. Diese Fuktion habe ich erst nach Änderung der Dateien erhalten.
Viele Grüße
Wilfried
Hallo zusammen,
ich habe nun folgendes festgestellt:
Mache ich die folgende Änderung rückgängig:
dann gibt es beim Booten des ipfires wieder die lange Wartezeit und folgende Meldung:
Dann funktioniert aber der Jugendschutzfilter (Umleitung und Google-Safesearch) auch ohne diese Anpassungen an der unbound-Konfiguration:
Viele Grüße
Andreas
Hallo Wilfried,
ich habe den „porn“-Bildertest jetzt auch durchgeführt: Einmal mit deinen Änderungen, und einmal ohne die Änderungen (dazwischen immer den IPFire neu gestartet). Die Ergebnisse der Bildersuche sind absolut identisch - und sie sind gefiltert.
Für mich ist damit alles gut: Der Belwue-DNS tut was er soll, und das mit den Standard-Configeinstellungen vom IPFire. Das ist mir am liebsten weil ich nicht im Blick haben muss ob diese Einstellungen bei einem Core-Update wieder überschrieben werden (ich habe zur Zeit Core 122).
LG Alex
Ich habe aus demselben Grund jetzt auch alles wieder zurück auf die ipfire-Standardeinstellungen gesetzt, damit funktioniert bei mir die Filterung auch (derzeit noch core 119). Einziges „Problem“ ist eben die Verzögerung beim Booten bis DNSSEC in den „permissive mode“ geht.
Viele Grüße
Andreas
Hallo Alex,
hätte es auch gerne mit weniger Änderungen, da aber ohnehin demnächst OPNsense als Firewall ansteht, lasse ich es mal so.
Bei OPNsense wäre wünschenswert, dass es wieder eine Möglichkeit der Deaktivierung mittels der Schuko gibt, sonst geht das Gemecker wegen der Filterung gewünschter Seiten los.
Viele Grüße
Wilfried
Hallo Wilfried,
hätte es auch gerne mit weniger Änderungen, da aber ohnehin demnächst
OPNsense als Firewall ansteht, lasse ich es mal so.
Bei OPNsense wäre wünschenswert, dass es wieder eine Möglichkeit der
Deaktivierung mittels der Schuko gibt, sonst geht das Gemecker wegen der
Filterung gewünschter Seiten los.
ich denke nicht, dass wir das bieten: den DNS Filter per SchuKo ab zu
schalten.
Es wird wieder einen URL Filter geben: der greift aber nicht bei https
Seiten: deswegen muss der DNS Filter her.
Es wird also zweistufig bleiben: DNS immer, URL Filter abschaltbar.
LG
Holger
Hallo Holger,
OK, war mir nicht so bewusst, dass es zweistufig läuft.
Viele Grüße
Wilfried
Hallo Wilfried,
mir ist nicht klar, was Du in oberen blauem Fenster geändert hast? Ich habe jetzt nur die unbound.conf geändert, es reicht aber nicht, er verwendet den BelWü-DNS nicht.
LG
Max
ok, ich habs gefunden, Holgers Post. Alles auskommentieren…
Und der Filter geht, wenn auch der Boot lange dauert.
LG
Max
Hallo Leute,
das mit dem DNS-Filter ist in Zeiten, in denen 90% des Verkehrs über HTTPS läuft, sicher der richtige Ansatz. Doch wie sieht es bei der BelWue-Lösung mit der Konfigurierbarkeit aus?
Hallo Michael,
das mit dem DNS-Filter ist in Zeiten, in denen 90% des Verkehrs über
HTTPS läuft, sicher der richtige Ansatz. Doch wie sieht es bei der
BelWue-Lösung mit der Konfigurierbarkeit aus?
- Kann ich für meine Schule bestimmte Seiten abweichend erlauben
(white list) oder verbieten (black list)?
das weiß ich nicht.
Da müßtest du mal bei BelWü anrufen und fragen.
- Kann ich einzelne Rechner im blauen Netz für alle Seiten
freischalten, also auf einen “normalen” DNS umbiegen?
… nun ja: wenn du Port 53udp von Blau nach Rot erlaubst, dann kann in
Blau jeder den DNS verwenden, den er mag.
Welcher das ist kannst du optional vorgeben indem du im DHCP eben einen
anderen als den BelWü FilterDNS angibst.
Ungetestet, sollte aber klappen.
LG
Holger
Hallo an alle,
Bei uns steht nun die Umstellung auf DNS Filterung an.
ich weiß, ich bin spät dran, aber man hat ja auch noch anderes zu tun…
Nach der Lektüre dieses Threads habe ich folgendes mitgenommen:
Bitte korrigiert mich, wenn ich da was falsch verstanden habe. Vor allem Punkt 3 macht mir Sorgen. Es wäre ja noch akzeptabel, wenn ich tätig werden müsste, um für eine Hitlerreden-Recherche von Seminarkursschülern die Firewall zu ändern, aber dann noch erklären müssen, dass sie einen anderen DNS brauche - nöö, das ist nicht praktikabel. Hat da nicht jemand eine einfachere Lösung gefunden?
Danke für Vorschläge
Hallo Uwe,
- Kollegen per Knopfdruck zu ermöglichen, die Filterung abzuschalten
ist nicht möglich, nur wer Zugang zur Firewall hat, kann die
Firewallregel für Port 53 abschalten muss dann aber auch noch lokal
einen anderen DNS eintragen.
… ich würde sagen: Filter Abschalten ist nicht mehr möglich: das ist zu
aufwändig.
Der Vorteil der DNS Filterung ist, dass sie auch https filtert.
Der NAchteil ist, dass es viel unschärfer ist.
Ich nehme also an,dass du eher keine „zuviel“ gesperrten Seiten
bekommst: eher „zuwenig“…
LG
Holger
