Blacklist WLAN für einzelnes Gerät

[aunt t]

Moinsen

Ist es innerhalb eines WLAN Netzes möglich, für ein einzelnes Gerät ne Blacklist ( internet und telekomunikation)zu erstellen? Feste IP ist möglich, Router ist ne halbwegs aktuelle Fritz Box.
WG der Neugierde: Bei diesenFragen nach Kontrollmöglichkeiten von elektronischer Medien , geht es ums erlernen von Medienkompetenz eines jungen Menschen am Rande einer geistigen Behinderung.

[Kladower]

Soll das einzelne Gerät grundsätzlich keinen WLAN-Zugang bekommen (das geht einfach, allerdings nur per Whitelist - Du musst also alle anderen berechtigen) oder den Zugang zu bestimmten Diensten sperren? Dafür gibt es in der aktuellen Fritz!Box den Punkt "Kindersicherung" in dem Du Profile erstellen kannst (Filterung nach Webseiten, Uhrzeiten etc.)

[floka.floka]

Zusätzlich gibt es noch apps die den Zugriff auf einzelne Seiten beschränken.
Das wird es für das Thema Telefonie bestimmt auch geben.

[trockenangler]

Besser wäre es erstmal zu wissen welche FritzBox du hast

[Paparemo1]

Mach es doch über den MAC Filter.

[aunt t]

Moinsen
Dank schon mal für die antworten bisher.
Die Box ist eine " 7362 SL (UI)

Konkret geht es um folgendes
Aus gerichtlichen und pädagogischen Gründen ,- (und bei den Abo/Abzockseiten auch um meine Arbeitsreduzierung) müssten eigentlich einzellne Facebookseiten, einige Whatts app nutzer, gesperrtt werden ohne den Zugang allgemein zu verhindern.
Am besten ohne das ich das Endgerät manipuliere.
Es geht hier rein um die Wlannutzung bei uns, anderes lässt sich über die Tarifwahl einschränken und wenn der Herr im öffentlichen Wlan "verbotenes Tut" kann ich da nix für. ( Es geht darum familiengerichtliche Anordnungen umzusetzen über Sinn und Unsinn kann und will ich nicht diss.)

Bei der Fritz box habe ich das Problem, das ich htttps anfragen anscheinend nur komplett sperren kann. Nu kann ichn zwar ne Portsperre für einzellne Ports einrichten, aber Facebook/Whattsapp etc benutzen ne recht grosse Spannbreite bei den Ports . Da ich da noch keine Systematik dain sehe, müsste ich so große Portbereiche sperren, da geht dann gar nichts mehr.

@Paparemo1 Kanst du die Idee mit der Mac Filterung mal bitte genauer kundtun?

[lazyjack]

Hallo Hans,
das was du vorhast, geht nur über einen Proxyserver (wenn du es zentral und nicht über den Client haben willst).

Die Fritzbox kannst du nicht so granular einstellen (Whatsapp User etc.). Selbst wenn du das wider erwarten irgendwie hinbekommen solltest über das Port-, IP- und Webseitenfiltering, kannst du das nicht mehr vernünftig verwalten.

Proxyserver sind aber ein eigenes Thema. Ist nicht trivial.

Vermutlich ist der Weg über den Client, der einfachere für dich?

Viele Grüße
Marian

[Tuckerboot-Lühe]

Jedes WLAN-fähige Gerät hat eine eindeutige MAC-Adresse.
Bei der MAC-Filterung erlaubt man bestimmten Geräten anhand ihrer MAC-Adresse den Zugang.
Bei einigen Access-Points lässt sich auch ne Blacklist definieren, bei einer Fritzbox nicht, soweit ich weiß.

[TageDieb]

Manche FritzBoxen haben ein "Gäste-WLAN", für das man bestimmte Einschränkungen (nur bestimmte Seiten erlaubt etc.) definieren kann.

Gruß,
Mario

[IbisIII]

Bei einer Fritzbox (mit aktueller Firmware) kann man durchaus Black- und Whitelists definieren und dann per Zugangsprofil z.B. einem einzelnen WLAN-Gerät zuordnen.
Geht über die Menüpunkte Internet > Filter > Zugangsprofile und Internet > Filter > Listen. Die Listen werden dann allerdings global definiert, sollte aber kein Problem sein, wenn nur ein einzelner User vom Filter erfasst werden soll.
Für die Telefonie gibt es imho keine Standard-Lösung.

Edit: Wenn dem einzelnen Gerät eine eigene Nummer zugewiesen wurde, existiert auch hier die Möglichkeit des Anlegens von Rufsperren (ein- und ausgehend) Telefonie > Rufbehandlung > Rufsperren

[pruno]

Zitat:

Zitat von aunt t

)
... müssten eigentlich einzellne Facebookseiten, einige Whatts app nutzer, gesperrtt werden ohne den Zugang allgemein zu verhindern.
Am besten ohne das ich das Endgerät manipuliere.
...

