Hallo Alex,
das hat soweit bei mir auch ohne Änderungen in den Dateien funktioniert. Der Härtetest ist aber zum Beispiel bei google “porn” einzugeben und dann bei den Ergebnissen auf “Bilder” zu klicken. Hier funktioniert die Filterung nur, wenn safesearch voreingestellt ist, und zwar so, dass es der Nutzer nicht abschalten kann. Diese Fuktion habe ich erst nach Änderung der Dateien erhalten.
Viele Grüße
Wilfried
Hallo zusammen,
ich habe nun folgendes festgestellt:
Mache ich die folgende Änderung rückgängig:
dann gibt es beim Booten des ipfires wieder die lange Wartezeit und folgende Meldung:
Dann funktioniert aber der Jugendschutzfilter (Umleitung und Google-Safesearch) auch ohne diese Anpassungen an der unbound-Konfiguration:
Viele Grüße
Andreas
Hallo Wilfried,
ich habe den „porn“-Bildertest jetzt auch durchgeführt: Einmal mit deinen Änderungen, und einmal ohne die Änderungen (dazwischen immer den IPFire neu gestartet). Die Ergebnisse der Bildersuche sind absolut identisch - und sie sind gefiltert.
Für mich ist damit alles gut: Der Belwue-DNS tut was er soll, und das mit den Standard-Configeinstellungen vom IPFire. Das ist mir am liebsten weil ich nicht im Blick haben muss ob diese Einstellungen bei einem Core-Update wieder überschrieben werden (ich habe zur Zeit Core 122).
LG Alex
Ich habe aus demselben Grund jetzt auch alles wieder zurück auf die ipfire-Standardeinstellungen gesetzt, damit funktioniert bei mir die Filterung auch (derzeit noch core 119). Einziges „Problem“ ist eben die Verzögerung beim Booten bis DNSSEC in den „permissive mode“ geht.
Viele Grüße
Andreas
Hallo Alex,
hätte es auch gerne mit weniger Änderungen, da aber ohnehin demnächst OPNsense als Firewall ansteht, lasse ich es mal so.
Bei OPNsense wäre wünschenswert, dass es wieder eine Möglichkeit der Deaktivierung mittels der Schuko gibt, sonst geht das Gemecker wegen der Filterung gewünschter Seiten los.
Viele Grüße
Wilfried
Hallo Wilfried,
hätte es auch gerne mit weniger Änderungen, da aber ohnehin demnächst
OPNsense als Firewall ansteht, lasse ich es mal so.
Bei OPNsense wäre wünschenswert, dass es wieder eine Möglichkeit der
Deaktivierung mittels der Schuko gibt, sonst geht das Gemecker wegen der
Filterung gewünschter Seiten los.
ich denke nicht, dass wir das bieten: den DNS Filter per SchuKo ab zu
schalten.
Es wird wieder einen URL Filter geben: der greift aber nicht bei https
Seiten: deswegen muss der DNS Filter her.
Es wird also zweistufig bleiben: DNS immer, URL Filter abschaltbar.
LG
Holger
Hallo Holger,
OK, war mir nicht so bewusst, dass es zweistufig läuft.
Viele Grüße
Wilfried
Hallo Wilfried,
mir ist nicht klar, was Du in oberen blauem Fenster geändert hast? Ich habe jetzt nur die unbound.conf geändert, es reicht aber nicht, er verwendet den BelWü-DNS nicht.
LG
Max
ok, ich habs gefunden, Holgers Post. Alles auskommentieren…
Und der Filter geht, wenn auch der Boot lange dauert.
LG
Max
Hallo Leute,
das mit dem DNS-Filter ist in Zeiten, in denen 90% des Verkehrs über HTTPS läuft, sicher der richtige Ansatz. Doch wie sieht es bei der BelWue-Lösung mit der Konfigurierbarkeit aus?
