Fernseher via Firewall einschränken mit OPNSense

[qiller]

OPNSense bringt Squid mit

Na ist doch schonmal ein Anfang. Dann noch nen URL-Filter (z.B. squidGuard) installieren und entsprechend konfigurieren. Hab dazu nur ne Anleitung für pfsense auf die schnelle gefunden: https://www.howtoforge.com/pfsense-squid-squidguard-traffic-shaping-tutorial

 

[CoMo]

Mir ist nicht ganz klar, wo dann der Vorteil sein soll. Ich benötige immer noch eine aktuelle Liste mit den Domains und muss zusätzlich Regeln konfigurieren, die Web-Traffic, der vom Fernseher kommt, auf den Squid umleiten. Und was ist mit nicht-web-traffic? TCP oder UDP auf Port 12345, 7841, 4107 etc? ICMP irgendwohin?

Meine IP-Kamera macht z.B. ständig ICMP an irgendwelche IP-Adressen und DNS via UDP an 8.8.8.8 und 8.8.4.4, was durch die OPNSense Firewall blockiert wird.

Wie soll ich das mit einem Web-Proxy umsetzen?

 

[netzwanze]

Warum wäre der Pihole besser als mein AdGuard? Und warum wäre die Shield besser als mein Google TV Streamer?

Pihole ist ein freies Stück Software und kann mein ganzes Netz sauber halten.

Die Shield kann ich ohne Google verwenden. :-)

 

[CoMo]

Pihole ist ein freies Stück Software und kann mein ganzes Netz sauber halten.

Ok, aber was ist jetzt genau der Unterschied zu AdGuard? Denn das macht mein AdGuard auch https://github.com/AdguardTeam/AdGuardHome

Pi-Hole habe ich damals aufgegben, weil es keine Whitelist-Subscriptions unterstützte. Das soll wohl mittlerweile gehen. Aber was kann es besser als AdGuard und wie hilft mir das bei meinem Anliegen?

Die Shield kann ich ohne Google verwenden. :-)

Das bringt mir wenig. Ich nutze den Streamer für Youtube. Eingloggt in mein Konto mit Subscriptions etc. Das geht ja schlecht ohne Google.

 

[netzwanze]

Pihole hat in meinen Augen den Vorteil , dass es weder npm noch Node.js verwendent, was in letzter Zeit immer wieder ein Sicherheitsproblem war.

 

[BFF]

Wie soll ich das mit einem Web-Proxy umsetzen?

Kannst Du nicht weil DNS etwas anderes ist als http(s).

 

[CoMo]

Und kann Pi-Hole ohne npm und Node.js nun mein Anliegen lösen und IP-Adressen blockieren? Dann erkläre doch bitte wie.

Ergänzung (11. Dezember 2025)

Kannst Du nicht weil DNS etwas anderes ist als http(s).

Ist mir klar. Ich will IP-Traffic blockieren (ANY), keine Layer-4 Protokolle. Deshalb verstehe ich nicht so ganz, warum wir jetzt eigentlich über Web-Proxies und DNS-Server reden.

 

[BFF]

Deshalb verstehe ich nicht so ganz, warum wir jetzt eigentlich über Web-Proxies und DNS-Server reden.

Korrekt.

IP blockst Du über die Firewall.
Alles andere macht nicht wirklich Sinn weil wenn xxx.porn heute per DNS 11.11.11.11 hat kann der DNS morgen 99.99.99.99 liefern als Ziel und damit ist (heder) DNS Filter obsolet.

 

[netzwanze]

Und kann Pi-Hole ohne npm und Node.js nun mein Anliegen lösen und IP-Adressen blockieren? Dann erkläre doch bitte wie.

Ergänzung (11. Dezember 2025)

Ist mir klar. Ich will IP-Traffic blockieren (ANY), keine Layer-4 Protokolle. Deshalb verstehe ich nicht so ganz, warum wir jetzt eigentlich über Web-Proxies und DNS-Server reden.

Mist du hast recht, die habe das auch mit drin.

 

[TheBeastMaster]

Phiole hat keine Vorteile gegenüber Adguard. Beide machen das selbe. Wer einen anständigen DNS Dienst braucht, nimmt Technitium oder Unbound. Aber darum soll es hier ja nicht gehen.

Thread Ersteller hat einen LG TV. Dieser greift auf die besagte URL zu da darüber die Smart TV Funktionen, Telemetrie und Werbung ausgespielt werden. Es reicht diese URL in der Firewall/DNS zu blocken.

Opnsense kann ASNs nutzen. Das Problem hierbei: wenn du sagt: erlaube nur Netflix wird sogut wie die gesamte AWS Cloud erlaubt, da Netflix da hostet. Das bedeutet aber auch: Dein Schutz ist komplett löchrig.

