Ext. Netzwerksperre

  • Gibt es eine Einstellungsmöglichkeit am Rechner oder Router den Zugriff außerhalb des internen Netzwerks zu kontrollieren oder auf einfache Art zu unterbinden?
    Habe z.B. einen Nuc mit gekaufter Roonlifetime Lizen laufen, muss aber nicht sein, dass alle Infos zu meinen gespielten Liedern irgendwohin gesendet werden.
    Wenn ich gezielt ins Internet will also Surfen, mailen usw. dann möchte ich den ext. Zugriff freigeben, wenn nicht, dann soll auch kein Traffic rausgehen. Ist das mit vertretbarem Aufwand möglich?

    Es über eine zeitliche Einschränkung oder Filter je Anwendung zu regeln halte ich für zu umständlich. Besser fände ich wenn ein Anwendung oder ein Script gestartet würde, welches z.b. alle ext. Adressen blockt, o.ä.
    Einen arbeitslosen Raspberry hätte ich auch noch,)

  • Du könntest im NUC keine Gateway (Router) Adresse eintragen. Dann kommt er 100% nicht mehr raus.

    Im LAN ginge aber noch immer alles.

    Um ins WAN zu kommen müsstest du dann nur das Gateway ergänzen....

    PiHole halt ich für weniger passend, da du damit eher gezielt Adressen sperren kannst, aber du möchtest ja gar keinen Internet Zugriff (wenn ich dich richtig verstehe).


    -Heimo

  • Bin mit den Netzwerkdetails nicht ganz so vertraut und probiere das gern mal aus.

    Am liebsten/ einfachsten ein Funktionalität wie bei Wlan an/aus über einen direkt zugänglichen Schalter.

    Der DNS Server übersetzt, wenn ich es richtig behalten habe, Namen in IP Adressen.

    Wenn man aber direkt IP Adressen verwendet benötigt man ihn dann trotzdem? So wie beim telefonieren, wenn ich die Nr. kenne benötige ich den DNS ( Telefonbuch) nicht, wie gesagt ich teste das mal,)

    Muss mich mal etwas intensiver damit beschäftigen.

  • Little Snitch? Mit einen Klick erlauben oder nicht?

  • Hört sich sehr vielversprechend und interessant unabhängig von meinem Anliegen an, thx.

  • Ist absolut Praxistauglich. Und unmengen an Regeln Pro App die du limitieren kannst. Schau es dir mal an und der Preis geht eigentlich auch. Regelmässige Updates, Sogar unter Bigsur läuft das Tool schon. Ich kenn kein besseres. Als Mac User ein MustHave

  • wenn du weisst (ip oder name), wo der rechner nicht hintelefonieren soll, dann kannst du die adressen einfach in der /etc/hosts datei sperren:

    jeweils eine zeile, erst den namen, danach ohne trennzeichen (nur leerzeichen oder tab, aber guck nach, wie die anderen zeilen in der datei aussehen, dabei bin ich nicht 100%ig sicher) 127.0.0.1

    damit leitest du die "telefonanrufe" zum "lokalen horst" um ;-)

    im prinzip passiert dann das gleiche, wie wenn du in dein telefon deine eigene telefonnummer eintippst.

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist ERSTMAL WIEDER WEG!! nächster termin: fällt wg. lockdown leider aus

  • genau grt, dafür gibt es aber auch ein Tool hier gas mask

  • Noch habe ich keinen Überblick über die Adressen welche ich ev. sperren möchte.

    Das litte Snitch läuft auf dem iPad nicht, da muss ich dann später mal am Rechner ran und schauen ob und wie;)

  • Ich verstehe das so:

    Es gibt ein NUC, auf dem läuft Roon.

    Die/das Roon-Programm(e) sollen nicht ins Internet dürfen (call home).

    Gelegentlich soll auf dem NUC ein Browser o.ä zwecks surfen benutzt werden.


    Durch den Mischbetrieb (block roon und gelegentliches Surfen) wird das m.E. recht aufwändig und ggfs nicht zu 100% gelingen.


    M.E. gäbe es folgende Ansätze:

    NUC soll/darf nie ins Internet: 100% kein Call Home möglich.

    Umsetzungsmöglichkeiten:

    *Standard Gateway auf NUC entfernen.

    *Fritz!Box benutzen und dort Kindersicherungsprofil für NUC-IP einrichten.

    *lokale Firewall nutzen und Traffic ins Internet sperren.


    oder nur Roon darf nicht ins internet, rest auf NUC aber schon:

    Umsetzungsmöglichkeiten:

    *lokale Firewall mit regeln auf Prozessbasis (Roon Prozesse deny). Problem? Wie erkennt man die Roon Prozesse?


    *lokaler IP Filter oder am Router (FritzBox): Problem: trial error bzgl destination IPs und somit ggfs kein 100% Erfolg und damit ggfs verschwendete Zeit/Mühe


    *DNS Filter (Pi-Hole): Problem: Trial Error bzgl. FQDNs und somit ggfs kein 100% Erfolg (Zeit/Mühe).


