Fernseher via Firewall einschränken mit OPNSense

[CoMo]

Hallo,

ich würde gerne meinen LG TV etwas eindämmen und dafür Firewall-Regeln erstellen. Konkret soll das Gerät nur auf folgende Ressourcen zugreifen dürfen:

Netflix
Amazon Prime Video
Mein lokales Netzwerk (Jellyfin, Kodi, UPnP etc.)

Evtl später noch andere, meine Freundin würde z.B. gerne WOW nuzten.

Die Regel für mein lokales Netzwerk ist einfach, die Videodienste nutzen aber CDNs mit wechselnden IP-Adressen.

In der OPNSense kann ich Aliase erstellen, die IP-Adressen bzw IP-Ranges von einer URL abrufen und ich kann auch Hosts als Namen definieren, z.B. kann ich einen Alias Posteo mit Typ Host(s) und Inhalt posteo.de anlegen, um via Regel auf Port 587 den Mail-Versand für ein bestimmtes Gerät zu erlauben. Aber Listen mit Hostnamen kann ich offenbar nicht anlegen? Oder doch?

Ähnlich würde ich das dann gerne später noch für andere Geräte umsetzen.

Wie gehe ich da am besten vor? Hat das jemand schon mal so umgesetzt? Gibt es regelmäßig aktualisierte Listen mit IP-Adressen der entsprechenden CDNs, die wirkich aktuell sind und funktionieren?

 

[Mojo1987]

Wenn die OpenSense keine zuverlässige Application Erkennung hat, kannst du das vergessen. Die CDNs sind wechselnd, je nach Inhalt und müssen nicht mal den Dienstnamen in der URL beinhalten. Mit einer Liste isses da nicht getan.

 

[CoMo]

Die CDNs sind wechselnd, je nach Inhalt

Schon klar, aber es gibt ja unzählige gepflegte Listen für IP-Adressen. Z.B. habe ich Listen für Block Regeln:

https://www.spamhaus.org/drop/drop_v4.json
https://www.spamhaus.org/drop/drop_v6.json
https://raw.githubusercontent.com/b...seipdb/refs/heads/main/abuseipdb-s100-3d.ipv4
https://raw.githubusercontent.com/ktsaou/blocklist-ipsets/master/firehol_level1.netset
[...]

Die werden regelmäßig aktualisiert.

Gibt es da keine zuverlässigen Quellen für prominente Dienste wie Netflix und Prime Video?

Wenn das ab und zu mal kaputt ist, damit kann ich leben. Ich möchte nur erst mal so eine Art Grundschutz aufbauen.

 

[Fujiyama]

Vor was genau willst du dich schützen? Man muss ja wissen wer der Feind ist damit man passende Maßnahmen ergreifen kann.

 

[Mojo1987]

Gibt es da keine zuverlässigen Quellen für prominente Dienste wie Netflix und Prime Video

Nein, den CDN Delivery für Multimedia Content ist was komplett anderes wie Mail-Server Liste für Spamlisten. Die IP Adressen innerhalb der CDNs sind dynamisch. Es gibt da kein "dieser Server des CDN liefert nur Amazon aus" oder oder oder. Ohne Application Control mit entsprechender Paketsanalyse wird das nichts.

 

[CoMo]

Ich möchte mich vor nichts konkretem schützen. Ich möchte einfach nur die ausgehende Netzwerkkommunikation so weit möglich auf das wesentliche beschränken. Denn über das OS auf meinem Fernseher habe ich keine Kontrolle und weiß nicht, was es tut. Und ändern könnte ich da sowieso nichts:

jumphost:~# ssh tv
NEVER EVER OVERWRITE SYSTEM PARTITIONS LIKE KERNEL, ROOTFS, TVSERVICE.
Your TV will be bricked, guaranteed! See https://rootmy.tv/warning for more info.
root@LGwebOSTV:~#

Ergänzung (11. Dezember 2025)

Die IP Adressen innerhalb der CDNs sind dynamisch.

Das ist mir bewusst. Deshalb die Frage, ob ich die Aliase mittels Hostnamen oder notfalls auch Wildcards realisieren kann. Eine Allow-Regel zu akamai.com, aber Blockierung der Adressen hinter ueiwsp.com wäre ein Anfang. Die DNS-Anfragen zu den bekannten Namen blockiert mein AdGuard sowieso.

 

[Helge01]

Gibt es da keine zuverlässigen Quellen für prominente Dienste wie Netflix und Prime Video?

Nein.

Ich habe das anders gelöst. TVs haben bei mir überhaupt keinen Netzwerkzugriff (nicht eingerichtet). Nutze dafür an jedem Gerät eine Apple TV Box und nur diese dürfen auf das Netzwerk zugreifen. Die Box und auch die Apps (Netflix, Amazon Prime) sind dort weit aus weniger „gesprächig“ wie bei den Smart-TVs.

Zusätzlich hat man den Vorteil das es viele Jahre Softwaresupport gibt und die Bedienung überall gleich ist. Auch kann man jeder Zeit den TV auswechseln ohne ihn großartig einrichten zu müssen.

 

[duAffentier]

ich würde gerne meinen LG TV etwas eindämmen und dafür Firewall-Regeln erstellen. Konkret soll das Gerät nur auf folgende Ressourcen zugreifen dürfen:

Wieso? Was hat der TV, weshalb man dies macht?
Alles was du auf den Platformen machst, wissen Sie sowieso. Oder geht es ums allg. Netzwerk und PiHole etc. Das man allg. allen Traffic blockt! Den alles was du nutzt, wird sowieso auf dem Server getrackt.
Kontrolle über etwas, wo du nicht weist wo du Kontrolle haben magst?

