Auflösung von unerwünschten URLs: DNS oder Proxy?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
hugediggs
Beiträge: 171
Registriert: 26.07.2012 22:40:23

Auflösung von unerwünschten URLs: DNS oder Proxy?

Beitrag von hugediggs » 19.01.2017 11:59:42

Vor Weihnachten kaufte ich mir einen "Smart"-TV. Aus Interesse schnitt ich mal den Traffic mit und bekam das große Kot...
Leider bin ich darauf angewiesen, da Kodi und Konsorten bisher nicht zuverlässig mit Netflix umgehen können.

Jedenfalls möchte ich gern für den Smart-TV den Internetzugriff einschränken.Highlight: Obwohl ich einen DNS-Server inkl. Gateway in den Netzwerkeinstellung des Gerätes angab, funkt das Ding immer zum Google-DNS-Server.
Meine FritzBox ist keine große Hilfe, sodass ich auf einen *WRT/Lede-Router zurückgriff, wo dnsmasq drauf läuft. DNS umgebogen, passt.
Nun las ich im Netz, dass solche Sachen auf DNS-Ebene nicht wünschenswert sind und man stattdessen einen herkömlichen Proxy nutzen solle. Auch kann ich dnsmasq leider nicht so konfigurieren (AFAIK!) , dass die Einstellungen nur auf eine IP matchen (Restnetzwerk soll ungehindert Zugriff erhalten) oder statische Subdomains mit mehreren Domains (hbbtv.irgendwas.tdl) geblockt werden.

Wenn ich weiterhin DNS nutzen würde, müsste ich wohl auf Bind9 (bzgl. sog. "zones") umsatteln, wäre aber selbst bei der Nutzung von SSL sicher, was ein normaler HTTP-Proxy nicht mitbekommen würde. Perspektivisch könnte man einen vorhandenen Werbe-Filter (Privoxy) ebenfalls teilweise in die DNS-Lösung integrieren.

Wie würdet ihr das angehen?

BenutzerGa4gooPh

Re: Auflösung von unerwünschten URLs: DNS oder Proxy?

Beitrag von BenutzerGa4gooPh » 19.01.2017 14:00:41

Gibt doch was von Ratiopharm, aeh OpenWrt: https://forum.openwrt.org/viewtopic.php?id=59803
(Scheint aktuell zu sein, Einganspost wurde kürzlich editiert. Version 2.1.x)
Näheres auch hier: https://gist.github.com/teffalump/7227752
EXEMPT# (Y/N): Exempt ip range from filtering (between START_ RANGE and END_RANGE)
sowie White- und Blacklists anscheinend möglich.

Egress Filtering kann OpenWrt bestimmt auch: Für IP des Smart-TV nur bestimmte Ziel-IPs (und Ports?) zulassen, Whitelist. Ab und an vlt. mal Update zulassen, Filter dazu manuell erweitern. Tja, mit Smart-TV surfen geht so nicht mehr, gucken schon. Man kann eben nicht alles haben ...
(Falls der TV unbedingt DHCP-Client spielen will, dann per DHCP-Server feste IP-MAC-Zuordnung.)

Einen DNS kann man (auch) per DHCP vorgeben. Sollte für Clients der Router sein, der dann tut: Weiterleitung an selbst eingestellte DNS-Server (dnsmasq) oder eigener Resolver (unbound).
Zuletzt geändert von BenutzerGa4gooPh am 19.01.2017 14:56:38, insgesamt 18-mal geändert.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Auflösung von unerwünschten URLs: DNS oder Proxy?

Beitrag von Lord_Carlos » 19.01.2017 14:04:45

Ich weis nicht wie man es genau implementiert, aber ich wuerde versuchen den TV komplett zu spaeren, und dan nur so viel freigeben bis Netflix laeuft.
Also alle Pakete die vom TV kommen wegwerfen, es sei denn die IP / domain hat was mit netflix am hut.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: Auflösung von unerwünschten URLs: DNS oder Proxy?

Beitrag von spiralnebelverdreher » 19.01.2017 16:41:53

hugediggs hat geschrieben:Vor Weihnachten kaufte ich mir einen "Smart"-TV. Aus Interesse schnitt ich mal den Traffic mit und bekam das große Kot...
Leider bin ich darauf angewiesen, da Kodi und Konsorten bisher nicht zuverlässig mit Netflix umgehen können.
Was für einen Fernseher genau hast du dir denn gekauft? Ich habe ähnliche Erfahrungen (viewtopic.php?f=30&t=159565) mit einem LG TV gemacht und mich würde interessieren ob andere Hersteller diesbezüglich noch schlimmer agieren als LG.

BenutzerGa4gooPh

Re: Auflösung von unerwünschten URLs: DNS oder Proxy?

Beitrag von BenutzerGa4gooPh » 19.01.2017 17:21:44

@spiralnebelverdreher: https://forum.opnsense.org/index.php?topic=4083.0
Hatte beim Stöbern an deine Frage gedacht. :wink:

hugediggs
Beiträge: 171
Registriert: 26.07.2012 22:40:23

Re: Auflösung von unerwünschten URLs: DNS oder Proxy?

Beitrag von hugediggs » 19.01.2017 18:14:59

spiralnebelverdreher hat geschrieben:
hugediggs hat geschrieben:Vor Weihnachten kaufte ich mir einen "Smart"-TV. Aus Interesse schnitt ich mal den Traffic mit und bekam das große Kot...
Leider bin ich darauf angewiesen, da Kodi und Konsorten bisher nicht zuverlässig mit Netflix umgehen können.
Was für einen Fernseher genau hast du dir denn gekauft? Ich habe ähnliche Erfahrungen (viewtopic.php?f=30&t=159565) mit einem LG TV gemacht und mich würde interessieren ob andere Hersteller diesbezüglich noch schlimmer agieren als LG.
Es ist ein Hisense geworden (4K und 43"). Hätte es einfache Monitore in der Größenordnung gegeben, hätte ich da zugegriffen.
Naja,bei jedem (!) Umschalten werden die hbbtv-Dienste der Sender abgefragt (POST), dann solche Sachen wie tracking.hisense.com, ntp etc. pp. Die GET und POSTs enthalten gecryptetes Zeug, k.A. wofür.
Seit gestern logge ich alle DNS-Requests mit. Mal gucken, was dabei rauskommt. Am WE werde ich mir Deinen Thread mal durchlesen und wenn du magst meine Requests darein posten.

Die Idee auf Whitelists finde ich nicht schlecht, kann ich aber mit dnsmasq nicht so ohne Weiteres bauen. Mal gucken.

Antworten