Hallo Michael,
das mit dem DNS-Filter ist in Zeiten, in denen 90% des Verkehrs über
HTTPS läuft, sicher der richtige Ansatz. Doch wie sieht es bei der
BelWue-Lösung mit der Konfigurierbarkeit aus?
- Kann ich für meine Schule bestimmte Seiten abweichend erlauben
(white list) oder verbieten (black list)?
das weiß ich nicht.
Da müßtest du mal bei BelWü anrufen und fragen.
- Kann ich einzelne Rechner im blauen Netz für alle Seiten
freischalten, also auf einen “normalen” DNS umbiegen?
… nun ja: wenn du Port 53udp von Blau nach Rot erlaubst, dann kann in
Blau jeder den DNS verwenden, den er mag.
Welcher das ist kannst du optional vorgeben indem du im DHCP eben einen
anderen als den BelWü FilterDNS angibst.
Ungetestet, sollte aber klappen.
LG
Holger
Hallo an alle,
Bei uns steht nun die Umstellung auf DNS Filterung an.
ich weiß, ich bin spät dran, aber man hat ja auch noch anderes zu tun…
Nach der Lektüre dieses Threads habe ich folgendes mitgenommen:
Bitte korrigiert mich, wenn ich da was falsch verstanden habe. Vor allem Punkt 3 macht mir Sorgen. Es wäre ja noch akzeptabel, wenn ich tätig werden müsste, um für eine Hitlerreden-Recherche von Seminarkursschülern die Firewall zu ändern, aber dann noch erklären müssen, dass sie einen anderen DNS brauche - nöö, das ist nicht praktikabel. Hat da nicht jemand eine einfachere Lösung gefunden?
Danke für Vorschläge
Hallo Uwe,
- Kollegen per Knopfdruck zu ermöglichen, die Filterung abzuschalten
ist nicht möglich, nur wer Zugang zur Firewall hat, kann die
Firewallregel für Port 53 abschalten muss dann aber auch noch lokal
einen anderen DNS eintragen.
… ich würde sagen: Filter Abschalten ist nicht mehr möglich: das ist zu
aufwändig.
Der Vorteil der DNS Filterung ist, dass sie auch https filtert.
Der NAchteil ist, dass es viel unschärfer ist.
Ich nehme also an,dass du eher keine „zuviel“ gesperrten Seiten
bekommst: eher „zuwenig“…
LG
Holger
Hallo Allerseits,
ich habe über die Herbstferien die Umstellung auf den “Jugendschutzfilter-DNS-Server” von Belwue vorgenommen
und habe jetzt große Probleme beim Zugriff auf Webseiten.
Hier die durchgeführten Schritte:
a) Im IP-Fire in der Datei /etc/init.d/unbound im Bereich test_nameservers alles auskommentiert bis auf "return 2“.
b) Im IP-Fire in der Datei /etc/unbound/unbound.conf die Optionen
val-permissive-mode: yes und
harden-dnssec-stripped:no
gesetzt
Im IPFire mit setup den DNS-Server auf 129.143.4.3 gesetzt.
IPFire neu gestartet.
Namensauflösungen getestet mit nslookup und dig:
a) Client: geht ohne Probleme und schnell
b) Server: geht ebenfalls ohne Probleme und schnell
c) IPFire: geht nur teilweise, bricht teilweise mit einem Fehler ab und dauert sehr lange???
——————————————————————
Im Schulnetz wirkt sich das ebenfalls sehr seltsam aus:
Wird eine Seite das erste Mal aufgerufen, dauert es ewig, bis sie geladen wird.
Werden von einem Rechner aus ein paar Seiten gleichzeitig aufgerufen,
wird der Aufruf der Seiten teilweise abgebrochen.
Werden die Seiten GANZ LANGSAM nacheinander aufgerufen geht es.