Bei der Fritz box habe ich das Problem, das ich htttps anfragen anscheinend nur komplett sperren kann. Nu kann ichn zwar ne Portsperre für einzellne Ports einrichten, aber Facebook/Whattsapp etc benutzen ne recht grosse Spannbreite bei den Ports . Da ich da noch keine Systematik dain sehe, müsste ich so große Portbereiche sperren, da geht dann gar nichts mehr.
...

Stimmt. Wurde ausführlich in Beitrag #7 beschrieben.
Die Anderen Antworten gehen an der Aufgabenstellung vorbei.

Ich bin nun schon einige Jahre raus aus der Materie. Wir hatten für Schulen solche Proxy installiert.
Leider kann ich zur Konfiguration nichts beitragen da die von den Lehrkräften verwaltet wurden.

Beste Grüße
Dirk

[IbisIII]

Zitat:

Zitat von pruno

Die Anderen Antworten gehen an der Aufgabenstellung vorbei.

Wohl kaum. Aber warum einfach, wenns auch kompliziert geht

[pruno]

Doch

[aunt t]

Moinsen
Nen Proxy hatte ich auch angedacht. aber ich laufe per Proxy /VPN schon auf nem Landesserver und ein weiterer läuft bei mir fürs Tor Netzwerk. Da schon lange "lebend" "springen" da recht viele Chinesen, Koreaner, Syrer und Russen (sofern erkennbar) drüber. Will ich auch nicht vom Netz nehmen, noch einen dazu weia, wird ja nen echter Job die zu verwalten. Mal sehen ob wer noch dieee Idee hat, ansonsten scheints ja doch auf Klientlösungen hinauszulaufen, des wollt ich eigentlich nicht

[Elgar_2]

Hier sind einige
http://www.shallalist.de/cgi-bin/stat.cgi

Beschreibung dazu
http://praxistipps.chip.de/router-bl...-sperren_35684

Ich hoffe dir hilft es etwas weiter, es ist verdammt schwer sowas zu erstellen
da immer irgendwo eine Lücke ist

hier ist die Beschreibung zu der MAC Filterung
https://avm.de/service/fritzbox/frit...-Adressfilter/

[Paparemo1]

Ich habe eine Fritzbox 7272,
dort kann ich jedem Endgreät eines von 4 Nutzungs-Profilen zuordnen.
Die Profile lassen sich konfigurieren.
In der Konfigruration lassen sich Black und White Lists erstellen.
Ebenso ist eine generelle Sperren für den Jugendschutz möglich.
Es lassen sich sogar Zeiten für die Onlinezeit konfigurieren.
Ebenso sind bestimmte Netzwekanwendungen sperrbar.

Das ganze findet man unter: Internet/Filter/Kindersicherung


Meine aktuelle Frizbox hat keinen Mac Filter mehr. Das war bei der Easybox.

[IbisIII]

Weiß grad gar nicht, welches Problem noch offen ist, aber diese Lösung wurde bereits als unpassend markiert, und ich bin gespannt auf die richtige

[lazyjack]

Hallo IbisIII, hallo Remo,
kleine Fingerübung.. probiert mal bitte folgendes in einem Profil auf der Fritzbox aus:

Erlaube diese Seite -> https://de-de.facebook.com/
Sperre diese Seite -> https://de-de.facebook.com/directory/places/

Sobald https aufgerufen wird, kann die FB da nicht mehr tiefer reinschauen. Da heißt es dann entweder https alles erlauben oder https alles blocken.

Eben gerade getestet auf einer FB7270 und FB7320 damit ich nicht allzu groben Unfug erzähle. Evtl. ist das auf neueren FB möglich, k.A. kenne nicht alle Hobbyboxen (nicht abwertend gemeint, habe die ja auch im privaten Einsatz, taugen schon was).

Auch wenn die Filter- und Profillisten zu reichhaltig werden, gibt es Limitationen innerhalb der FB (Speicher und CPU) und du darfst dich ziemlich regelmäßig auf den Weg zur Box begeben um den Stromstecker zu ziehen.

Ein Proxyserver kann das, da er von dem Client auf diese Adresse angefragt wird und er dann als Client die Verbindung zu der angefragten Seite initiert. Dadurch hat er Kenntnis vom genauen Inhalt der Kommunikation und kann entsprechend eingreifen. Die Fritzbox kommt da nicht mehr mit, sobald es "verschlüsselt" wird wie z.B. https oder SSL.

Und wie ich die Anforderungen von Hans verstanden habe, will er sowas in der Art umsetzen und noch mehr.

Viele Grüße
Marian

[lazyjack]

Zitat:

Zitat von aunt t

Moinsen
.... noch einen dazu weia, wird ja nen echter Job die zu verwalten....

Hallo Hans,
gute Gelegenheit deine Proxys zu virtualisieren. Dann hast du noch Luft nach oben für noch mehr und auch keine Langeweile Hast du bei deinen Kids keinen dabei, den du dafür begeistern kannst, so etwas mit dir aufzubauen? Das bildet ungemein weiter und kann sehr motivierend für ihn sein, wenn er Interesse dafür hat.

