Wie kann ich verhindern, daß IP-Adressen meinen Router nach draußen verlassen?
Natürlich exklusive der DNS-Server-IPs. Pi-hole kann das samt dnsmasq oder stubby nach meiner Kenntnis prinzipiell nicht.
4 Antworten
Die Frage ist nicht wirklich klar. Jedes IP-Paket, welches Deinen Router verlässt, hat als Absender-IP-Adresse die IP-Adresse des Routers (bei IPv4) oder die IP-Adresse des Endgerätes (bei IPv6). Als Zieladresse steht natürlich die Adresse des Ziels drin. Das ist unvermeidbar.
Wenn Du verhindern möchtest, dass bestimmte Geräte in die Welt kommunizieren, hilft eine Firewall.
Weil Pi-Hole DNS-basiert arbeitet, ist natürlich alles, was direkt mit der IP-Adresse ohne DNS arbeitet, außen vor. Also Firewall.
Ok, muss mal sehen, ob, was ich da dann auf den Pi bekomme.
Auf dem Pi ist iptables bzw. nftables in der Regel installiert.
Habe schon mal mit unbound geliebäugelt, ist nur ganz schö einarbeitungsintensiv das tool.
Unbound ist doch auch ein DNS-Server. Ich finde den nicht sonderlich komplex, nicht komplexer als dnsmasq, worauf Pi-Hole basiert. Vor allem beherrscht unbound DNS over TLS und DNSSEC.
Ein Ersatz für eine Firewall ist das aber nicht.
Das stimmt, aber gehen direkte IPs nicht direkt zum Router? Muss also wohl auch DHCP usw. komplett über den Raspi laufen lassen.
Das stimmt, aber gehen direkte IPs nicht direkt zum Router?
Richtig. Ansonsten geht nur die DNS-Anfrage an den Pi-Hole, die eigentliche Anfrage, die dann ja IP-basiert ist, geht direkt zum Router.
Ergo muss die Firewall auf dem Router sein. Hast Du sie auf dem Pi, muss der Pi der Router, also das Gateway sein. Sprich: Der DHCP-Server muss den Pi als Gateway bekannt geben. Wenn das auf dem Heimrouter nicht konfiguriert werden kann, muss der Pi DHCP-Server spielen.
Die Endgeräte hängen also am Pi, der muss also auch Accesspoint spielen. Zwischen Pi und Heimrouter hast Du dann ein Transfer-Netz, der Heimrouter muss eine Route zum Netz haben, in dem die Endgeräte stehen.
Das ist also nicht ganz unaufwändig.
Besten Dank, dass das nicht einfach mal so zu lösen ist, ist mir ja auch schon aufgegangen. Eigentlich schlimm, dass so ein mögliches Schlupfloch so schwer zu umgehen ist. Wenn ich mich jetzt nicht irre, nutzt sogar Microsoft direkte IP-Adressen für bestimmte Sachen.
Jedenfalls danke für die Anregung, andere "Koryphäen" hier sind bedauernswert unsachlich. Ok, ich habe die Frage auch etwas zu schnell, unbedacht gestellt, bin manchmal halt etwas ungeduldig... ;--)
Eigentlich schlimm, dass so ein mögliches Schlupfloch so schwer zu umgehen ist.
Ein Schlupfloch muss nicht umgangen, eher gestopft werden :-)
Heimnetze und die Komponenten dafür sind leider sehr einfach gestrickt. Man kann Geräten allenfalls über Funktionen wie die Kindersicherung den Internetzugriff komplett verwehren.
Wenn ich mich jetzt nicht irre, nutzt sogar Microsoft direkte IP-Adressen für bestimmte Sachen.
Keine Ahnung, da bin ich nicht so tief drin.
Also... Ich habe zu Hause einen eigenen DHCP Server, an dem dann die WLAN Router und LAN Router angeschlossen sind.
Sprich: Kabel Modem (Bridge Mode) - DHCP Server (Linux Server) - WLAN Router und 10 GBit Switch
Auf dem Linux Server kann ich dann auch entsprechende IPs blockieren.
