Webfilter in der V7

Hallo,
hat jemand bereits eine wirksame Möglichkeit zum Filtern von Webseiten einrichten können?

1.) Habe als DNS-Server im Router die Server von OpenDNS eingetragen.
2.) Im OPNSense ist als DNS die IP des Routers hinterlegt.
3.) OPNSense Firewall > Regel > LAN ist für das ganze LAN der Internetzugang erlaubt.

Der Versuch den Dienst „OpenDNS“ in OPNSense zu konfigurieren und zu aktivieren brachte auch keinen Erfolg, obwohl ein Test/Update der Benutzerdaten als erfolgreich angezeigt wurde.

Trotz dieser Einstellungen werden keine Webseiten geblockt.

System-Einstellungen-Allgemein:

OPNSense-Firewall-LAN:

Hallo
… was für ein Zufall … gerade heute Morgen habe ich als letzte Aktion vor den Ferien ein Pi-Hole in Betrieb genommen. Das filter nun im WLAN sehr effizient alles raus, was man nicht haben willl … blacklists & whitelists sind natürlich auch möglich.

Der Nachbarthread ist hier:

Schöne Grüße – und schon mal schöne Ferien für alle, die aus NDS kommen…
Michael

Hallo Michael,

danke für deine Info zum Pi-Hole, wollte es aber ohne zusätzliche Hardware versuchen.

In der LMN62 funktioniert die Webfilterung mit den entsprechenden DNS-Servereinträgen im Router einwandfrei. Der IPFire verweist bei DNS-Anfragen auf den Router, dieser auf OpenDNS.

Was noch auffällt ist, dass Schülerrechner nur mit der Firewallregel „LAN > entire LAN“ ins Internet kommen. Das Freischalten des Internets, z.B. durch einen Lehrer von der Schulkonsole aus, ist wirkungslos.

Gibt es da noch Einstellungen bei OPNSense oder Server die ich übersehen habe?
Ohne Webfilterung geht es einfach nicht.

Hi. Ich habe dazu eine VM benutzt, genauer gesagt habe ich einfach eine bestehende VM geklont, umbenannt und dort das Pi-Hole installiert. Arbeitsaufwand: ~30 Min.
Erste Tests waren bereits erfolgreich…
Aber ich kann auch verstehen, wenn du es über eine Plattform abwickeln willst…
Schöne Grüße
Michael

Hallo Michael,

eine VM wäre da sicher eine Alternative. Könntest du mir genaue Angaben dazu machen?
Wo herunterzuladen, Installations- und Konfiguratiosdetails, Stolpersteine, etc.
Nutzt du den ESXi von VMWare oder eine andere Plattform?
Ist übrigens bekannt wo sich die DNS-Server Konfiguration auf dem LMNV7 versteckt?
Möglicherweise lässt sich da ja etwas einstellen.

Hallo.
Wir setzen bei uns Proxmox ein. Ich habe eine VM geklont, auf der Ubuntu 18.04 installiert war. Die virt Hardware ist nix besonderes.
Ich habe das PiHole aber nur im WLAN (blau) aktiviert, also in keinem grünen Netz.

Gefolgt bin ich dabei Methode 1:

In der OPNSense habe ich die IP des DNS für das WLAN dann auf die neue PiHole Adresse gelegt (bei den DHCP Einstellungen).
Danach dann noch die zusätzlichen Einträge in die Blockliste, die im Parallelthread angegeben war und schon hat man eine gute Lösung (die freundlicherweise auch gleich Werbung ins Schwarze Loch schickt)

Schöne Grüße
Michael

Hallo ratrace,

Webfilter in der OPNsense funktioniert gut. Wir haben an zwei Schulen die Shallaliste im Proxy eingetragen. Folgende Anleitung funktionierte gut bei uns:
https://docs.opnsense.org/manual/how-tos/proxywebfilter.html

1 „Gefällt mir“

Hallo TomS u. a.,

auf meiner Todo-Liste steht seit dem Umstieg auf lmn 7 das Filtern mit Hilfe des Belwue-Proxys, so wie von Dominik hier beschrieben:

Im Lichte der Diskussion um Belwue macht dies nun vielleicht nicht mehr unbedingt Sinn, und so habe ich mich nach einer anderen Lösung umgesehen, z. B. dem Eintrag einer Blacklist. Allerdings hat mich schon Schritt 1 der Anleitung, auf die TomS dankenswerter Weise verwiesen hat, verunsichert:

Per default sieht es da bei mir so aus:

Wenn ich, wie empfohlen, auf „Alles entfernen“ klicke, dann befürchte ich, dass evtl. die Blacklist danach funktioniert, aber vieles andere nicht mehr.

Viele Grüße

Wilfried

Hallo Wilfried,

Wenn du die Authentifizierung deaktivierst, dann funktioniert die Internetsperre nicht mehr :wink:

VG, Dorian

Hallo Dorian,

so was Ähnliches habe ich befürchtet. Wenn ich es in den Ferien noch schaffe, lasse ich diesen ersten Schritt mal weg und probiere trotzdem eine Blacklist einzurichten. Macht aber wohl nur Sinn, wenn ich das rote Netz direkt an die Fritzbox hänge, ohne dass der Belwue-Router noch dazwischen ist.