Mein Ansatz wäre:
TV in eigenes Vlan, dazwischen die opnsense die dem TV Zugriff auf dein Heimnetz zu den von dir gewünschten Diensten erlaubt. Dazu DNS sinkhole (Adguard/Phiole). Des weiteren würde ich in der Firewall noch dem TV Port 53 und 853 blockieren damit dieser dein DNS nutzt und nicht umgehen kann.

IPs blocken zu wollen wird und kann nicht funktionieren. Die iPs in einem CDN wechseln mitunter minütlich. Wie schnell sollen da die Regeln aktualisiert werden 🤣

 

[qiller]

Ich will IP-Traffic blockieren (ANY)

Nein, willst du nicht. Du willst "cdn.samsung-werbetracker.com/tracking.js" blocken und genau dafür brauchst du einen Webproxy.

Edit: Um mal klar zu machen, welche Filtermöglichkeiten es so gibt:

• IP/Port Filter
• DNS-Filter
• Webproxy-Filter
• IPS-Filter

Jeder dieser Filtermöglichkeiten hat ihren Zweck. Bei deinem Vorhaben bietet sich halt eine Kombination aus DNS- und Webproxy-Filter an.

Und Filterlisten-/Regeln (egal für welche Filterart) brauchst du so oder so. Die Frage ist nur, wie aufwendig kommst du da ran. Entweder downloaden (ist natürlich das einfachste) oder eben selbst erstellen. Und bei letzteren sind nunmal Domainnamen bzw. URLs schneller in den Webproxy-Logs gefunden, als sich ständig wechselnde IP-Adressen.

"cdn.trackerserver.com" ist nur ein Eintrag. Die dahinter sich auflösenden IP-Adressen zu filtern, könnte hingegen eine Sysiphus-Arbeit werden.

 

[BFF]

cdn.samsung-werbetracker.com

LG macht das ueber Samsung?

 

[qiller]

Ich dachte durch das "werbetracker" wär klar, dass es sich nicht um ein reales Beispiel handelt^^.

 

[CoMo]

TV in eigenes Vlan, dazwischen die opnsense die dem TV Zugriff auf dein Heimnetz zu den von dir gewünschten Diensten erlaubt.

Aber darum gehts doch die ganze Zeit. Wie erlaube ich den Zugriff auf die gewünschten Dienste?

Und wie soll mir ein VLAN da helfen? Dann muss ich Firewall-Regeln für das VLAN statt für das Gerät definieren. Und zusätzlich noch Inter-VLAN-Routing konfigurieren, damit Traffic zwischen den VLANs fließen kann.

Wer einen anständigen DNS Dienst braucht, nimmt Technitium oder Unbound. Aber darum soll es hier ja nicht gehen.

Unbound ist mein DNS-Server auf der OPNSense. Die Clients fragen meinen AdGuard und der fragt den Unbound.

Nein, willst du nicht. Du willst "cdn.samsung-werbetracker.com/tracking.js" blocken und genau dafür brauchst du einen Webproxy.

Dann mache ich das bisher scheinbar komplett falsch. Denn so sieht das für meine IP-Kamera aus:

Blockiere alles, was NICHT LAN als Ziel hat:

block return in log quick on lagg0 inet from <Camera_IP> to ! (lagg0:network) label "00be0ef6efab77a8a23d20b58af4e6b1"
block return in log quick on lagg0 inet6 from <Camera_IP> to ! (lagg0:network) label "00be0ef6efab77a8a23d20b58af4e6b1"
block return in log quick on lagg0 inet6 from <Camera_IP> to fe80::/10 label "00be0ef6efab77a8a23d20b58af4e6b1"
block return in log quick on lagg0 inet from <Camera_MAC> to ! (lagg0:network) label "00be0ef6efab77a8a23d20b58af4e6b1"
block return in log quick on lagg0 inet6 from <Camera_MAC> to ! (lagg0:network) label "00be0ef6efab77a8a23d20b58af4e6b1"
block return in log quick on lagg0 inet6 from <Camera_MAC> to fe80::/10 label "00be0ef6efab77a8a23d20b58af4e6b1"

Und erlaube SMTP Submission (587) zu Posteo, damit die Kamera mir trotzdem Mails schicken kann.

pass in log quick on lagg0 inet proto tcp from <Camera_IP> to <Posteo> port = submission flags S/SA keep state label "17b2a011d8e40000bba4bd84564b1bf7"
pass in log quick on lagg0 inet6 proto tcp from <Camera_IP> to <Posteo> port = submission flags S/SA keep state label "17b2a011d8e40000bba4bd84564b1bf7"
pass in log quick on lagg0 inet proto tcp from <Camera_MAC> to <Posteo> port = submission flags S/SA keep state label "17b2a011d8e40000bba4bd84564b1bf7"
pass in log quick on lagg0 inet6 proto tcp from <Camera_MAC> to <Posteo> port = submission flags S/SA keep state label "17b2a011d8e40000bba4bd84564b1bf7"

Das Alias Posteo besteht nur aus dem Host posteo.de.