Der Up-und Download von Dateien ist aber gar kein Problem. (> 60 MBit in beide Richtungen)
Ändere ich im Firefox-Profil die Proxy-Einstellungen zwischen „No Proxy“, „Automatisch Erkennen“, „vom System übernehmen“ und „Manuell festlegen“ geht es mal nur mit der einen und mal nur mit der anderen Einstellung,
mit der momentanen Tendenz, dass man „No Proxy“ einstellen muss, weil es sonst nicht geht.
Vor der Umstellung mit den oben beschriebenen Schritten war der Aufruf der Seiten zwar auch zu zäh für unsere gute Netzanbindung, was auch hier mit DNS-Problemen (DNSSEC) zu tun hatte,
aber die Seiten wurden zumindest zuverlässig überhaupt geöffnet.
——————————————————————
Der derzeitige Zustand ist nicht zumutbar, da sich die Seiten so unzuverlässig mal öffnen
und mal nicht und dann etwas später doch wieder.
Daher bin ich für jeden Hinweis oder Tipp dankbar.
——————————————————————
Zum System:
KVM-Virtualisierung auf Ubuntu-Server mit IPFire Core 110 und Linuxmuster.net-Server 6.2
(ja, an die höheren Cores habe ich mich erstmal nicht mehr herangetraut,
nachdem ich nur Ärger nach dem Update von 102 auf 110 hatte)
Schönen Gruß,
Sebastian
Hallo Sebastian,
Läuft der unbound-Server auf dem Ipfire? Um das zu prüfen auf der Konsole des IPFire folgenden Befehl absetzen:
/etc/init.d/unbound statusGrüße,
Sven
Hallo Sven,
ja. Der Aufruf ergibt:
[root@ipfire ~]# /etc/init.d/unbound status
unbound is running with Process ID(s) 4442.
Schönen Gruß,
Sebastian
Hallo Holger,
ich bin gerade auch dabei, den IPFire umzustellen. Hab das erstmal auf die lange Bank geschoben, muss jetzt jedoch ran.
Welche andere DNS hast du hier definiert?
Seit ihr hier weitergekommen? Wie seit ihr mit den grünen WLAN-Clients verfahren?
Grüße und Danke
Marcus
Hallo Marcus,
Wollen wir das nicht, definieren wir einen anderen DNS für Blau (und erlauben Port 53udp von Blau nach Rot). Das werde ich wohl erstmal so machen.Welche andere DNS hast du hier definiert?
den nicht filternden BelWü DNS: also 129.143.4.2 (aus dem Kopf …).
Bei den grünen WLAN Clients ist das nicht so einfach… Das müssen wir testen (und noch ein wenig drüber nachdenken).Seit ihr hier weitergekommen? Wie seit ihr mit den grünen WLAN-Clients
verfahren?
WLAN Clients in Grün sind keine BYOD Geräte sondern Schuleigene.
Diese bekommen die CA eingespielt.
Haben sie das noch nciht, dann wird die Sperrseite nicht angezeigt:
Filterung funktioniert aber.
Vorerst kann ich damit leben, bis alle die CA haben.
LG
Holger
Hallo Holger,
den nicht filternden BelWü DNS: also 129.143.4.2 (aus dem Kopf …).
Vielen Dank für den hint.
WLAN Clients in Grün sind keine BYOD Geräte sondern Schuleigene.
Diese bekommen die CA eingespielt.
Haben sie das noch nciht, dann wird die Sperrseite nicht angezeigt:
Filterung funktioniert aber.
Vorerst kann ich damit leben, bis alle die CA haben.
Die CA würde ich über das Basisimage in den Firefox einpflegen. Hast du einen anderen Weg, wie du die CA deinen Clients vergibst?
LG
Marcus
Hallo Marcus,
Die CA würde ich über das Basisimage in den Firefox einpflegen. Hast du
einen anderen Weg, wie du die CA deinen Clients vergibst?
so mache ich das auch.
Aber Vorsicht: bei mir sind die Firefox Profile im Home: ich muss also
bei allen usern im Home das Firefoxprofil löschen: sonst erhalten sie
nicht das neue.
Das könnte bei dir auch so sein.
LG
Holger