Nimm einen Kleinst-PC mit wenig Watt und einen VMWare Hypervisor drauf. Deinen Tor Proxy packst du in eine virtuelle Maschine und noch eine zusätzlichen vmx für dein Proxy im Heimnetz. Ein Intel I3 und mind. 16GB Speicher + SSD sollten grob geschätzt dafür reichen (ohne deinen Tor Proxy jetzt genau zu kennen). VMWare Server dafür gibts immer noch kostenfrei (ohne GUI nur CLI auf dem Server) -> http://www.vmware.com/de/products/vs...ypervisor.html

Viele Grüße
Marian

[aunt t]

Moinsen

Das mit den HTTPS anfragen ist genau das Problem. Entweder https komplett erlauben, dann werden auch entsprechende Seiten in der Black List ignoriert oder ich sperre alle Https aufrufe, des ist es auch nicht. Mac Filterung hilft auch nicht wirklich weiter ( gibt es auf meiner Box auch nicht mehr?), da viele von den "bösen" Seiten recht dynamisch sind.

Marian, ich hab nicht wirklich Spass am rumdoktern. Früher,- in der Computersteinzeit,- war ich da mal intensiver bei. ( Hihi, in den Tiefen des Webs müssten noch ein zwei Anleitungen schlummern,wie man mit Hilfe eines irgentwo stehenden Servers nen fremdes Wifi Netz nutzen kann ohne den Router äh zu beanspruchen.- Waren halt Zeiten, da kosteten nen Mb Traffic zb in der Karibik bis zu 20 Dollar)
Von daher kann ich noch Basic, Pascal fließend sprechen, Assembler und "Pearl" gebrochen,- Steinzeit halt.
Heute bin ich eher drauf angewiesen "fertige "Programcodes zu benutzen (mann muss das Rad ja auch nicht zum 10ten mal erfinden) und in der Prozessortechnik na ja, wenn ich was dringend wissen will informier ich mich genau über diesen Aspekt , aber mehr nicht.
Für mein jetziges Prob. hatte ich mir als prov. Lösung zb nen paar Codes aus diversen Exploids heraus geschrieben. Ging so halbwegs, allerdings das die "Wächter des Landes"servers mir nicht direkt ne Atombombe aufs Haus haben fallen lassen- da hab ich noch mal Glück gehabt.
Da hab ich doch glatt was nicht bedacht
Sind eigentlich Rasberry oder Adurdingsbums schnell genug als Serverumgebung, und was können die an Speicher verwalten? Haben die Platinen "norm"grössen wg Gehäuse ?

[aunt t]

Zitat:

Zitat von pruno

Stimmt. Wurde ausführlich in Beitrag #7 beschrieben.
Die Anderen Antworten gehen an der Aufgabenstellung vorbei.

Ich bin nun schon einige Jahre raus aus der Materie. Wir hatten für Schulen solche Proxy installiert.
Leider kann ich zur Konfiguration nichts beitragen da die von den Lehrkräften verwaltet wurden.

Beste Grüße
Dirk

Kanst du da mal bitte Namen nennen ? Hilft beim suchen. Vieleicht ist meine Problemlösung ja grundsätzlich ohne viel Bastelei mit Hilfe von nen paar Talern zu lösen?

[lazyjack]

Hallo Hans,
damit könntest du auch weiterkommen:
https://www.sophos.com/de-de/product...e-edition.aspx

Kostenfrei für Home (bis 50 IP Adressen) und kannst du im VMWare Player installieren lassen als VM.
Bei dem UTM ist ein Webfiltering möglich, musst du ausprobieren, ob das was für dich ist. Denke es passt.

Alternativ ein "fast" Freeware Proxy (auch im VMWare Player zu testen) mit sehr vielen zusätzlichen Addons (Captive Portal, AV etc.)
https://www.untangle.com/

Viele Grüße
Marian

Nachtrag: achso.. beide haben eine Online Demo Zugang zum spielen:

http://demo04.astaro.com:4445/

http://demo.untangle.com/auth/login?...=Administrator

[IbisIII]

Zitat:

Zitat von lazyjack

Sobald https aufgerufen wird, kann die FB da nicht mehr tiefer reinschauen. Da heißt es dann entweder https alles erlauben oder https alles blocken.

Das ist richtig. Hier könnte man sich aber über eine IP-Sperre behelfen?

[lazyjack]

Zitat:

Zitat von IbisIII

Das ist richtig. Hier könnte man sich aber über eine IP-Sperre behelfen?

Nein, leider nicht.
Wenn du die IP der Webseite sperren würdest, kannst du sie komplett nicht mehr aufrufen. Einzelne Unter-Webseiten ausschließen geht nicht über eine IP Sperre (in diesem Kontext).

Viele Grüße
Marian

[pruno]

Zitat:

Zitat von aunt t

Kanst du da mal bitte Namen nennen ? Hilft beim suchen. ...

Würde ich gern. sorry.
War eine stressige Zeit und entsprechend wenige Gedächniszellen sind übrig geblieben.
Ich glaube nicht das es Dir hilft: ich weiß nur noch das wir Linux basierte Systeme anboten. (Ich komme aus dem Unix Bereich)

Beste Grüße
Dirk