Hallo Holger,
vielen Dank für den Hint. Das interessiert mich natürlich brennend. Löscht du alle Firefoxprofile von Hand oder scriptest du das?
LG
Marcus
Ein herzliches Hallo an alle,
Bei mir tut der Webfilter auch nur die Hälfte: Direkter Aufruf der Seiten porn.com und sex.de werden gesperrt. Der Google-Porn-Bilder-Test leider nicht.
Ich habe auch alles so gemacht, wie Sebastian es geschrieben hat:
Allerdings habe ich beim Start von IPFire folgende Fehlermeldung:
Kann das damit zusammen hängen und wenn ja, wie bekomme ich die Fehlermeldung weg und den BelWü-Webfilter scharf?
Ich meine, im Moment bin ich schon zufrieden, dass er sperrt und die Sperrseiten gesichert anzeigt (Root-CA war wohl schon installiert).
Längerfristig finde ich, muss durch Medienpädagogik die Sensibilisierung her.
Aber für den Moment bräuchte ich einen scharfen Webfilter.
LG
Marcus
Hallo zusammen,
ich habe jetzt auch auf die DNS-Filterung umgestellt und es scheint bis auf eine Kleinigkeit alles zu funktionieren: Wenn ich Firefox starte erscheint am oberen Bildschirmrand immer die Meldung "Sie müssen sich bei dem Netzwerk anmelden, um auf das Internet zugreifen zu können. " Wenn man die Meldung anklickt wird man auf eine (vom DNS gesperrte) Firefoxseite geleitet, ansonsten kann man die Meldung auch einfach wegblicken bzw. ignorieren, es funktioniert trotzdem alles. Ich habe schon versucht den FF zurückzusetzen, die Chronik zu löschen, die Proxyeinstellungen zu ändern, die Meldung erscheint immer wieder. Wo könnte ich noch suchen?
Viele Grüße
Friedrich
Hallo zusammen,
Ich habe meinen Ipfire letzte Woche gezwungenermaßen neu installieren müssen, dabei habe ich die aktuellste Version, Ipfire 2.21 (x86_64) - Core Update 126, installiert.
Ich kann die Erfahrungen von Alex bestätigen! Bei mir hat die Umstellung auch sofort, ohne sonstige weitere Einstellungen (nichts an der Einstellung bzgl. DNSSEC geändert) geklappt.
VG Daniel
Hi zusammen,
ich habe auch jetzt mal auf DNS-Belwue-Filter umgestellt und meinen IPFire-URL-Filter abgestellt um es zu testen.
In /etc/init.d/unbound reicht es ein return 2 einzufügen.
test_name_server() {
return 2
local ns=${1}in /etc/unbound/unbound.conf hab ich auch
val-permissive-mode: yes
harden-dnssec-stripped:nogesetzt und unbound restartet.
Zunächst werden schon offene Tabs nicht blockiert, auch mit STRG-Shift-R nicht. Man muss eine Zeit warten, dann wird man auch blockiert, oder man restartet den ipfire, dann muss man sowieso ne Zeit warten.
IPFire (auf KVM) hat sich aber extrem hart aufgehängt. destroy+reboot hat funktioniert mit 3 Min. Wartezeit bei “setting up default gateway”
Danach funktioniert auch, was ihr beschreibt.
WEnn man natürlich nicht google sondern duckduckgo nimmt, bringt einem der safe-search von google auch nichts. Die verlinkten seiten sind allerdings dann gesperrt.
Danach ein Update von Core 130 auf Core 131 und voila, der macht mir alle Einstellungen rückgängig, dann reboot:
- warten bei “Setting up default gateway”
- jetzt aber: “Ignoring broken upstream name server: 129.143.4.3” für 3-4 Minuten
- dann: DNSSEC has been set to permissive mode
- dann funktioniert der Jugendschutzfilter.
Fazit: keine Änderung am IPFire, bis auf den neuen DNS-Server eintragen und schon ist gut. 3-4 Minuten musste man so oder so warten.
VG, Tobias
Hallo!
ich habe auf Core 131 aktualisiert, DNSSEC ausgestellt etc. und wollte den DNS-Filter testen.
Ergebnis:
www.porno.de gesperrt
www.sex.de nicht. Ist das bei Euch auch so, oder habe ich da irgendwo eine Lücke? Diese Adresse hat bisher immer super funktioniert beim Block-Test…
LG
Max
Hallo linuxmuster-Admins,
ich stelle jetzt gerade auf den Belwue-DNS-Filter um:
-
Alten Belwue-WebProxy raus genommen (über IPfire-WebInferface):
-
DNS-Server umgestellt (über IPfire-Konsole, Befehl: setup):
-
Port 53 nur über Belwue-DNS zulassen:
Ich bin mir nicht sicher, wie ich die Firewallregeln beim IPfire erstelle.
a) Ich brauche wohl 2 Regeln, eine zum Zugriff zulassen auf Belwue-DNS über Port 53, eine weitere, die alle Ziele über Port 53 sperrt. Letztere müsste unter der ersten stehen. Ist das richtig?
b) Das Protokoll in den Regeln ist wohl UDP, wenn ich den das richtig gelesen habe - stimmt das?
c) Muss ich Zielport oder Quellport 53 setzen?
d) Auf welche Position sollten die Regeln - ganz nach oben, als unterste portbasierte Regeln, ganz nach unten?
