Verbindung zu bestimmten Internetseiten blockieren

[meikewaldmann]

Hallo,

durch das Programm 'iftop' habe ich gesehen, dass ich ständig verbindungen zu irgendwelchen Seite habe, mit denen ich nichts anfangen kann.
Darunter zb.

bds2.bds-bayern.de
gtso-mdr.dnscache.mediaways.net
spot-media.de
altlantis.resolution.de
mail.ziegenberg.at

gibt es eine Möglichkeit die Verbindung auf bestimmte Seiten zu blockieren?
Oder nur bestimmte Internetverbindungen zu akzeptieren?


Viele Grüße
Meike

[rendegast]

dansguardian, ist am Anfang zwar kompliziert zu verstehen,
aber es läßt sich eine Datei referenzieren, in die Du unliebsame Hosts oder domains einfach mit Namen einträgst.
Als benutzter Proxy wird zwar zuerst squid aufgeführt,
aber jeder andere web-proxy tut es auch, zBsp. polipo (der ist aber nur ein http-Proxy).

Auch könntest Du mal nachforschen, welches Programm die Verbindungen initialisiert.
Bei einem web-Browser könnte es einfach an dessen Prefetching liegen, daß alle Links einer Webseite schonmal aufgelöst oder initial geladen werden. -> Dessen Prefetching deaktivieren.

[meikewaldmann]

Hallo rendegast,

ich nutze kein Browser. Die Zugriffe stammen vom 'ruhendem' System.

Es wäre wirklich interessant zu wissen welches Programm eine Verbindung aufbaut. Gibt es eine Möglichkeit das herauszufinden?


Viele Grüße
Meike

[Cae]

Es wäre wirklich interessant zu wissen welches Programm eine Verbindung aufbaut. Gibt es eine Möglichkeit das herauszufinden?

Code: Alles auswählen

$ netstat -tupen

müsste das sein. Um auch fremde Prozesse aufzulösen, musst du root sein. Der Schalter -n verhindert die Auflösung via DNS, evtl. weglassen, um eine aussagekräftigere Ausgabe zu erhalten.

Gruß Cae

[wanne]

Also zuerst: Du solltest mal gucken welche Programme die Verbindungen aufbauen (ntestat -tupen) und das Problem und nicht die Symtome bekämpfen.
Außerdem solltest du dir überlegen, ob du das wirklich sperren willst:
gtso-mdr.dnscache.mediaways.net ist der DNS Server der Telefonica Deutschland GmbH. Wenn das der einzige ist, den du nutzt hst du danach ein Problem.
Die anderen sind großteils anbieter von Proxys. Ach da ist fraglich, ob du das wirklcih unterbinden willst. Achso und altlantis.resolution.de gibt es nicht.

Aber jetzt zu dem wie du den Zugriff sperrst:
Die sauberste Methode ist via IP-Tables:

Code: Alles auswählen

iptables -A OUTPUT -d bds2.bds-bayern.de  -j REJECT
iptables -A INPUT -s bds2.bds-bayern.de  -j REJECT
ip6tables -A OUTPUT -d bds2.bds-bayern.de  -j REJECT
ip6tables -A INPUT -s bds2.bds-bayern.de  -j REJECT
...

Achtung: Das funktioniert nur wenn du schon ne Funktionierend Internet verbindung hast. Wenn du die Befehle vorher absetzen willst, musst du mit host gucken was die Adressen für IPs haben und dann die IPs Blocken.
Im Prinzip reicht jeweils eine der beiden beiden Zeilen. Ob man nun alles wegwirft, was rein oder alles was raus geht ist wurst. Ne Verbindung kommt da nie zustande.

[Saxman]

gibt es eine Möglichkeit die Verbindung auf bestimmte Seiten zu blockieren?
Oder nur bestimmte Internetverbindungen zu akzeptieren?

Du könntest die genannten server in die hosts Datei packen und die Zugriffe auf localhost umbiegen oder wie hier schon gezeigt wurde alternativ den Zugriff über iptables blocken. Um wirklich nur bestimmte Zugriffe zu erlauben kommst du aber um iptables nicht herum. Ich hab mir so etwas spasseshalber mit shorewall eingerichtet. Das ist dann allerdings ein ziemlich langes Regelwerk.

[wanne]

Du könntest die genannten server in die hosts Datei packen und die Zugriffe auf localhost umbiegen

Funktioniert nur, wenn die Seiten über hostnamen und nicht über IPs aufgerufen werden.

[wanne]

Oder nur bestimmte Internetverbindungen zu akzeptieren?