    Gruß, T

  • /etc/hosts ist im normalfall der einfachste ip-filter. und läuft lokal, man muss keine verrenkungen mit externen geräten machen, die im prinzip genaudasselbe tun, nur mit deutlich mehr aufwand.

    sobald der nuc online geht, muss man davon ausgehen, dass er das herumtelefonieren anfängt, ggf. auch, wenn man das betreffende plapperprogramm gar nicht gestartet hat. gateway nur bei bedarf eintragen, hilft daher eher nix.

    gezieltes blockieren des unerwünschten traffics erfordert erstmal recherche, wohin der traffic gehen würde, damit die betreffenden ips &| adressen überhaupt blockiert werden können. egal, mit welchem mittel das letztendlich geschieht.

    und da im allgemeinen eine dns-abfrage zuerst lokale dateien (/etc/hosts) und dann erst dns-server nach der gesuchten "telefonnummer" inspiziert, wär für mich die etc/hosts auch die erste anlaufstelle fürs blockieren. auch deshalb, weil so adressen ganz gezielt (ghf.) auch nur auf dem einen rechner blockiert werden können, der betroffen ist.

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist ERSTMAL WIEDER WEG!! nächster termin: fällt wg. lockdown leider aus

  • hallo,

    ich setze idr die adressen in der hosts auf 0.0.0.0 bzw. lasse die 127.0.0.1 bzw. 127.0.0.0 localhost zu 0.0.0.0 ändern - die unterschiede der beiden siehe hier - https://www.computerweekly.com…IP-Adresse-0000-verwendet

    lg :)

  • Naja mir erscheint aber ehrlich gesagt Little Snitch als der für canyonwalker gangbarste Weg einfach weil die Kleine Petze Traffic gezielt auf App Basis blocken kann wobei sämtlicher ausgehender und eingehender Traffic der App analysiert wird und ggf. neu hinzugekommene oder geänderte Verbindungen ebenfalls erfasst werden und automatisch in das Ruleset aufgenommen werden (etwa nach App Updates). Die Lösungen welche manuelle Eingriffe erfordern (hosts file, PiHole etc.) setzten voraus das man den Traffic mal grundsätzlich erstens kennt und genau benennen kann und zweitens auch ständig auf dem Schirm hat (gerade das host file ist nämlich auch so ein Kandidat der gerne mal bei OS Updates überschrieben wird)...

  • Ich werde mir jetzt nach kompletter Neuinstallation und Grundeinrichtung erstmal ein Image ziehen und sichern, damit ich mir fürs nächste Mal die Zeit dafür sparen kann. Früher, also vor gefühlten Ewigkeiten, hab ich das unter Windows immer mit Trueimage gemacht, jetzt dann mit CCC.

    Dann werde ich mich mal mit dem Snitch beschäftigen. Was ich genial fände wenn ich das nicht auf jedem einzelnen Rechner machen müsste.

    Für den Anfang und zum Lernen ist das sicher super, aber in einem weiteren Schritt würde ich dann das gesamte Netzwerk überwachen können und wollen. Denn mit all den netten kleinen Boxen wie echo dot, Fire TV, Tablett, Laptop, Drucker und sonstigem kommt da sicher einiges zusammen.

    griven geht sowas auch für den gesamten Inhouse Traffic, wenn man die jeweilige IP angibt?

    Wäre ja mal ganz interessant was, wann und wie häufig Geräte autom. Verbindungen herstellen und wohin,)

    Einen Raspberry könnte ich sicher zwischenschalten, falls erforderlich für Stufe 2.

  • Für die geplante Stufe 2 wirst Du mit der Petze nicht wirklich weiterkommen denn die kann jeweils nur den Traffic von dem Rechner überwachen auf dem sie läuft. Ich bin kein Netzwerexperte denke aber das hier dann eher eine Proxy Lösung oder ähnliches her muss über die dann gesamte ausgehende und möglicherweise auch eingehende Traffic läuft. Wenn Du eine kostenfreie und obendrein Quelloffene Alternative zu LittleSnitch zunächst mal testen möchtest kann ich Dir LuLu ans Herz legen (https://objective-see.com/products/lulu.html) im Kern macht LuLu das selbe wie die kleine Petze ;)


    Ich bin mir aber sicher das wir hier Leute im Forum haben die Dir/uns genau erklären können wie man sowas mit einem Raspi umsetzen kann (ich bin froh das ich meinen als Homebridge laufen haben und bin glücklich damit)...

  • Danke Dir, fange erstmal ganz klein an und dann schauen wir mal wieviel Zeit es kostet um da einzusteigen;)


    Gibt ja genügend interessante Dinge die ich mir mal ansehen möchte.


    Bei der Gelegenheit, auch wenn wir uns noch nicht wieder treffen dürfen, sind die Umbauarbeiten schon beendet, wäre ja schön und ein Highlight für die hoffentlich nahe Zukunft.

  • Leider erfährt man dazu nix und die offizielle Seite vom uph spricht nach wie vor vom Herbst getan hat sich auf der Seite aber nichts mehr...

  • Wäre doch eine Möglichkeit.



    und unter:

    links oben Apfel anklicken -> Umgebung -> kein Internet anklicken

    geht am schnellsten

    Edited once, last by luxus13 ().