[Fritz!Box 7390] Zugangsprofile / IP-Adressen

B

bblag

New member
Hallo zusammen,

leider gibt es von AVM keinen Support mehr für die 7390, daher hoffe ich, dass mir hier jemand helfen kann. Es geht um die Blocklist-Funktion. Diese tut, was sie soll, wenn es um Domains geht. Laut AVM (Link) gilt darüber hinaus für IP-Adressen:
  • Für Zugangsprofile mit aktiver Filterliste ist der direkte Aufruf von IP-Adressen im Internet immer gesperrt. IP-Adressen, deren Aufruf die FRITZ!Box gesperrt hat, können in der Liste "Erlaubte IP-Adressen" eingesehen und bei Bedarf wieder freigegeben werden.
Zum Vergrößern anklicken....
Leider lässt sich die Sperrung der IP-Adressen offenbar teilweise umgehen, indem diese via https aufgerufen werden (https://<ip-adresse> im Browser). So zum Beispiel bei 64.227.120.231 (die Adresse ist auch nicht bei den erlaubten IP-Adressen markiert). Kann das jemand reproduzieren? Hat jemand eine Lösung?

Für jeden Tipp bin ich dankbar!
 
Zuletzt bearbeitet:
Moinsen,
gerade mal unter Fritz OS 7.56 ausprobiert...was hab ich gemacht?
1. Neues Profil erstellt, hier Button "gesperrte Seiten" aktiviert, so dass alles, was auf der Blockliste steht verboten ist.
2. Dort dann in der Blockliste mal bild.de eingegeben
3. Das Profil dem passenden Gerät zugeteilt...
Browseraufruf auf bild.de....geht nicht, Seite nicht erlaubt. Ok.
Dann die IP von bild.de rausgesucht, diese muss nicht in die Blocklste eingegeben werden (laut Anleitung), hab ich auch nicht gemacht.
Browseraufruf auf die IPv4 von bild.de...geht auch nicht, ebenfalls nicht erlaubt.

https oder http war dabei egal.

Was hast du denn vor? Willst du selber Listen anlegen mit vielen unerwünschten / verbotenen IPs und Domainnames?
 
Danke für die schnelle Rückmeldung und fürs Ausprobieren,

mein Plan ist, wie du schreibst, eine eigene Blockliste anzulegen (genauer gesagt möchte ich eine Liste von Online-Proxy-Diensten für die Teilnehmer im Haushalt sperren).

Die Domains werden durch die Blacklist auch alle erfolgreich geblockt. IP-Adressen sollten ja gemäß des oben zitiertem Links generell nicht mehr abrufbar sein. Im Fall der oben genannten IP-Adresse eines solchen Online-Proxy-Dienstes (64.227.120.231) erfolgt die Anfrage via https allerdings ohne Probleme und die Seite wird geliefert.

Auch bei mir ist ein Aufruf der Ip-Adresse von bild.de nach Erstellung und Zuweisung einer Blacklist nicht mehr möglich. Allerdings tritt im Fall von https://<ip-adresse-von-bild.de> (mit s) augenscheinlich ein Server-Fehler 400 auf, was ja bedeutet, dass nicht die Fritz!Box, sondern der bild-Server blockt. Bei http://<ip-adresse-von-bild.de> (ohne s) dagegen bekomme ich den gewünschten Block-Screen von der Fritz!Box. Kannst du das bestätigen?
 
Moinsen,
aus Interesse: hast du denn die zu der o.g. IP gehörende Domain in der Liste eingetragen?
Insgesamt ist es mit solchen Listen ja auch oftmals ein Hase-und-Igel Spiel...
zumindest für die Filterung von Domains wäre Pihole oder auch Adblocker vermutlich eine Erleichterung....

Ich verstehe den Text eher so, dass bei Eintrag eines Domainnames in der Liste die zugehörende IP gesperrt wird, nicht dass allgemein ALLE gesperrt werden. Ich nutze allerdings die Fritzbox Filterfunktion gar nicht, da waren eher immer andere Alternativen am Start (wie gesagt: Raspi mit Pihole oder auch aktuell pfblocker mit IP und DNS Blocklisten).

ps: kann ich so bestätigen
 
Hallo,

besten Dank nochmal fürs checken.

Ja, die Domain zur IP-Adresse (croxyproxy.com) steht auf der Blacklist. Und ja, es ist leider tatsächlich ein Hase-und-Igel-Spiel. Was die Adblocker-Idee betrifft: Das Problem ist, dass ich verhindern möchte, dass Teilnehmer im Netzwerk gewisse Sperren umgehen, indem sie solche Web-Proxy-Dienste nutzen. Das heißt, im Fall von Abblockern etc. (welche ja üblicherweise lokal laufen) würde der Teilnehmer diesen einfach ausschalten können. Ich möchte daher ein Block bereits im Router festlegen.

Da das Problem bei dir auch auftritt, scheint es zumindest nicht an meinem Exemplar / Konfiguration der Fritz!Box zu liegen. Möglicherweise ein Bug, der nicht mehr beseitigt wurde? Vielleicht hat hier jemand eine aktuellere Fritzbox und kann die Problematik auch mal austesten? Dann wüsste ich zumindest ob sich der Kauf einer neuen Fritz!Box lohnen würde.
 
Moinsen,
je nachdem, wie viele Teilnehmer dein Netzwerk so hat (Familie, Kinderschutz, Jugendliche von den üblich verdächtigen Seiten abhalten oder aber Firma mit MitarbeiterInnen, die eben nur bestimmte Dinge anstellen sollen) kommst du da mit der einfachen Fritzbox meines Erachtens schnell an die Grenzen.

