BelWue stellt Proxy auf DNS um

Hallo an alle,
Bei uns steht nun die Umstellung auf DNS Filterung an.
ich weiß, ich bin spät dran, aber man hat ja auch noch anderes zu tun…
Nach der Lektüre dieses Threads habe ich folgendes mitgenommen:

  • Der IP-Fire ist listenreich dazu zu bringen, den belwue-DNS zu akzeptieren, allein mit Eintragen dieses DNS ist es nur mit etwas Glück getan, sonst irgendwie an unbound rumfummeln, Anleitung ist oben.
  • Den Port 53 grün nach rot sperren, damit man keinen anderen DNS erreicht.
  • Kollegen per Knopfdruck zu ermöglichen, die Filterung abzuschalten ist nicht möglich, nur wer Zugang zur Firewall hat, kann die Firewallregel für Port 53 abschalten muss dann aber auch noch lokal einen anderen DNS eintragen.

Bitte korrigiert mich, wenn ich da was falsch verstanden habe. Vor allem Punkt 3 macht mir Sorgen. Es wäre ja noch akzeptabel, wenn ich tätig werden müsste, um für eine Hitlerreden-Recherche von Seminarkursschülern die Firewall zu ändern, aber dann noch erklären müssen, dass sie einen anderen DNS brauche - nöö, das ist nicht praktikabel. Hat da nicht jemand eine einfachere Lösung gefunden?

Danke für Vorschläge

Hallo Uwe,

  • Kollegen per Knopfdruck zu ermöglichen, die Filterung abzuschalten
    ist nicht möglich, nur wer Zugang zur Firewall hat, kann die
    Firewallregel für Port 53 abschalten muss dann aber auch noch lokal
    einen anderen DNS eintragen.

… ich würde sagen: Filter Abschalten ist nicht mehr möglich: das ist zu
aufwändig.

Der Vorteil der DNS Filterung ist, dass sie auch https filtert.
Der NAchteil ist, dass es viel unschärfer ist.
Ich nehme also an,dass du eher keine “zuviel” gesperrten Seiten
bekommst: eher “zuwenig”…

LG

Holger

Hallo Allerseits,

ich habe über die Herbstferien die Umstellung auf den “Jugendschutzfilter-DNS-Server” von Belwue vorgenommen

und habe jetzt große Probleme beim Zugriff auf Webseiten.

Hier die durchgeführten Schritte:

  1. DNSSEC im IP-Fire deaktiviert:

a) Im IP-Fire in der Datei /etc/init.d/unbound im Bereich test_nameservers alles auskommentiert bis auf "return 2“.

b) Im IP-Fire in der Datei /etc/unbound/unbound.conf die Optionen

val-permissive-mode: yes und

harden-dnssec-stripped:no

gesetzt

  1. Im IPFire mit setup den DNS-Server auf 129.143.4.3 gesetzt.

  2. IPFire neu gestartet.

  3. Namensauflösungen getestet mit nslookup und dig:

a) Client: geht ohne Probleme und schnell

b) Server: geht ebenfalls ohne Probleme und schnell

c) IPFire: geht nur teilweise, bricht teilweise mit einem Fehler ab und dauert sehr lange???

——————————————————————

Im Schulnetz wirkt sich das ebenfalls sehr seltsam aus:

  1. Wird eine Seite das erste Mal aufgerufen, dauert es ewig, bis sie geladen wird.

  2. Werden von einem Rechner aus ein paar Seiten gleichzeitig aufgerufen,

wird der Aufruf der Seiten teilweise abgebrochen.

Werden die Seiten GANZ LANGSAM nacheinander aufgerufen geht es.

  1. Der Up-und Download von Dateien ist aber gar kein Problem. (> 60 MBit in beide Richtungen)

  2. Ändere ich im Firefox-Profil die Proxy-Einstellungen zwischen „No Proxy“, „Automatisch Erkennen“, „vom System übernehmen“ und „Manuell festlegen“ geht es mal nur mit der einen und mal nur mit der anderen Einstellung,

mit der momentanen Tendenz, dass man „No Proxy“ einstellen muss, weil es sonst nicht geht.

Vor der Umstellung mit den oben beschriebenen Schritten war der Aufruf der Seiten zwar auch zu zäh für unsere gute Netzanbindung, was auch hier mit DNS-Problemen (DNSSEC) zu tun hatte,

aber die Seiten wurden zumindest zuverlässig überhaupt geöffnet.

——————————————————————

Der derzeitige Zustand ist nicht zumutbar, da sich die Seiten so unzuverlässig mal öffnen

und mal nicht und dann etwas später doch wieder.

Daher bin ich für jeden Hinweis oder Tipp dankbar.

——————————————————————

Zum System:

KVM-Virtualisierung auf Ubuntu-Server mit IPFire Core 110 und Linuxmuster.net-Server 6.2

(ja, an die höheren Cores habe ich mich erstmal nicht mehr herangetraut,

nachdem ich nur Ärger nach dem Update von 102 auf 110 hatte)

Schönen Gruß,

Sebastian

1 Like

Hallo Sebastian,

Läuft der unbound-Server auf dem Ipfire? Um das zu prüfen auf der Konsole des IPFire folgenden Befehl absetzen:

/etc/init.d/unbound status

Grüße,
Sven

Hallo Sven,
ja. Der Aufruf ergibt:
[root@ipfire ~]# /etc/init.d/unbound status
unbound is running with Process ID(s) 4442.
Schönen Gruß,
Sebastian

Hallo Holger,
ich bin gerade auch dabei, den IPFire umzustellen. Hab das erstmal auf die lange Bank geschoben, muss jetzt jedoch ran.

Welche andere DNS hast du hier definiert?

Seit ihr hier weitergekommen? Wie seit ihr mit den grünen WLAN-Clients verfahren?

Grüße und Danke
Marcus

Hallo Marcus,

Wollen wir das nicht, definieren wir einen anderen DNS für Blau (und
erlauben Port 53udp von Blau nach Rot). Das werde ich wohl erstmal so
machen.

Welche andere DNS hast du hier definiert?

den nicht filternden BelWü DNS: also 129.143.4.2 (aus dem Kopf …).

Bei den grünen WLAN Clients ist das nicht so einfach…
Das müssen wir testen (und noch ein wenig drüber nachdenken).

Seit ihr hier weitergekommen? Wie seit ihr mit den grünen WLAN-Clients
verfahren?

WLAN Clients in Grün sind keine BYOD Geräte sondern Schuleigene.
Diese bekommen die CA eingespielt.
Haben sie das noch nciht, dann wird die Sperrseite nicht angezeigt:
Filterung funktioniert aber.
Vorerst kann ich damit leben, bis alle die CA haben.

LG

Holger

Hallo Holger,

den nicht filternden BelWü DNS: also 129.143.4.2 (aus dem Kopf …).

Vielen Dank für den hint.

WLAN Clients in Grün sind keine BYOD Geräte sondern Schuleigene.
Diese bekommen die CA eingespielt.
Haben sie das noch nciht, dann wird die Sperrseite nicht angezeigt:
Filterung funktioniert aber.
Vorerst kann ich damit leben, bis alle die CA haben.

Die CA würde ich über das Basisimage in den Firefox einpflegen. Hast du einen anderen Weg, wie du die CA deinen Clients vergibst?

LG

Marcus

Hallo Marcus,

Die CA würde ich über das Basisimage in den Firefox einpflegen. Hast du
einen anderen Weg, wie du die CA deinen Clients vergibst?

so mache ich das auch.
Aber Vorsicht: bei mir sind die Firefox Profile im Home: ich muss also
bei allen usern im Home das Firefoxprofil löschen: sonst erhalten sie
nicht das neue.
Das könnte bei dir auch so sein.

LG

Holger

Hallo Holger,

vielen Dank für den Hint. Das interessiert mich natürlich brennend. Löscht du alle Firefoxprofile von Hand oder scriptest du das?

LG

Marcus

Ein herzliches Hallo an alle,

Bei mir tut der Webfilter auch nur die Hälfte: Direkter Aufruf der Seiten porn.com und sex.de werden gesperrt. Der Google-Porn-Bilder-Test leider nicht.