Mit einem Router vom ISP ist sowas nicht möglich. Da musst du schon was eigenes nehmen. Ob das mit der FritzBox geht, weiß ich nicht.
Könnte also der Raspberry mit pi-hole auch statt der Fritzbox den DHCP-Server machen.
Ja, ich kann aber nicht sagen, sperre alle IP-Adressen, außer die DNS-Server. Internet-Sperren habe ich ja drin, aber wenn ich nicht grundsätzlich Internet gesperrt haben will, sondern per whitelist einige erlaubt, dürften "heimliche" IPs nicht gesperrt sein.
Weiß ich... ;--)) Was ich will, ist vermeiden, dass irgendwas Aufrufe nach "draußen" am DNS vorbei direkt via IP machen kann. Im Prinzip also alle direkten IP-Aufrufe sperren exklusive der DNS-Server. Übliche DNS-Aufrufe regele ich per Pi-hole, was ja sehr gut klappt.
Wie kann ich verhindern, daß IP-Adressen meinen Router nach draußen verlassen?
Brauchst Du nicht - tun die nicht.
Es sei denn Du verwechselst die interne IP eines LANs mit der externen IP des Internet-Gateways.
Nur: Die interne IP geht nicht nach draußen und die externe IP ist schon draußen. 🤷♂️
Woher weißt Du denn das mit Sicherheit? Ich kann auch GF am DNS vorbei mit der IP aufrufen. Es geht nicht um die interne IP, sondern darum, dass irgendwas "draußen" direkt via IP aufgerufen wird.
Na jetzt stellst Du eine komplett andere Frage.
Von draußen kann nichts direkt die interne IP aufrufen - diese IPs existieren im jedem LAN - woher soll das Internet denn das differenzieren können?
Wenn es Dir um den umgekehrten Weg geht:
Wenn ein Netzwerkgerät im LAN nicht ins Internet soll, dann muss dies im Router so eingestellt werden - sofern der Router dazu in der Lage ist.
Normale Fritzboxen beherrschen das beispielsweise über die Kindersicherung.
Das weiß ich alles... es geht nicht um Zugriffe von draussen, sondern darum: Meine Webcam "quasselt" dauernd mit <heimserver>.com, das kann ich blocken, via Pi-hole sogar selektiv. Aber wenn die Webcam nun eine Verbindung zu 89.xx.yy.zz aufbaut, das geht doch an Allem vorbei. Dies zu blocken, darum geht es mir.
Habe meine Frage nicht klar formuliert: Es geht mir nicht um die Preisgabe interner Adressen, sondern nur um's Verhindern, dass Geräte direkt via IP-Adfresse, ohne DNS-Abrfage nach Hause telefonieren.
Noch mal klar und deutlich: DIESE FRAGE WURDE VON MIR BEREITS BEANTWORTET.
Das Fazit, dass Du das nicht erkennst, deutet eher darauf hin, dass Du entweder Antworten nicht liest oder nicht kapierst. Keine Ahnung, was zutrifft - ist beides nicht sehr schmeichelhaft.
Ich werde mich jedenfalls nicht wiederholen.
e.o.d.
Sorry, Du hast meine Frage schlicht nicht verstanden... schade, sei's drum.
Wenn meine Webcam mit der interen IP 192.168.178.99 eine direkte Anfrage an den Herstellerserver, sagen wir 93.xxx.yyy.zzz abschickt, was hat das mit der internen IP zu tun? Wieso sollte die Webcam das denn nicht machen können?
Persönlich werden statt sachlich bleiben ist sicher eher nicht der Sinn des GF-Prinzips.
Nein man kann sie nur verschleiern , wo durch es mühselig ist sie herauszufinden
Eine Webcam kann ihren "Heimserver" entweder per <Heimserver>.com oder direkt über die IP aufrufen, das geht doch dann vorbei an z. B. meinem Pi-hole.