Traffic Spielkonsole

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Traffic Spielkonsole

Beitrag von daniel h » 12.12.2016 01:36:43

Hallo.

Wir haben eine wiiu. Die wird in Zukunft öfter online sein wegen den Kids. Jetzt hätte ich gerne die Kontrolle über die ausgehenden Verbindungen, in der Art wie ich es von privoxy kenne. Heißt ich will den Traffic mitschneiden und wenn möglich blocken können.

Meine Frage ist: Hat das schonmal jemand gemacht und zu welchem Ergebnis bist du gekommen?

Ich habe noch nie ein solches Netzwerk errichtet, aber im Prinzip unterscheidet sich doch die Konsole nicht anders als ein x beliebiger Rechner. Die Frage ist nur wie hoch der Nutzen ist. Ich habe einen alten Lappi hier rumfliegen den ich als Server nutzen könnte. Die wii baut ihre Verbindung über wlan auf.
Aufgebaut wäre das ganze so:

Router - Server - wiiu

Lohnt sich der ganze Aufwand überhaupt? Privoxy kann doch als Proxy Server agieren. Wenn ich die wiiu über einen LAN Adapter anschließe ( den ich erst kaufen müßte ), kann ich mir dadurch eventuelle andere Schnittstellen ( dnsmasp hostapd ) sparen sondern einfach auf einem beliebigen Port lauschen?
Man sieht gleich das ich von der Sache praktisch keine Ahnung habe.

Wie gesagt, ich will der wiiu nur nötigen Traffic zu Nintendo und den nötigen Servern für Onlinespiele erlauben. Sollten andere Anfragen darunter sein ( google, wer auch immer ) will ich die blocken.

Vielen Dank für Tipps und konstruktive Kritik!

Daniel

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Traffic Spielkonsole

Beitrag von MSfree » 12.12.2016 08:53:15

daniel h hat geschrieben:Router - Server - wiiu
Aus netzwerktechnischer Sicht ist der "server" ebenfalls ein Router.
kann ich mir dadurch eventuelle andere Schnittstellen ( dnsmasp hostapd ) sparen sondern einfach auf einem beliebigen Port lauschen?
Nein. Wenn du die Wii in ein eigenes Subnetz isolieren willst, muß der "server" als Router konfiguriert werden, also Netzwerkverkehr durchs eine Loch (WLAN) rein und zum anderen Loch (Ethernet) raus. Sonst könnte sich die Wii an den "server" vorbei mogeln.
Lohnt sich der ganze Aufwand überhaupt?
Der Lerneffekt, den man dadurch bei der Netzwerkverwaltung bekommt, lohnt sich immer.

Ob sich damit die Sicherheit erhöht, ist eher Geschmacksfrage. Um Spiele spielen zu können, muß man wohl oder übel einige Löcher öffnen oder auf Spiele im Netzwerk verzichten. Sind die Löcher erst auf, können auch Schädlinge diese Löcher nutzen. Dazu kommt, daß unterschiedliche Spiele nicht unbedingt über den selben Port kommunizieren und nicht einmal über den selben Zentralserver abgewickelt werden, so daß man am Ende doch eine große Liste hat, über die man raus kommt. Das Sicherheitskonzept, nach aussen möglichst wenig rauszulassen, wird dadurch mit der Anzahl der Spiele immer löcheriger.

Dazu kommt, daß man für jedes neue Netzwerkspiel möglicherweise ein neues Loch durch den Paketfilter bohren muß. Ein neues Spiel läuft also oft nicht auf Anhieb, sondern man muß erstmal die entsprechenden Ports zu den jeweiligen Zielservern öffnen.

Ob man sich das am Ende antun möchte, ist eine Frage der persönlichen Einstellung.
Privoxy kann doch als Proxy Server agieren.
Privoxy spielt nur für HTTP-Verkehr eine Rolle, selbst HTTPS kann privoxy nur auf Hostnamen, jedoch nicht auf komplette URLs filtern.