Meine Frage war im Grunde: Woher bekomme ich eine aktuelle Liste mit Hostnamen, die für Netflix und Prime Video verwendet werden, damit ich endsprechende Aliases und Allow Regeln konfigurieren kann?

Gerne nähere Erläuterung dazu, wie ich IP- und MAC-Adressen mit einem Web-Proxy filtern kann.

 

[qiller]

Dann mache ich das bisher scheinbar komplett falsch

Und erlaube SMTP Submission (587) zu Posteo, damit die Kamera mir trotzdem Mails schicken kann.

Warum soll das falsch sein. Du hast hier ne normale Whitelist-Filterregel aktiv, um Mailtraffic zu filtern. Passt doch. SMTP ist doch nicht HTTP/S.

Gerne nähere Erläuterung dazu, wie ich IP- und MAC-Adressen mit einem Web-Proxy filtern kann.

Mit einem Webproxy + URL-Filter kannst du speziell Webtraffic (also http/https) filtern. Und wenn du dir mal eine Browser-URL anschaust, dann siehst du auch, wonach man Webtraffic alles filtern könnte: Domainnamen/FQDNs, abweichende Ports (Webtraffic muss nicht zwangsläufig auf Port 80/443 laufen) und sogar nach kompletten URLs.

Meine Frage war im Grunde: Woher bekomme ich eine aktuelle Liste mit Hostnamen, die für Netflix und Prime Video verwendet werden

Mit einem Webproxy schmeißt du Netflix an und guckst anschließend einfach in die access.log rein. Aber vlt gibts solche Listen auch einfach zum Download irgendwo, ka.

 

[CoMo]

Ok. Meine Kamera macht allerhand UDP- und ICMP-Traffic zu IP-Adressen. Das blockiere ich direkt am Router. Das muss auch für den Fernseher so sein. Wie genau mache ich das nun mit einem Webproxy?

Den UDP DNS-Traffic zu Google macht die Kamera übrigens von sich aus. Via DHCP kommt nur mein AdGuard als DNS-Server. Das Gerät ignoriert also meine Vorgaben.

 

[BFF]

Wie erlaube ich den Zugriff auf die gewünschten Dienste?

Finde deren IP plus deren DNS Namen heraus und lass nur DIE durch Dein Konstrukt nach draussen.

 

[mtono8]

eine firewall für den tv? das ist mmn. absurd, weil der fernseher nichts speichert. alles, was zu problem werden kann, ist die firmware des fernsehers und das wissen hersteller. dafür muss man den tv "absichern". das problem des threadstarters ist keins. ich will nicht ärger machen, aber das problem des thradstarters existiert nicht.
ich kann mich geirrt haben und wenn, dann bitte ich um entschuldigung.

cu.

 

[CoMo]

Finde deren IP plus deren DNS Namen heraus und lass nur DIE durch Dein Konstrukt nach draussen.

Danke für den hilfreichen Tipp. Das hat heute schon mal jemand vorgeschlagen.

Wie gehe ich da am besten vor? Hat das jemand schon mal so umgesetzt? Gibt es regelmäßig aktualisierte Listen mit IP-Adressen der entsprechenden CDNs, die wirkich aktuell sind und funktionieren?

Ach ja. Das war ja ich. Im ersten Beitrag dieses Threads.

 

[TheBeastMaster]

Und wie soll mir ein VLAN da helfen? Dann muss ich Firewall-Regeln für das VLAN statt für das Gerät definieren. Und zusätzlich noch Inter-VLAN-Routing konfigurieren, damit Traffic zwischen den VLANs fließen kann.

Ganz genau, es ist arbeit. Das Vlan dient dazu den Zugriff deines TVs auf dein Heimnetz und DEINEN Diensten zu reglementieren. Z.b. auf dein NAS wenn du dort Medien liegen hast. Damit soll nur verhindert werden das ein Unkontrollierbares System wie ein SmartTV nicht in deinem Netzwerk rumlauscht und diese Infos event. nach außen trägt.

Dein Vorhaben NUR externe Dienste wie Netflix und Amazon + vielleicht weitere Streamingdienste zu erlauben auf IP Ebene kann und wird nicht funktionieren weil diese CDN nutzen. Und hier händern sich IP Adressen minütlich. Im Prinzip müsstest du die CDNs ALLE freigeben und damit ist die Kontrolle wieder weg und man kann sich das direkt sparen.

Unbound ist mein DNS-Server auf der OPNSense. Die Clients fragen meinen AdGuard und der fragt den Unbound.

Das ist bekannt, jedenfalls habe ich das angenommen