Erfahrungen mit pfblockerng dev

@blurrrr
Danke für deine Erläuterungen. DNS, DNSBL und RFC sagt mir (mittlerweile) natürlich was, wenngleich ich bissher bewusst nur den RFC1918 kenne. DoT und DoH hatte ich dagegen noch nicht auf dem Sender. Aber gut....

Könntest also z.B. mal den Port 853/TCP dicht machen...
... und weiter....
mit der Regel wirst du auf jeden Fall schon mal DoT los. Dann dafür sorgen, dass alle DNS Anfragen NUR über Port53 gehen und dieser NUR zu deinem Resolver geht.

Nun, eine Regel für DNS Anfragen NUR über Port 53 habe ich, ebenso das diese zu meinem Resolver geht. Aber täte ich jetzt gut daran, den Port 853/TCP zu blocken, oder ist das nur eine Option die man machen könnte aber nicht zwingend machen sollte?

Tommes
 
Danke für den Link. Ihr hattet zwar schonmal von diesem Thread gesprochen und ich habe auch kurz mal danach gesucht, aber nicht wirklich gefunden. Hatte wohl den falschen Gedankengang. Egal…. ich werde mich mal in den anderen Thread einlesen und schauen, welche Schlüsse ich daraus für mich ziehen kann.

Tommes
 
Nun, eine Regel für DNS Anfragen NUR über Port 53 habe ich, ebenso das diese zu meinem Resolver geht.
Hier muss ja grundsätzlich unterschieden werden, ob DNS, DoT, oder DoH, halt alles unterschiedliche Eigenschaften/Verhaltensweisen (und eigene RFCs). Aber für mehr... die eigentliche Frage folgt mit dem nächsten Block... ;)
Aber täte ich jetzt gut daran, den Port 853/TCP zu blocken, oder ist das nur eine Option die man machen könnte aber nicht zwingend machen sollte?
Je nachdem, was Du selbst halt willst. Vergleich es von mir aus mit HTTP und HTTPS... Willst Du, dass etwas davon "nicht" nach aussen soll, dann sperrst Du es (ausgehend) logischerweise. Den Vergleich zu DNS kannst Du hier z.B. mit einem Proxy (nicht "reverse") ziehen: HTTP darf das eigene Netz "nur" über den Proxy verlassen (welcher mitunter auch nochmal schädliches filtert), HTTPS kann einfach direkt ganz frei raus. Liegt das jetzt im Sinne einer Regel, welche besagt, dass HTTP zwingend über den Proxy muss? Ähnlich verhält sich das jetzt beim Thema DNS. Die Regel mit dem DNS ist schön, trifft aber vermutlich nur für 53/UDP bzw. ggf. noch 53/TCP zu (beispielhaft eben HTTP). Ob Du das jetzt machst, bleibt natürlich ganz Dir überlassen 🙃

anschließend kannste Dich auf DoH konzentrieren

Beim Thema DoH (DNS-over-HTTPS) wird es nochmal schwieriger, da hier die DNS-Anfragen in HTTPS gekapselt sind (ähnlich wie bei HTTPS-Traffic kannst Du eben nicht "mal eben" in die Pakete schauen und filtern). Da kann man sich einerseits an den o.g. Listen orientieren und einfach Server blockieren, welche DoH anbieten, oder man bricht die Pakete zentral auf und filtert den unverschlüsselten Traffic nach DNS-Anfragen. Dieses Setup ist dann aber wesentlich komplexer und wie @the other schon sagte, datenschutzrechtlich fragwürdig (für einen selbst eher weniger, aber bei Personen wie Gäste z.B. doch eher zweifelhaft).

Ich persönlich blocke "garnichts" in diese Richtung... Für mich verhält sich das eher so, als würde man die gelben Seiten schwärzen und was die Werbeblocker (AdGuard, Pi-Hole, etc.) angeht... naja, Werbung gibt es auch nicht umsonst und viele Seiten verdienen damit Geld (zwecks Refinanzierung). Wenn ich diese Seiten schon kostenlos nutze, sollen die wenigstens auch etwas von meinem Besuch haben (wenn man so will eine Win-Win-Situation: Ich kriege meine gewünschten Inhalte umsonst, Webseite wird durch die mir ausgestrahlte Werbung unterstützt und bleibt so hoffentlich auch lange im Netz) ☺️
 
Vielen Dank für deine Ausführungen @blurrrr
Ich hab mir den anderen Thread auch mal durchgelesen und soweit wohl auch verstanden. DoH hat sich für mich demnach schon von ganz alleine erledig, da der Konfigurationsaufwand für mich eh eine Nummer zu groß wäre. DoT… hm… ja… kann man mal machen, ob es mir am Ende einen Nutzen bzw. Vorteil bringt, müsste man dann sehen. Für den Moment erscheint es mir so, als das ich das Thema auch erstmal vernachlässigen könnte. Nichts desto trotz, weiß ich jetzt worum es geht und kann das ggf. wieder aus der Schublade ziehen, sollte ich damit mal Berührungspunkte bekommen. Bis dahin wäre das für mich erstmal was zum rumspielen und probieren.

Ich persönlich blocke "garnichts" in diese Richtung […] Wenn ich diese Seiten schon kostenlos nutze, sollen die wenigstens auch etwas von meinem Besuch haben (wenn man so will eine Win-Win-Situation: Ich kriege meine gewünschten Inhalte umsonst, Webseite wird durch die mir ausgestrahlte Werbung unterstützt und bleibt so hoffentlich auch lange im Netz

Ich teile im Großen und Ganzen deine Einstellung und find sie sogar ausgesprochen löblich. Die Tatsache, das die Flut an Werbung, die man manchmal um die Ohren gehauen bekommt, oftmals aber echt grenzwertig ist, rechtfertigt in meinen Augen aber durchaus einen Blocker. Aber gut, ich denke da sind wir uns wohl alle einig… Die Dosis macht das Gift.

Tommes
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.383
Beiträge
45.255
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben