ubuntuusers.de

Webseiten-Whitelist für Kinderzugang - privoxy, iptables, firefox ?

Status: Ungelöst | Ubuntu-Version: Xubuntu 24.04 (Noble Numbat)
Antworten |

gartenapfel

Anmeldungsdatum:
21. Oktober 2013

Beiträge: 54

Hallo,

Auf einem Laptop für Kinder habe ich eine Whitelist für den Internetzugang erstellt mit Hilfe von privoxy und der Firefox-Konfiguration (systemweite Konfiguration, also für alle User gültig und nicht zu ändern).

Mein Frage wäre, ob es sinnvoller wäre, das entweder nur über die Firefox-Konfiguration zu machen (da gibt es glaube ich die Möglichkeit), oder über iptables (das hätte den Vorteil, dass man es per User einstellen kann, also für einen bestimmten User nur die Whitelist erlauben, ansonsten ausgehend alles offen lassen)

Vor allem wie zuverlässig würdet Ihr die Konfigurationen jeweils einschätzen. Also wie wahrscheinlich oder unwahrscheinlich ist es zum Beispiel, dass mit einem Update die eingestellte Firefox-Konfiguration nicht mehr funktioniert und die Proxy-Settings dann deaktiviert sind. (also plötzlich alle Webseiten erreichbar)

Vielleicht etwas komisch die Frage, wenn es aktuell so funktioniert. Da ich da nicht so viel Erfahrung habe, würde mich einfach interessieren, wie das andere machen würden, oder ob es da eine Empfehlung gibt für eine gute Umsetzung.

Vielen Dank schon mal!

Grüße, gartenapfel

PS: Bitte entschuldigt, wenn das Thema woanders hin gehört, bitte einfach verschieben gegebenenfalls.

Mylin

Avatar von Mylin

Anmeldungsdatum:
23. Juli 2024

Beiträge: 230

Eine Empfehlung wäre, dies auf DNS-Ebene zu lösen. Ich verwende auf meinen Geräten dazu personalDNSfilter.

schwarzheit Team-Icon

Supporter
Avatar von schwarzheit

Anmeldungsdatum:
31. Dezember 2007

Beiträge: 3848

In der Fritzbox kann man auch Filter anlegen und den Kinderrechnern/-geräten zuweisen.

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567

In der Fritzbox kann man auch Filter anlegen und den Kinderrechnern/-geräten zuweisen.

So habe ich das früher, als das bei uns noch nötig war, auch gehandhabt. Hat nebenbei auch den Vorteil, dass man die Filter auch für Tablets und Smartphones anwenden kann, wo sich auf Geräteebene solche Filter nicht so einfach einrichten lassen.

Gruß, noisefloor

gartenapfel

(Themenstarter)

Anmeldungsdatum:
21. Oktober 2013

Beiträge: 54

Hallo,

Vielen Dank für die Antworten!

Fritzbox gibt es in dem Fall nicht, das wäre auch eine gute Lösung.

Ich werde dann probieren, über iptables den Netzwerkverkehr (oder zumindest alles http und https) des entsprechenden Accounts zu privoxy umzuleiten, und in privoxy zu filtern. Dann müsste das nicht in Firefox noch eingestellt werden.

Vielen Dank für den Tipp mit dem personalDNSfilter! Ich mache es lieber komplett mit "Bordmitteln", also was in den Standardpaketquellen enthalten ist. Aber für Android-Geräte wäre das dann schon interessant. Also gut zu wissen sozusagen ☺

Grüße, gartenapfel

schwarzheit Team-Icon

Supporter
Avatar von schwarzheit

Anmeldungsdatum:
31. Dezember 2007

Beiträge: 3848

gartenapfel schrieb:

Fritzbox gibt es in dem Fall nicht, das wäre auch eine gute Lösung.

Was hast du denn für einen Router? Der kann ja vielleicht auch mit Filtern umgehen und zuweisen.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14258

gartenapfel schrieb:

Mein Frage wäre, ob es sinnvoller wäre, das entweder nur über die Firefox-Konfiguration zu machen (da gibt es glaube ich die Möglichkeit), ...

Im FF könntest Du auch:

https://clean.dnsforge.de/dns-query

testen bzw. benutzen.
Quelle: https://dnsforge.de/

sh4711

Anmeldungsdatum:
13. Februar 2011

Beiträge: 1125

lubux schrieb:

... Im FF könntest Du auch:

https://clean.dnsforge.de/dns-query

testen bzw. benutzen.
Quelle: https://dnsforge.de/

Danke für die Info ... zu erwähnen wäre grundsätzlich bei einem solchen Service das man diesem vertrauen können muss.
Damit möchte ich nicht den genannten Service abwerten sondern einfach nochmals auf die Gefahren hinweisen bzw. auf die möglichen Angriffsszenarien , die man mit einem DNS-Server hat.

Edith: typo

gartenapfel

(Themenstarter)

Anmeldungsdatum:
21. Oktober 2013

Beiträge: 54

schwarzheit schrieb:

gartenapfel schrieb:

Fritzbox gibt es in dem Fall nicht, das wäre auch eine gute Lösung.

Was hast du denn für einen Router? Der kann ja vielleicht auch mit Filtern umgehen und zuweisen.

Das ist nicht für mich, es ist irgendeine Box vom Internetprovider (nicht in Deutschland).

Allerdings finde ich es auch interessant, das auf dem Laptop selber einzurichten mit Linux (und ich lerne vielleicht etwas dabei); deshalb habe ich da noch keine Nachforschungen betrieben den Router betreffend.

schwarzheit Team-Icon

Supporter
Avatar von schwarzheit

Anmeldungsdatum:
31. Dezember 2007

Beiträge: 3848

gartenapfel schrieb:

Allerdings finde ich es auch interessant, das auf dem Laptop selber einzurichten mit Linux (und ich lerne vielleicht etwas dabei);

Das will ich dir auch gar nicht absprechen. 😉

gartenapfel

(Themenstarter)

Anmeldungsdatum:
21. Oktober 2013

Beiträge: 54

gartenapfel schrieb:

Ich werde dann probieren, über iptables den Netzwerkverkehr (oder zumindest alles http und https) des entsprechenden Accounts zu Privoxy umzuleiten, und in Privoxy zu filtern. Dann müsste das nicht in Firefox noch eingestellt werden.

Das funktioniert wohl nicht mit Privoxy, wenn ich das richtig verstanden habe. In der config-Datei von privoxy steht:

1
2
3
4
5
6
#      If you don't trust your clients and want to force them to use
#      Privoxy, enable this option and configure your packet filter
#      to redirect outgoing HTTP connections into Privoxy.
#
#      Note that intercepting encrypted connections (HTTPS) isn't
#      supported.

Die Regel, die ich in iptables eingegeben habe, war

1
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner 1001 --dport 443 -j REDIRECT --to-port 8118

Der Account mit UID 1001 konnte dann gar keine Webseite mehr laden.

Wenn jemand eine Idee hat, wie das zu lösen ist, würde ich mich freuen. Aber vielleicht ist es auch eine umständliche Sache so, den Proxy im Browser einzustellen ist glaube ich üblicher.

Grüße, gartenapfel

Antworten |