 

[DFFVB]

Die c't hatte da mal nen Projekt für:
https://github.com/ct-Open-Source/ctraspion

Vlt hilft das. Und ja ich verstehe gut, dann man ausgehenden Netzwerkverkehrt eindämmen möchte. Mein Sony TV schickt auch sehr viel, wenn der Tag lang ist. Hab ne Shield die ist da besser. Und hab einfach dem Sony den kompletten Zungang gesperrt.

Kannst auch mal schauen ob es Blokada für LG gibt.

 

[prian]

Ich würde dem TV das I-Net kappen und einen FireTV/Google Chromcast einsetzen. Fertig ist die Laube.

 

[BFF]

Was bleibt denn fuer den "armen" TV noch uebrig wenn er nur auf

Netflix
Amazon Prime Video
Mein lokales Netzwerk (Jellyfin, Kodi, UPnP etc.)

darf?

Was willst Du ueberhaupt erreichen? @CoMo
Das das Teil nix mehr vom Hersteller und dessen Verbuendeten bekommt?

 

[CoMo]

Wieso? Was hat der TV, weshalb man dies macht?

Also mein AdGuard hat in den letzten 90 Tagen 3 Millionen DNS-Requests von meinem Fernseher zu ueiwsp.com blockiert. Kenne ich nicht, will ich nicht. Aber das ist halt nur DNS. Ich würde da gerne einfach den Hahn zudrehen.

Ergänzung (11. Dezember 2025)

Ich würde dem TV das I-Net kappen und einen FireTV/Google Chromcast einsetzen. Fertig ist die Laube.

Ich mag die Netflix App, die Prime App, die Jellyfin App und ich mag die Navigation in den Apps mit der LG Fernbedienung.

Nen Google TV Streamer habe ich auch. Wegen SmartTube. Aber was der Fernseher nativ kann, funktioniert da einfach bequemer.

 

[Fujiyama]

Dann nimm ein Zuspieler den du kontrollieren kannst bevor du da zig Stunden an Lebenszeit reinsteckst und hinterher es nicht richtig klappt/nur teilweise.

 

[CoMo]

Was willst Du ueberhaupt erreichen? @CoMo
Das das Teil nix mehr vom Hersteller und dessen Verbuendeten bekommt?

Einfach unnötige Verbindungen kappen. Nenne es Netzwerk-Hygiene. Warum versucht der 3 Millionen mal mit ueiwsp.com zu sprechen? Das ist kein Dienst, den ich benötige.

 

[duAffentier]

Dann aber gesamtes Netzwerk schützen, nicht nur TV, alle Geräte.
Wieso den TV wenn das Handy, Laptop etc. noch mehr trackt Somit, Tropfen auf den heißen Stein oder gleich alles blocken.Dann ergibt es Sinn.
p.s.: Ändern wird sich nichts dann, da sowieso vieles bei Google ist.
Es ist eben Tracking, aber persönliche Daten fließen da nicht.

 

[Child]

Wäre hier auch beim Apple TK 4K - nutze ich selber - obwohl es das einzige Apple-Gerät im Haushalt ist (Was bei der Einrichtung zumindest damals etwas umständlich war).

 

[qiller]

Was du brauchst ist ein Webproxy (ka, ob OPNSense einen eingebaut hat). In OPNSense blockst du erstmal alles von deinem Fernseher, was er ins Internet rausposaunen will. Im Fernseher selber hinterlegst du dann den Webproxy in den Verbindungseinstellungen. Und im Webproxy legst du dann einen URL-Filter als Whitelist an, wo dann alle IPs, Domains o. URLs (inkl. von 80/443 abweichenden Ports) etc. drinstehen, die zu deinen genutzten Diensten gehen.

Da wird durchaus ne größere Analysearbeit von nöten sein (z.B. Logs des Webproxies durchsehen). Machbar ist es. Aber als allererstes musst du checken, ob dein Fernseher Proxy-Einstellungen zulässt oder sich wenigstens über WPAD holen kann.

Edit: Kannst natürlich auch über ne Blacklist rangehen, dann filterst du halt ungewollten Traffic und lässt den Rest durch. Blöd ist halt nur, wenn mal durch ein Update da was geändert wird und neuer, ungewollter Traffic dazukommt (und man das vlt. erst nicht mitbekommt).

 

[netzwanze]

Empfehlung: Pihole und generell den Fernseher nur als dummen Monitor verwenden. Als Zuspieler besser eine Nvidia Shield verwenden.

Vortei: keine bösen Überraschungen mehr bei dem Fernseher, wenn Updates kommen. Bessere Unterstützung durch die Shield

Nachteil: kostet halt zusätzlich

 

[CoMo]

Ja, OPNSense bringt Squid mit und den nutze ich als Caching Proxy. Filtern tue ich damit gar nichts, dafür ist die Firewall da.

Dann aber gesamtes Netzwerk schützen, nicht nur TV, alle Geräte.

Den meisten Geräten hier vertraue ich. Die, die nicht ins Internet müssen (Drucker, Radiowecker, IP-Kamera) dürfen auch nicht ins Internet. Via Firewall-Regel, der jeden Traffic blockiert, der als Ziel NICHT LAN hat. Aber der Fernseher muss ja das Internet erreichen, sonst funktionieren die Apps nicht.

Ergänzung (11. Dezember 2025)

Empfehlung: Pihole und generell den Fernseher nur als dummen Monitor verwenden. Als Zuspieler besser eine Nvidia Shield verwenden.

Warum wäre der Pihole besser als mein AdGuard? Und warum wäre die Shield besser als mein Google TV Streamer?

 

[ARNOFPS]

Mit opnsense schau dir mal zenarmor an. Das könnte evtl. etwas sein. Alternative wäre untangle.