Für jede Hilfe dankbar.
Stefan
Hallo Stefan,
Ud ist korrekt.erst für server erlsuben, dann für alle verbieten. Position ist egal nur Reihenfolge nicht.
Ich hab den dns von beleü aber nur im ipfire drin. Der server fragt den ipfire.
Lg holger
Hallo Holger,
Danke für die Antwort. Zur Info: Ich habe noch LMN6.1 im Einsatz.
Das verstehe ich leider nicht. Was genau soll nur dem Server erlaubt und allen anderen verboten werden?
Das scheint mir ein ganz anderer Ansatz zu sein, als der von Belwue-Seite. Dort wird empfohlen (allen Geräten) Port 53 (Zielport oder Quellport ist mir noch nicht klar) nur auf den Belwue-DNS zu erlauben (Belwue würde das über den Router implementieren, ich aber gerne über den IPfire).
https://www.belwue.de/produkte/dienste/jugendschutzfilter/news.html
Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters zu verhindern, können Sie sich durch unsere Schulhotline anschluss(at)belwue.de, 0711/685-88020) den Zugriff auf Port 53 nach aussen auf den genannten DNS-Server einschränken lassen.
Kannst Du mich aufklären?
Gruß
Stefan
Hallo linuxmuster-Admins mit BelWue als Provider:
Kann mir jemand die Einstellungen bei den Firewallregeln für IPfire sagen?
Ich würde gerne in Anlehnung an den Vorschlag von BelWue, Port 53 zu sperren, den IPfire dafür verwenden (s. vorletzter Beitrag):
Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters zu verhindern, möchte ich den Zugriff auf Port 53 nach aussen auf den BelWue-DNS-Server einschränken.
Holger hat mir dazu was aus dem Urlaub geschrieben, aber daraus wurde ich nicht ganz schlau.
Immerhin habe ich erfahren: UDP als Protokoll, Position in Regelliste ganz unten reicht aus.
Und ich bin mir auch noch nicht sicher, ob ich Zielport oder Quellport 53 setzen muss (wahrscheinlich wohl Zielport).
Vielleicht hat das ja jemand schon so im Einsatz?
Für jede Hilfe dankbar.
Stefan
LMN V6.1
Hallo Stefan,
… bin aus dem Urlaub zurück 
Ich würde gerne in Anlehnung an den Vorschlag von BelWue, Port 53 zu
sperren, den IPfire dafür verwenden (s. vorletzter Beitrag):
Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters
zu verhindern, möchte ich den Zugriff auf Port 53 nach aussen auf den
BelWue-DNS-Server einschränken.
das brauchst du nicht, weil DNS nach draußen im IPFire erstmal sowiso
nicht erlaubt ist: wenn du es also nicht erlaubst, dann geht das auch nicht.
Bei den Cleints gibt der DHCP als DNS den server an und der fragt beim
IPFire: also einfach den BelWü DNS im IPFire eintragen und nach diesem
Post den IPFire einrichten (wegen fehlendem DNSSEC auf Seiten BelWüs):
Port 53 habe ich nicht blockiert: die letzte Regel ist ja sowiso immer
„alles weitere blockiert“
LG
Holger
Habe das jetzt gerade mal getestet und konnte von einem Client aus problemlos eine DNS-Anfrage an 8.8.8.8 stellen. D.h. wenn man das unterbinden will, ist eine ipfire-Regel m.E. doch notwendig.
Bei mir sieht die Regel jetzt so aus:
Damit funktioniert eine Abfrage von 8.8.8.8 usw. dann nicht mehr.
Viele Grüße
Andreas
Hallo Andreas,
Habe das jetzt gerade mal getestet und konnte von einem Client aus
problemlos eine DNS-Anfrage an 8.8.8.8 stellen. D.h. wenn man das
unterbinden will, ist eine ipfire-Regel m.E. doch notwendig.
… OK: das war bei mir anders.
Bei mir sieht die Regel jetzt so aus:
Damit funktioniert eine Abfrage von 8.8.8.8 usw. dann nicht mehr.
kannst du mal am Ende der Firewallregeln: die letzte Zeile, anschauen?
Steht da „Richtlinie Blockiert“?
Und was steht bei dir unter „Firewall“->„Firewall Optionen“ dann ganz
unten bei „Standardverhalten der Firewall“?
Blockiert und Blockiert?
LG
Holger
Hallo Holger,
Alles kann ich mit „ja“ beantworten…
Es gibt allerdings folgende Regeln:
Wenn ich die richtig verstehe, dürfen damit alle in der /etc/workstations eingetragenen Hosts überallhin, oder?
Viele Grüße
Andreas