Code: Alles auswählen

iptables -P INPUT DROP
iptables -P OUTPUT DROP
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP

Dann geht erstmal nichts mehr. Dann kannst du mit weiteren Regeln spezifizieren, was erlaubt sein soll. Siehe dazu man iptables

[unitra]

Vorrausgesetzt du hast einen DNS Server im LAN, dann könntest du eine "blackhole" konfigurieren für bestimmte DNS Einträge da draussem im Internet.
Dann liefert der lokale DNS Server z.B. für example.org 127.0.0.1 an die Clients raus.

hier bei mir sieht das so aus

Code: Alles auswählen

more /etc/bind/blackhole.conf 
zone "facebook.com"  { type master; notify no; file "pri/blackhole.zone"; };
zone "xml.netgear.com"    {type master; notify no; file "pri/blackhole.zone"; };

Und der client bekommt dann:

Code: Alles auswählen

nslookup xml.netgear.com
Server:         10.255.255.254
Address:        10.255.255.254#53

Name:   xml.netgear.com
Address: 127.0.0.1

Suche einfach nach "BIND blackhole". Ich fand das war die einfachste und effektivste Lösung die ich fand, anstatt mit Firewalls rumzuspielen.
Übrigens funtkioniert diese Lösung mit jedem beliebigen DNS Server, auch mit einem Windows DNS Server im LAN.

[wanne]

Vorrausgesetzt du hast einen DNS Server im LAN, dann könntest du eine "blackhole" konfigurieren für bestimmte DNS Einträge da draussem im Internet.

Funktioniert nur, wenn die Seiten über hostnamen und nicht über IPs aufgerufen werden.

[unitra]

Vorrausgesetzt du hast einen DNS Server im LAN, dann könntest du eine "blackhole" konfigurieren für bestimmte DNS Einträge da draussem im Internet.

Funktioniert nur, wenn die Seiten über hostnamen und nicht über IPs aufgerufen werden.

Null route setzen für die hosts da draussen und gut ist.
http://en.wikipedia.org/wiki/Null_route

Ja, ich weiss schon, der Aufwand. Das wäre aber schon die simpelste Methode die ich kenne, ohne DNS blackhole konfigurieren zu müssen. Am Gateway eine Hostroute /32 zur Blackhole routen. Vorraussetzung die Ziel IP vom blockierten Host ändert sich nicht. Im Prinzip ist es das genau das Gleiche, was man mit der Firewall macht. Vorteil an der Firewall, du hast alles auf einem Gerät DNS und IP "blackhole", Nachteil an der Firewall zum Teil sehr komplexe Syntax um das gewünschte Ziel zu erreichen. Ich bin kein Freund von Firewalls und komplexen Regelwerken, aber einen Tod muss man sterben entweder den Tod im Netz (Routing/Switching) oder den Tod auf der Firewall.

[Cae]

welche Programme die Verbindungen aufbauen (ntestat -tulpen)

Nicht -l (minus ell) wie listen, das sind die Dienste, die gerade selbst angesprochen werden können. Die anderen Flags hatte ich oben schon geschrieben.

Gruß Cae

[wanne]

Sorry für das fehlerhafte Zitat. Werde es verbessern.

[wanne]

Nachteil an der Firewall zum Teil sehr komplexe Syntax um das gewünschte Ziel zu erreichen. Ich bin kein Freund von Firewalls und komplexen Regelwerken, aber einen Tod muss man sterben

Naja, ich finde das schenkt sich nichts:

Code: Alles auswählen

iptables -A OUTPUT -d 192.0.2.1 -j DROP
vs.
route add -host 192.0.2.1 reject
bzw.
ip route add blackhole 192.0.2.1/32

[Gunman1982]

Nachteil an der Firewall zum Teil sehr komplexe Syntax um das gewünschte Ziel zu erreichen. Ich bin kein Freund von Firewalls und komplexen Regelwerken, aber einen Tod muss man sterben

Naja, ich finde das schenkt sich nichts:

Code: Alles auswählen

iptables -A OUTPUT -d 192.0.2.1 -j DROP
vs.
route add -host 192.0.2.1 reject
bzw.
ip route add blackhole 192.0.2.1/32

Dann doch eher auch ein reject bei der iptables rule. Dann müssen die Programme nicht extra noch auf nen Timeout warten.

Btw "atlantis.resolution.de" (schätze hatte sich ein l drin verirrt) isn timeserver.

[wanne]

Dann doch eher auch ein reject bei der iptables rule.

Da hast du natürlich recht. Ich hatte zuerst gedacht das ja keiner wartet wenn ich schon beim Rausgehen blockiere. Aber da ist ja ein Client-Programm auf dem eigenen Rechner, das wartet...
Also Sinnvoller weise alle DROP durch REJECT ersetzen... (Habe das im ersten Post gemacht.)

[wanne]

Btw "atlantis.resolution.de" (schätze hatte sich ein l drin verirrt) isn timeserver.

Also auch was, das eher sinn ergibt, dass man sich da hin verbindet...

[uname]

Zur Ermittlung der relevanten Prozesse empfehle ich lsof. Bitte als "root" ausführen.

Code: Alles auswählen

lsof -i

Welche Prozesse bauen die Verbindungen auf? Warum Filterregeln einbauen wenn das Verhalten vollkommen unakzeptabel ist. Unter Windows würde ich nun neu installieren (ok, habe kein Windows). Bei Linux suche ich den Fehler bis ich ihn gefunden habe.