Kleines Netzwerk --> Webfilter einbauen - wie?

[Thunderstruck25]

Hallo zusammen,
ich habe momentan in einem kleinen Netzwerk dieses Setup:

Am Router und der WLAN-Bridge darf ich nichts verändern.
Ab dem Repeater darf ich nach Belieben selbst verändern.
Nun möchte ich einige Websites (URLs) für alle PCs extern blockieren. Der Router hat keine Möglichkeit dazu (und darf eben nicht gegen einen vernünftigen Router ausgetauscht werden).
Ich suche also eine Firewall, oder eine Firewall mit Switch oder eine ander Möglichkeit die ich zum Filtern der Websites verwenden kann. Da der Repeater über POE mit Strom versorgt wird, und die eventuelle Firewall nicht zwischen POE-Splitter und Repeater platziert werden kann müsste die Firewall idealer Weise das POE "durch lassen".
Wie könnte ich das Filtern der Websites am einfachsten hin bekommen? (Softwarefirewall kennen ich, die soll aber nicht sein)
Beste Grüße
Thunderstruck

 

[kamanu]

Definiere sperren? Richtig sperren? Oder einfach nur DNS filtern? Letzteres könnte man mit einem Pi-Hole lösen was dann auf den Geräten als DNS-Server eingetragen wird.

 

[Tzk]

Teilweise können Router das für kleinere Mengen an URLs schon ab Werk, z.B. ne Fritzbox. Wenn es dir nur um P2P, Musik und ähnliche Seiten geht, dann würde das ja ausreichen.

Würdest du statt des Repeaters einen Router als Bridge einsetzen wäre das als Doppel-NAT ne Variante. Ansonsten ist ein PiHole sicher nicht verkehrt, aber auch hier brauchst du Zugriff auf die DNS Einstellungen im lokalen Netz. Das scheint ja nicht gegeben, weil du den eigentlichen Router nicht umkonfigurieren darfst.

 

[chrigu]

An einem pc selber kannst du in der erweiterten Firewall manuell viel sperren.
Die Frage ist eher, was genau du sperren möchtest? Tools, Webseiten, ports?

 

[Tzk]

An einem pc selber kannst du in der erweiterten Firewall manuell viel sperren.

Da stellt sich auch die Frage ob überhaupt Zugriff auf alle PCs besteht und ob die User ggf. den DNS wieder wegkonfigurieren.

 

[Twostone]

Ziemlich viele Denkfehler in dieser "wall of text". Jede Art Firewall ist immer eine softwarebasierte Firewall. Eine Vermittlungsstelle wi in der frühen, analogen Telefonie gibt es schon lange nicht mehr, und erst recht nicht für webseiten. Das erledigt heutzutage stets Software.

Du hast nun mehrere Möglichkeiten. Du könntest mit einem eigenständigen DNS-Server (z.B. PiHole) die Auflösung der domains in Adressen ins Nirvana umleiten, womit die Seiten aber immer noch erreichbar wären über deren IP (und auch in den PCs ein anderer DNS-Server genutzt werden kann), Du könntest ganze IP-Bereiche, die zu den "unerwünschten" Domains gehören, sperren mittels Firewall und Blocklists, sperrst damit aber auch Dienste anderer Seiten, die ggf. über die gleiche Adresse erreicht würden, oder Du könntest mittels transparentem Proxy deutlich feinere Seiten- und Contextfilter realisieren.

Alle drei Möglichkeiten erfordern einiges Fachwissen, und bergen ggf. auch ein paar eigene Risiken. Empfehlen würde ich Dir am ehesten PiHole, das funktioniert ootb schon sehr gut und ist auch von unbedarften Usern nach ein wenig Einarbeitungszeit mehr oder minder sinnvoll nutzbar. Von den beiden anderen Methoden solltest Du die Finger lassen.

 

[Thunderstruck25]

Hallo,
vielen Dank!

Definiere sperren? Richtig sperren? Oder einfach nur DNS filtern?

Richtig sperren.

Pi-Hole:

OK, gibt es da ein Gerät, dass POE durch lässt?

Die Frage ist eher, was genau du sperren möchtest? Tools, Webseiten, ports?

Ich möchte z.B. folgende URL sperren:

youtube.com
pornoseiten
usw.

Also quasi die gleiche Funktion wie in der Fritzbox das Webfilter.

Jede Art Firewall ist immer eine softwarebasierte Firewall.

Das ist klar, was ich mit "Softwarefirewall" meine, ist natürlich eine Firewall die auf dem Betriebssystem der PCs/Geräte läuft.
Gesucht ist eine externe (softwareebasierte) Firewall oder ähnliches.

Beste Grüße

 

[Paxter]

Da stellt sich auch die Frage ob überhaupt Zugriff auf alle PCs besteht und ob die User ggf. den DNS wieder wegkonfigurieren.

Dafür kann man dann den entsprechenden Port 53 und 853 sperren.
Dann ändert auch die manuelle Konfiguration des DNS im Gerät nichts mehr.
So handhabe ich es.

 

[GutGilliganHyde]

OK, gibt es da ein Gerät, dass POE durch lässt?

Hä? Ein Ethernet Kabel?

 

[Paxter]

Hallo,
vielen Dank!



Richtig sperren.



OK, gibt es da ein Gerät, dass POE durch lässt?