Ich habe auch alles so gemacht, wie Sebastian es geschrieben hat:

Allerdings habe ich beim Start von IPFire folgende Fehlermeldung:

Kann das damit zusammen hängen und wenn ja, wie bekomme ich die Fehlermeldung weg und den BelWü-Webfilter scharf?

Ich meine, im Moment bin ich schon zufrieden, dass er sperrt und die Sperrseiten gesichert anzeigt (Root-CA war wohl schon installiert).

Längerfristig finde ich, muss durch Medienpädagogik die Sensibilisierung her.

Aber für den Moment bräuchte ich einen scharfen Webfilter.

LG
Marcus

Hallo zusammen,

ich habe jetzt auch auf die DNS-Filterung umgestellt und es scheint bis auf eine Kleinigkeit alles zu funktionieren: Wenn ich Firefox starte erscheint am oberen Bildschirmrand immer die Meldung "Sie müssen sich bei dem Netzwerk anmelden, um auf das Internet zugreifen zu können. " Wenn man die Meldung anklickt wird man auf eine (vom DNS gesperrte) Firefoxseite geleitet, ansonsten kann man die Meldung auch einfach wegblicken bzw. ignorieren, es funktioniert trotzdem alles. Ich habe schon versucht den FF zurückzusetzen, die Chronik zu löschen, die Proxyeinstellungen zu ändern, die Meldung erscheint immer wieder. Wo könnte ich noch suchen?

Viele Grüße
Friedrich

Hallo zusammen,

Ich habe meinen Ipfire letzte Woche gezwungenermaßen neu installieren müssen, dabei habe ich die aktuellste Version, Ipfire 2.21 (x86_64) - Core Update 126, installiert.

Ich kann die Erfahrungen von Alex bestätigen! Bei mir hat die Umstellung auch sofort, ohne sonstige weitere Einstellungen (nichts an der Einstellung bzgl. DNSSEC geändert) geklappt.

VG Daniel

Hi zusammen,

ich habe auch jetzt mal auf DNS-Belwue-Filter umgestellt und meinen IPFire-URL-Filter abgestellt um es zu testen.

In /etc/init.d/unbound reicht es ein return 2 einzufügen.

test_name_server() {
 return 2
 local ns=${1}

in /etc/unbound/unbound.conf hab ich auch

val-permissive-mode: yes
harden-dnssec-stripped:no

gesetzt und unbound restartet.
Zunächst werden schon offene Tabs nicht blockiert, auch mit STRG-Shift-R nicht. Man muss eine Zeit warten, dann wird man auch blockiert, oder man restartet den ipfire, dann muss man sowieso ne Zeit warten.

IPFire (auf KVM) hat sich aber extrem hart aufgehängt. destroy+reboot hat funktioniert mit 3 Min. Wartezeit bei “setting up default gateway”

Danach funktioniert auch, was ihr beschreibt.
WEnn man natürlich nicht google sondern duckduckgo nimmt, bringt einem der safe-search von google auch nichts. Die verlinkten seiten sind allerdings dann gesperrt.

Danach ein Update von Core 130 auf Core 131 und voila, der macht mir alle Einstellungen rückgängig, dann reboot:

  • warten bei “Setting up default gateway”
  • jetzt aber: “Ignoring broken upstream name server: 129.143.4.3” für 3-4 Minuten
  • dann: DNSSEC has been set to permissive mode
  • dann funktioniert der Jugendschutzfilter.

Fazit: keine Änderung am IPFire, bis auf den neuen DNS-Server eintragen und schon ist gut. 3-4 Minuten musste man so oder so warten.

