Google-Schnueffeleien per Firewall (iptables) aussperren

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
micronius
Beiträge: 48
Registriert: 07.04.2008 10:32:19

Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von micronius » 12.06.2015 17:16:10

Hi,

im Laufe der Jahre hat Google eine ganze Reihe von Analyseroutinen und sonstigen "Diensten" bereitgestellt, die oftmals innerhalb einer HTTP-Datei vom Anbieter sofort aufgerufen werden; hier eine vermutlich korrektur- und erweiterungsbeduerftige Liste:

http://www.google-analytics.com
pagead2.googlesyndication.com
ssl.google-analytics.com
books.google.com
ajax.googleapis.com
http://www.googleadservices.com
jqueryjs.googlecode.com
news.google.com
translate.google.com
googleads.g.doubleclick.net
partner.googleadservices.com
fonts.googleapis.com
picasaweb.google.com
chart.apis.google.com
apis.google.com
feedproxy.google.com
http://www.googletagmanager.com

Pakete, die von diesen URL's kommen (INPUT) oder Daten von meinem Jessie-System dorthin uebermitteln wollen (OUTPUT), moechte ich per iptables-DROP-Regeln sowohl bei IPv4 als auch bei IPv6 abwehren. Allerdings ist mir die exakte Syntax dafuer unklar, auch nach eingehendem Studium von "man iptables". Vor allem moechte ich es vermeiden, die URL's in IP-Adressen aufloesen zu muessen, weil sie sich ja dynamisch aendern koennten. Kennt sich jemand mit dem Aufbau der Regeln genuegend aus? Meine Versuche mit /etc/hosts, /etc/hosts.allow und /etc/hosts.deny waren leider nicht erfolgreich. Vielen Dank fuer Rueckmeldungen!

micronius

DeletedUserReAsG

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von DeletedUserReAsG » 12.06.2015 17:19:27

Manche Leute packen die betreffenden Domains einfach hinter 127.0.0.1 in die /etc/hosts, wodurch sie fortan dorthin auflösen.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von dufty2 » 12.06.2015 19:36:57

micronius hat geschrieben:Meine Versuche mit /etc/hosts <snip> waren leider nicht erfolgreich.
Mmmh, benutze auch gerne http://winhelp2002.mvps.org/hosts.htm
Was soll daran nicht funktionieren?

Radfahrer

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von Radfahrer » 12.06.2015 19:51:26

micronius hat geschrieben:Meine Versuche mit /etc/hosts, /etc/hosts.allow und /etc/hosts.deny waren leider nicht erfolgreich.
Was heißt, nicht erfolgreich?
Was genau hast du denn gemacht?

tomi89
Beiträge: 269
Registriert: 21.08.2014 00:21:52

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von tomi89 » 17.06.2015 12:30:35

Mindestens 3 der genannten Domains sind keine reinen Analysemethoden.

Vielleicht solltest du die besser nochmal genau prüfen.

Es gibt auch nützliche Inhalte, welche von Google kommen und auf anderen Seiten eingebunden werden, was auch zur korrekten Funktion der Seite erforderlich ist.

In Zukunft wird man sich daran gewöhnen müssen, vor allen bei Google und Facebook (internet.org) als Contenthoster.

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von daniel h » 02.07.2015 03:19:52

Hallo!

Genau das selbe versuche auch schon den ganzen Abend, aber egal auf welche Art und Weise ich meine Einträge in der /etc/hosts mache werden die Seiten NICHT geblockt.

Der Haken, habs eben nochmal durchgecheckt. bei tor. Ich suche noch nach der Lösung.

Das google Content für verschiedene Seiten liefert ist mir auch schon aufgefallen, da lässt sich nur wenig aussperren.

Gruß,
Daniel

Radfahrer

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von Radfahrer » 02.07.2015 04:22:55

daniel h hat geschrieben:...aber egal auf welche Art und Weise ich meine Einträge in der /etc/hosts mache werden die Seiten NICHT geblockt.
Na, dann zeig doch mal, wie du die Einträge machst. Niemand hier hat eine funktionierende Glaskugel.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von rendegast » 02.07.2015 06:16:47

Problem das per iptables zu versuchen,
daß die Server unter denselben IP laufen (können).
Die Verschlüsselung (wenn jetzt nicht, dann irgendwann später) vehindert Content-Scannning.