Ich möchte z.B. folgende URL sperren:

youtube.com
pornoseiten
usw.

Also quasi die gleiche Funktion wie in der Fritzbox das Webfilter.

Beste Grüße

Das kann Adguard Home sehr gut. Du kannst diverse Dienste u.a. Youtube, Facebook etc. direkt filtern.
Für viele gibt's Listen, die auf DNS-Ebene blocken.

Diese Dienste sind bei mir allgemein gesperrt.
Natürlich kann man für jedes Gerät das ganze auch noch mal individualisieren.

 

[Thunderstruck25]

Hallo,
vielen Dank.

Adguard Home

Nein, Adguard Home kann nur Seiten blocken die nicht von Windows generell frei geschalten sind. Da auch Microsoft-Seiten blockiert werden müssen, scheidet eine auf dem Betriebssystem laufende Firewall aus.
Trotzdem danke für den Tipp.

Beste Grüße

 

[IBISXI]

OK, gibt es da ein Gerät, dass POE durch lässt?

Muss es nicht. Du kannst zusätzlich einen POE Injector am Standort deinens Wunschgeräts betreiben.

 

[Paxter]

@Thunderstruck25 nicht AdGuard, sondern Adguard Home, siehe
https://adguard.com/de/adguard-home/overview.html
Das ist quasi eine Wettbewerbsprodukt zu Pi-Hole.
Du installierst es auf einem Raspberry Pi oder in einem Docker-Container.
Das hat mit einem Betriebssystem nichts zu tun.

 

[Thunderstruck25]

Muss es nicht. Du kannst zusätzlich einen POE Injector am Standort deinens Wunschgeräts betreiben.

Ja, OK, dann wäre das Setup so (fall es keine Firewall gibt, die POE-in / POE out gleichzeitig hat):

nicht AdGuard, sondern Adguard Home

Ah, OK, das habe ich falsch verstanden - sorry - das sehe ich mir an.
Beste Grüße

 

[KnolleJupp]

Du kaufst dir z.B. einen Raspberry Pi 4 https://geizhals.de/raspberry-pi-4-modell-b-a2301761.html
und installierst da drauf z.B. Ubuntu https://cdimage.ubuntu.com/releases...22.10-preinstalled-desktop-arm64+raspi.img.xz
und installierst dann Pi-Hole.

Dann brauchst du noch ein USB-Netzteil, z.B. https://www.amazon.de/dp/B07V9LZCXV o.ä.
und ein entsprechendes Kabel, z.B. https://www.amazon.de/dp/B08LPRHF7L/ o.ä.
und eine microSD-Karte, z.B. https://www.amazon.de/dp/B06XYDY93V o.ä.
und eventuell noch ein schickes Gehäuse für den Raspberry Pi, z.B. https://www.amazon.de/dp/B07TVLTMX3/ o.ä.

Das wäre jedenfalls eine mögliche Möglichkeit...

 

[omavoss]

eBlocker, läuft auf RasPi oder BananaPi, wäre ebenfalls eine Alternative. Da ist Jugendschutz eingebaut.

b.t.w.
In der Grafik ist die bidirektionale Komponente zwischen Repeater und Router offenbar vergessen worden.

 

[Raijin]

Dafür kann man dann den entsprechenden Port 53 und 853 sperren.
Dann ändert auch die manuelle Konfiguration des DNS im Gerät nichts mehr.

DNS-over-HTTPS im Browser aktivieren und schon geht's ungefiltert weiter.


Gefilterte DNS-Server wie pihole mit oder ohne Sperren/Umleitungen für Port 53/853 sind keine Garantie dafür, dass die unerwünschten Seiten nicht dennoch angesurft werden. Es ist die Frage wie zwingend gesperrt werden soll. Mit ausreichend KnowHow, welches man sich durchaus auch via Youtube aneignen kann, lassen sich insbesondere DNS-Blockaden vergleichsweise einfach umgehen. Das setzt aber dennoch eine explizite Absicht voraus.

Ob man etwaige Workarounds der Kids - sofern es denn hierbei um Kinder geht - nun mit knallharten professionellen Lösungen verhindern will oder ggfs mit erzieherischen Maßnahmen reagiert, muss jeder selbst wissen. Ich persönlich bevorzuge eher letzteres, weil ein technisches Wettrüsten oftmals nicht zielführend ist.

 

[konkretor]

Klingt nach proxy mit transparenz

https://www.netways.de/en/blog/2023/01/12/squid-mit-proxy-schneller-zum-ziel/

 

[Thunderstruck25]

Vielen Dank für alle Tipps und Hinweise,
ich werde wohl doch nun diese Lösung wählen:

Das dürfe für mich als Netzwerk-Laie noch am wenigsten Aufwand / Lernaufwand bedeuten.
Was würdet Ihr als Profis als Firewall mit 4 Ports empfehlen und welche Firewall-Software dazu? Gut wäre natürlich eine Freeware. Einziger Anspruch an die Firewall/Software wäre eben das Sperren der Seiten und Gigabit-LAN-fähig sollte sie sein.
Beste Grüße

 

[Paxter]

@Raijin da hast du leider, leider Recht. Verdammt. Da werde ich mir in der Zukunft bei meiner Tochter doch noch einige Gedanken machen müssen.