Viele Grüße

Wilfried

Hallo Wilfried,

hmm, ich kann mich nicht erinnern bei uns die Authentifizierung (Punkt 1) entfernt zu haben. Eventuell hatte ich den Punkt überlesen. Ich habe die SSO-Authentifizierung im Proxy weiterhin aktiv und die sollte auch aktiv bleiben. Die Punkte 2-4 sind die relevanten.
Ich erinnere mich dass das Save und Download in der OPNSense-GUI „damals“ etwas störrisch war, d.h. man musste es ggf. mehrfach durchführen. Aber inzwischen sind schon wieder 2 größere Updates der OPNSense gekommen, die das eventuell behoben haben.

Hallo TomS,

danke für deine Antwort, ich will mich in den Sommerferien darum kümmern.

Viele Grüße

Wilfried

Hallo zusammen,
ich möchte diesen Threat noch einmal nach vorne holen. (Wir in Bayern müssen immer so eine IT Umfrage machen. Heute: Welche Filtersoftware setzen Sie an Ihrer Schule ein? ipfire mit Shalla Liste - ist wohl nicht mehr ganz aktuell mit LMN7. Mist. Das hatte ich überhaupt nicht mehr auf dem Schirm :wink:

Dieser Threat ist ja schon älter. Ist das der empfohlene Weg: Shalla in der OPNSense? Oder macht man ein Jahr später etwas anderes? Funktioniert der obige Weg so? Wilfried hat ja nicht mehr geschrieben, ob es so „ok“ war.

Gruß,
Markus

Hallo Markus,

die Filter wie wir sie in der 6.2 hatten funktionieren nicht mehr wegen https. Am besten ist es, wenn Du per DNS filterst. Eine Lösung wäre Opendns. Was auch geht ist das „Pihole“.

Ob das Pihole in der Schule ausreichend ist kann ich Dir nicht sagen, meine aber dass es wer in Betrieb hat.

Gruß

Alois

Hallo Markus,

die Shallalist in der OPNsense funktioniert einwandfrei. Hier wird mit dem Squid Proxy nach Hostnamen bzw. IP-Adressen gefiltert.

Wie man Ausnahmen für z.B. Gruppe teachers, oder admins definieren kann, habe ich hier beschrieben:

https://wiki.linuxmuster.net/community/anwenderwiki:firewall_lmn7:squidproxy:start#remote_acl_ferne_zugangskontrollisten

Die Möglichkeiten der Ausnahmen für teachers oder andere Gruppen sind dann auch der große Vorteil gegenüber DNS basierten Möglichkeiten.

Viele Grüße
Klaus

Hallo Klaus,
ich versuche das gerade umzusetzen. Habe aber „kleinere“ Probleme.

Bei der Whitelist für die Lehrer:

Steht da ^.*$ ???

(Hoch Punkt Stern Dollar)

Weiter unten steht, dass etwas in den Dateien blackList und whiteList stehen muss, weil sie mit 30-linuxmuster-acl.pre-auth.acl.conf eingeladen werden. Ist das wirklich jeweils eine Textdatei und wo muss die abgelegt werden?

Gruß,
Markus

Hallo Markus,

ja, die Regular Expression stimmt.
Vom Anfang der URL ^ ein beliebiges Zeichen . in beliebiger Anzahl * bis zum Ende $ Also jede URL ist erlaubt.

Der Abschnitt ACL Whitelist/Blacklist generell ist optional(habe ich jetzt in der Doku ergänzt). Wenn Du das mit der linuxmuster-acl.pre-auth.acl.conf umsetzt, dann mußt Du im OPNsense Webinterface unter
Dienste - Web-Proxy - Verwaltung - Weiterleitungsproxy - Zugangskontrolliste - Ausnahmeliste und Schwarze Liste
irgendetwas eintragen. Dadurch werden die Dateien auf der OPNsense generiert. Manuell mußt Du keine Textdateien dort ablegen.

Ich hoffe jetzt ist es klarer. Wenn nicht bitte einfach nochmal fragen.

Viele Grüße
Klaus

Hallo Klaus,
ja danke. Jetzt ist es klar.

Ich würde vielleicht noch in anwenderwiki:firewall_lmn7:squidproxy:start [CommunityWiki]
ein Bild von deser Seite Weiterleitungsproxy einsetzen. Ohne diesen Threat hier zu kennen, wäre es mir nur mit dem Wiki nicht klar. Ich habe jetzt z. B. bei Weiterleitungsproxy in Schwarze Liste einfach die Zeile sex.de drin. Damit da eben etwas (sinnvolles) steht.

Gruß,
Markus

Hallo Markus,

Screenshot habe ich ergänzt. Danke für die Anregung!

Viele Grüße
Klaus

1 „Gefällt mir“