Somit bleibt nur DNS-Manipulation, /etc/hosts gehört dazu.
Für ein ganzes Netzwerk einen DNS-Proxy wie Debiandnsmasq entsprechend einrichten.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von daniel h » 02.07.2015 10:29:01

Na, dann zeig doch mal, wie du die Einträge machst. Niemand hier hat eine funktionierende Glaskugel.
Ich habs zwar schon erklärt, aber gerne! 8)

127.0.0.1 www.google.
127.0.0.1 .google.de
127.0.0.1 google.de
0.0.0.0 google.de

Anleitungen gibts ja genug, hab mich ans ubuntu wiki gehalten. Fakt ist, mit Tor zusammen klappts auf meine Maschine nicht. Ich blocke jetzt über privoxy. geht genauso gut.

Benutzeravatar
4A4B
Beiträge: 925
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von 4A4B » 02.07.2015 11:57:21

Du musst schon die vollständigen Domainnamen eintragen:

Code: Alles auswählen

127.0.0.1 google.de
127.0.0.1 www.google.de
127.0.0.1 google.com
127.0.0.1 www.google.com
# und so weiter...
hab mich ans ubuntu wiki gehalten
Meinst du diese Seite:

http://wiki.ubuntuusers.de/HOSTS

Hast du möglicherweise die "Beispiele für unzulässige / unwirksame Einträge" als Grundlage für deine Einträge genommen?

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von daniel h » 02.07.2015 12:27:46

Das war nur ein kurzes Beispiel. Ich habe die wiki Seite, nach meiner Meinung, ganz gelesen.
Fakt ist das Firefox die selbe Seite mit einer identischen hosts Datei ohne Tor blockt, mit Tor nicht.
Ich nutze die tor version 0.2.5.12-1, werd heute Abend mal nach eventuellen Bugs etc Ausschau halten.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von Lord_Carlos » 02.07.2015 12:42:16

Kenne mich mit Tor nicht so aus, aber hier steht was von version 4.5.2
Ich weis nicht wie der Tor browser die deomains aufloest.

Ich nehme an du benutzt unterschiedliche browser fuer Tor und "normales internet"?

______

Keine Loesung, aber vielleicht eine Alternative: Ich benutzte das "Ghostery" Browser plugin. Das blocked nicht nur google sondern auch eine ganze maenge andere tracker.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von mistersixt » 02.07.2015 14:57:07

https://lists.torproject.org/pipermail/ ... 31137.html

Sprich, der Tor-Browser ignoriert bewusst /etc/hosts.

Gruss, mistersixt.

PS: Ach ja, das Disconnect.me Plugin für Firefox ist quasi synonym zu Ghostery, kann man auch gut parallel laufen lassen, siehe http://disconnect.me.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE

daniel h
Beiträge: 266
Registriert: 10.03.2008 17:41:40

Re: Google-Schnueffeleien per Firewall (iptables) aussperren

Beitrag von daniel h » 02.07.2015 23:44:39

https://lists.torproject.org/pipermail/ ... 31137.html

Sprich, der Tor-Browser ignoriert bewusst /etc/hosts.
*Schmunzel*

Ich sollte mir angewöhnen in meine Recherchen auch Englisch einzubeziehen, habe mit dem selben Satzlaut in Deutsch exakt eine Anfrage gefunden, und die lief ins Leere...

Danke dafür.
Von Plugins bin ich nicht so der Freund, versuche das ganze lieber mit Bordmitteln zu lösen. Ist zwar aufwendiger, anfangs, aber mir fehlt einfach das Vertauen. adblockplus stand ja auch schon in der Kritik, genauso wie noscript. Habe ich allerdings nur am Rande mitbekommen.

Ich werde die /etc/hosts zukünftig parallel zur Filterliste im privoxy pflegen, hatte heute Mittag eine Seite die auf die schnelle gar nicht funktionieren wollte, meine Frau wollte das aber so! ;) War ganz schön erstaunt was da alles mit reinkommt wenn der Proxy erstmal weg ist. Eine Schande!

Ich benutze ausschließlich tor, neuerdings. Ich wüsste auch nicht wo es Sinn machen sollte darauf zu verzichten. iptables werde ich auch bald noch in Angriff nehmen, da kann ich bestimmt noch was ändern und vor allen Dingen lernen.

Jetzt trinke ich aber erstmal ein schönes Bier, muss ja wieder reinholen was ich über den Tag rausgeschwitzt habe! hehe

Guts Nacht

Antworten