Mit Adblock meinte ich nicht irgendein Browser-Addon, sondern einen Filter auf DNS Basis, der alle DNS Anfragen filtert (und fertige zahlreiche Blacklisten nutzen kann).
Problem dabei: du filterst keine IPs, nur DNS-Anfragen.
Deshalb: wenn es dir wirklich wichtig ist, da einen größtmöglichen Riegel vorzuschieben, dann ist die Fritzbox da schnell aus dem Rennen.
Interessanter werden dann zB Router mit Firewallfunktion (pfsense/opensense usw). Diese bieten dann, wie im Falle der pfsense, auch einen Zusatz, mit denen du sowohl auf IP als auch DNS Ebene filtern kannst, auch hier stehen bereits fertige Listen zur Verfügung, so dass du schnell auf mehrere Millionen Filtereinträge kommst. Zusätzlich kannst du auch eigene Listen erarbeiten, klar.

Trotzdem: es bleibt unbefriedigend! Denn zum einen nutzen viele Geräte auch DoH und DoT für DNS Anfragen, damit entfällt eine reine Filterung schon mal wieder. Das lässt sich zum Teil mit einer Firewall umgehen, denn dort kannst du selber angeben, welche DNS Server auf welchem Port befragt werden sollen und kannst die anderen sperren. Bei DoH jedoch gehen die Anfragen an die DNS Server über den Port wie auch https und damit fällt ein Sperren aus. Gleichzeitig erfolgen die Anfragen aber eben via https, also verschlüsselt, so dass die diversen Filter nicht greifen, denn die sehen ja nicht, was da angefragt wird. Lösung: du "brichst den https" Verkehr auf, schaust also da rein und dann kannst du auch wieder rausfiltern. Nur: das ist durchaus etwas aufwändig zum Einrichten und erfordert durchaus auch potente Hardware. PLUS: es ist datenschutzmäßig eher sehr zweifelhaft, den verschlüsselten Verkehr anderer Netzteilnehmer zu entschlüsseln. Kommt damit dann eben wieder, wie Anfangs geschrieben, auf den Einsatzbereich an, auch juristisch gesehen.

Was bleibt? Technisch wird es immer eine eskalierende Spirale bleiben. Oft unterschätzt wird: ne klare Ansage. Sagen was warum geht und warum es eben auch mal nicht gehen soll/darf. Auch sagen, dass es klare Konsequenzen gibt, wenn dagegen verstoßen wird. Diese dann benennen und auch durchziehen.
 
bblag schrieb:
Auch bei mir ist ein Aufruf der Ip-Adresse von bild.de nach Erstellung und Zuweisung einer Blacklist nicht mehr möglich. Allerdings tritt im Fall von https://<ip-adresse-von-bild.de> (mit s) augenscheinlich ein Server-Fehler 400 auf, was ja bedeutet, dass nicht die Fritz!Box, sondern der bild-Server blockt. Bei http://<ip-adresse-von-bild.de> (ohne s) dagegen bekomme ich den gewünschten Block-Screen von der Fritz!Box. Kannst du das bestätigen?
Zum Vergrößern anklicken....
Das ist nicht richtig. Bei HTTP wird auf die Seite der FB geleitet wo steht das diese blockiert wird. Bei HTTPS kann die FB sich mit der Anzeige nicht dazwischen schieben durch die Verschlüsselung. Daher kommt hier nur der Fehler 400.
 
Danke @the other für den ausführlichen Beitrag,

klingt alles ernüchternd. Hätte nicht gedacht, dass https auch den Servernamen verschlüsselt. Glaube, da muss ich mich nochmal ein bisschen einlesen. Nichtsdestotrotz haben mich deine Ausführungen inspiriert, mir mal was anderes als eine Fritz!Box zuzulegen. Mich juckt es schon länger in den Fingern ein bisschen mehr Kontrolle über meinen Netzwerkverkehr zu haben. Ich überlege jetzt, mir mal ein eigenes System mit OPNsense aufzusetzen.

Spielebernd schrieb:
Das ist nicht richtig. Bei HTTP wird auf die Seite der FB geleitet wo steht das diese blockiert wird. Bei HTTPS kann die FB sich mit der Anzeige nicht dazwischen schieben durch die Verschlüsselung. Daher kommt hier nur der Fehler 400.
Zum Vergrößern anklicken....

Danke für die Richtigstellung. Aber kommt der Fehlercode 400 nicht trotzdem vom Bild-Server? Der taucht in dieser Form nämlich bei anderen Webseiten nicht auf.
 
bblag schrieb:
Danke für die Richtigstellung. Aber kommt der Fehlercode 400 nicht trotzdem vom Bild-Server? Der taucht in dieser Form nämlich bei anderen Webseiten nicht auf.
Zum Vergrößern anklicken....
Der kommt vom Browser da er nicht die erwartete Antwort erhält. Der BILD Server wird gar nicht erst angefragt.

Anders betrachtet warum sollte der BILD Server deine Anfrage ablehnen wenn die Sperre in der FB eingerichtet ist wovon er nichts weiß.
 
Moinsen,
wegen opensense oder pfsense...ich bin da nun nun wirklich kein Glaubenskrieger und denke, dass am Ende beide Varianten zuverlässig und gut arbeiten.
Vorteil bei pfblocker ist imho in diesem Zusammenhang, dass du da das Paket pfblockerNG direkt dabei hast (wenn du es denn nachträglich installierst), womit du auf IP als auch auf DNS Ebene filtern kannst...opensense bietet da sicherlich auch was, etwa adguard o.ä., was aber AFAIK nur die DNS Ebene filtert...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 46 (Mitglieder: 1, Gäste: 45)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.666
Beiträge
47.661
Mitglieder
4.312
Neuestes Mitglied
Harway2007

Teilen

Zurück
Oben