VG, Tobias

Hallo!
ich habe auf Core 131 aktualisiert, DNSSEC ausgestellt etc. und wollte den DNS-Filter testen.
Ergebnis:
www.porno.de gesperrt
www.sex.de nicht. Ist das bei Euch auch so, oder habe ich da irgendwo eine Lücke? Diese Adresse hat bisher immer super funktioniert beim Block-Test…

LG
Max

Hallo linuxmuster-Admins,

ich stelle jetzt gerade auf den Belwue-DNS-Filter um:

  1. Alten Belwue-WebProxy raus genommen (über IPfire-WebInferface):

  2. DNS-Server umgestellt (über IPfire-Konsole, Befehl: setup):
    ipfire2

  3. Port 53 nur über Belwue-DNS zulassen:
    Ich bin mir nicht sicher, wie ich die Firewallregeln beim IPfire erstelle.
    a) Ich brauche wohl 2 Regeln, eine zum Zugriff zulassen auf Belwue-DNS über Port 53, eine weitere, die alle Ziele über Port 53 sperrt. Letztere müsste unter der ersten stehen. Ist das richtig?
    b) Das Protokoll in den Regeln ist wohl UDP, wenn ich den das richtig gelesen habe - stimmt das?
    c) Muss ich Zielport oder Quellport 53 setzen?
    d) Auf welche Position sollten die Regeln - ganz nach oben, als unterste portbasierte Regeln, ganz nach unten?

Für jede Hilfe dankbar.
Stefan

Hallo Stefan,

Ud ist korrekt.erst für server erlsuben, dann für alle verbieten. Position ist egal nur Reihenfolge nicht.
Ich hab den dns von beleü aber nur im ipfire drin. Der server fragt den ipfire.

Lg holger

Hallo Holger,
Danke für die Antwort. Zur Info: Ich habe noch LMN6.1 im Einsatz.

Das verstehe ich leider nicht. Was genau soll nur dem Server erlaubt und allen anderen verboten werden?

Das scheint mir ein ganz anderer Ansatz zu sein, als der von Belwue-Seite. Dort wird empfohlen (allen Geräten) Port 53 (Zielport oder Quellport ist mir noch nicht klar) nur auf den Belwue-DNS zu erlauben (Belwue würde das über den Router implementieren, ich aber gerne über den IPfire).

https://www.belwue.de/produkte/dienste/jugendschutzfilter/news.html

Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters zu verhindern, können Sie sich durch unsere Schulhotline anschluss(at)belwue.de, 0711/685-88020) den Zugriff auf Port 53 nach aussen auf den genannten DNS-Server einschränken lassen.

Kannst Du mich aufklären?

Gruß
Stefan

Hallo linuxmuster-Admins mit BelWue als Provider:

Kann mir jemand die Einstellungen bei den Firewallregeln für IPfire sagen?

Ich würde gerne in Anlehnung an den Vorschlag von BelWue, Port 53 zu sperren, den IPfire dafür verwenden (s. vorletzter Beitrag):
Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters zu verhindern, möchte ich den Zugriff auf Port 53 nach aussen auf den BelWue-DNS-Server einschränken.

Holger hat mir dazu was aus dem Urlaub geschrieben, aber daraus wurde ich nicht ganz schlau.

Immerhin habe ich erfahren: UDP als Protokoll, Position in Regelliste ganz unten reicht aus.

Und ich bin mir auch noch nicht sicher, ob ich Zielport oder Quellport 53 setzen muss (wahrscheinlich wohl Zielport).

Vielleicht hat das ja jemand schon so im Einsatz?
Für jede Hilfe dankbar.

Stefan
LMN V6.1

Hallo Stefan,

… bin aus dem Urlaub zurück :slight_smile:

Ich würde gerne in Anlehnung an den Vorschlag von BelWue, Port 53 zu
sperren, den IPfire dafür verwenden (s. vorletzter Beitrag):
Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters
zu verhindern, möchte ich den Zugriff auf Port 53 nach aussen auf den
BelWue-DNS-Server einschränken.

das brauchst du nicht, weil DNS nach draußen im IPFire erstmal sowiso
nicht erlaubt ist: wenn du es also nicht erlaubst, dann geht das auch nicht.

Bei den Cleints gibt der DHCP als DNS den server an und der fragt beim
IPFire: also einfach den BelWü DNS im IPFire eintragen und nach diesem
Post den IPFire einrichten (wegen fehlendem DNSSEC auf Seiten BelWüs):

Port 53 habe ich nicht blockiert: die letzte Regel ist ja sowiso immer
„alles weitere blockiert“

LG

Holger