Für Spiele werden sowieso ganz andere Netzwerkprotokolle verwendet, so daß privoxy hier ungeeignet ist. Zwar wird die Wii Spiele auch per HTTP oder HTTPS runterladen, der eigentliche Netzwerkverkehr während des Spiels ist aber sicher nicht HTTP(S) und fließt somit am Proxy vorbei.

Die Software, mit der du den Netzwerkverkehr einschränken kannst, heißt Netfilter (siehe http://netfilter.org) und das Programm, mit dem man soche Filter einrichtet und wartet, heißt iptables.

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Traffic Spielkonsole

Beitrag von daniel h » 12.12.2016 10:07:36

Alles klar.

Also einfach mal was dazwischen setzen was nur protokolliert ist nicht. Soll ja auch so sein, sonst wärs ja easy das ganze zu knacken.

Naja, ich denke ich verputze jetzt erstmal meinen Flur und denke darüber über weitere Schritte nach.

Danke für den Wegweiser,

Daniel

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Traffic Spielkonsole

Beitrag von MSfree » 12.12.2016 10:42:16

daniel h hat geschrieben:Also einfach mal was dazwischen setzen was nur protokolliert ist nicht.
Einfach etwas dazwischen setzen, ist gar nicht so schwierig. Aber wie gesagt, das ist nur mit zwei Netzwerkschnitstellen sinnvoll. Netzwerkverkehr zu blockieren und zu protokollieren ist mit sehr wenig Aufwand machbar.

Aus den Protokollen lassen sich die notwendigen Löcher erfahren, und daraus ließen sich auch Ausnahmeregeln für den durchzulassenden Verkehr definieren. Es ist aber praktisch mit jedem neuen Spiel mit erneutem Aufwand verbunden.

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Traffic Spielkonsole

Beitrag von uname » 12.12.2016 16:33:37

Den Rechner als Router inkl. WLAN-AP konfigurieren, iptables/NAT und DNS-Masquerading konfigurieren/installieren und dann mit Debianwireshark an der Leitung horchen. Siehe z.B. https://wiki.ubuntuusers.de/Router . Statt sudo natürlich als root arbeiten und das sudo-Zeug weglassen.

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Traffic Spielkonsole

Beitrag von daniel h » 13.12.2016 13:39:47

Hallo.

sudo gibt es bei mir gar nicht mehr. Ich bin über die Woche zu beschäftigt um mich darum zu kümmern, aber am Wochenende schau ich mir die Sache mal genauer an. Ich gebe dann Feedback wie weit ich es gebracht habe oder ob dann gar nix mehr geht! :)

Das wird eher Sonntag, bin zu eingespannt.

Grüße,
Daniel

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: Traffic Spielkonsole

Beitrag von FragDenPinguin » 07.01.2017 19:08:10

MSfree hat geschrieben: Ob sich damit die Sicherheit erhöht, ist eher Geschmacksfrage. Um Spiele spielen zu können, muß man wohl oder übel einige Löcher öffnen oder auf Spiele im Netzwerk verzichten. Sind die Löcher erst auf, können auch Schädlinge diese Löcher nutzen. Dazu kommt, daß unterschiedliche Spiele nicht unbedingt über den selben Port kommunizieren und nicht einmal über den selben Zentralserver abgewickelt werden, so daß man am Ende doch eine große Liste hat, über die man raus kommt. Das Sicherheitskonzept, nach aussen möglichst wenig rauszulassen, wird dadurch mit der Anzahl der Spiele immer löcheriger.

Dazu kommt, daß man für jedes neue Netzwerkspiel möglicherweise ein neues Loch durch den Paketfilter bohren muß. Ein neues Spiel läuft also oft nicht auf Anhieb, sondern man muß erstmal die entsprechenden Ports zu den jeweiligen Zielservern öffnen.
Hierzu frage ich mich, ob man theoretisch die Löcher, die ein bestimmtes Spiel braucht, mitloggen könnte, um für das gerade eingelegte Spiel immer nur gerade diese Löcher zu öffnen. Sobald der Server eines anderen Spiels angesprochen wird (Kids haben die Disc gewechselt), werden die Löcher aller anderen Spiele wieder verschlossen. Ließe sich vielleicht mit einem dynamischen Wechseln der iptables-Regeln realisieren.

Welche Befehle/Software zusätzlich zu iptables könnte man nutzen?

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Traffic Spielkonsole

Beitrag von MSfree » 07.01.2017 20:40:41

Nunja, bei mir ist der Netzwerkfilter mit iptables auf dem Router eingerichtet. Ob da jemand auf seinem Daddelrechner eine DVD wechselt, bekommt der Router ja nicht mit, so daß wechselnde Regeln hier ziemlich schwierig realisierbar sind, eigentlich nur mit Login auf dem Router, editieren der Regeltabelle, laden der Tabelle, ausloggen.

FragDenPinguin
Beiträge: 34
Registriert: 06.01.2017 05:41:47

Re: Traffic Spielkonsole

Beitrag von FragDenPinguin » 07.01.2017 21:05:06

Vielleicht ist meine Vorstellung von dem Problem auch falsch. Ich dachte mir das jedenfalls so:

Am Anfang sind keine Verbindungen nach außen erlaubt.

iptables fängt nun eine Verbindung des Spiels "SuperDuperWorld" (ausgehend aus dem Hausnetz) ab und beschließt daraufhin, die Zugänge zu allen Servern, die "SuperDuperWorld" bekanntermaßen so braucht, zu öffnen. Es wird dann kräftig gedaddelt, aber irgendwann kommt dann (wieder von innen) plötzlich eine Anfrage, die "SuperDuperWorld" niemals machen würde, sondern die bekanntermaßen von "XYZ-Racer Turbo 2000" stammt. iptables beschließt daraufhin, die Verbindungen zu allen Servern, die "SuperDuperWorld" benötigt, zu kappen, aber die von "XYZ Racer Turbo 2000" dafür zu öffnen.

Der Auslöser für das Wechseln der iptables-Regeln ist jeweils eine charakteristische Anfrage des jeweiligen Spiels nach außen, also Konsole -> Internet. Typischerweise ein Server, mit dem sich das Spiel anfangs verbindet, wenn man den Online-Modus startet. Stellt sich natürlich die Frage, ob es sowas für jedes Spiel gibt.

BenutzerGa4gooPh

Re: Traffic Spielkonsole

Beitrag von BenutzerGa4gooPh » 07.01.2017 21:35:41

@FragdenPinguin: Wenn der Anwender durch die gestartete Anwendung Firewall-Regeln ändern kann, braucht man diese nicht, zumindest nicht in Richtung innen nach aussen. Da kann man auch gleich alles erlauben, was auch viele in dieser Richtung tun. Firewall ist schon vom Admin in weiser Voraussicht zu bedienen. Oder alles Sperren, Logs nachvollziehen, das nur vom Admin erwünschte zulassen. "Aufbohren" a la MSFree. :wink:

Auch mal ne Frage, bin ja leider aus dem Alter raus: Warum besorgt man nicht einfach Offline-Spiele für Kinder/Jugendliche, so wie wir früher? Viele gab es auch kostenlos.

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Traffic Spielkonsole

Beitrag von daniel h » 11.01.2017 23:55:43

Um ehrlich zu sein habe ich das ganze Projekt inzwischen verworfen weil ich keinen Bock auf riesen Aufwand für verhältnismäßig wenig Ertrag habe. Da kann ich mir genauso gut eine Blacklist in die Fritzbox schreiben.
Auch mal ne Frage, bin ja leider aus dem Alter raus: Warum besorgt man nicht einfach Offline-Spiele für Kinder/Jugendliche, so wie wir früher? Viele gab es auch kostenlos.
Der Löwenanteil sind Offline Spiele. Das ist auch so gewollt. Aber zum Beispiel wollten meine Kinder unbedingt Splatoon haben, was eben Online recht interessant ist. Nein, deine Frage sollte eher lauten, warum spielen Kinder nicht mehr Offline so wie früher, das war doch immer kostenlos.

Weil Zeiten sich ändern.

Ein weiteres Offline Spiel das uns als Familie schon spannende Stunden gebracht hat ist Catan. Gibts auch Online, für Linux! :)

Antworten