Sinvolle Firewallregeln im "KidsNetwork"

Es gibt 17 Antworten in diesem Thema, welches 11.822 mal aufgerufen wurde. Der letzte Beitrag () ist von 1stSlave.

    Nachdem nun alles auf Unifi umgestellt ist (UDM-Pro, 2x NanoHD und 1 UAC-AC-M) alle Netzte eingerichtet und zugewiesen gehts nun ein wenig an die Kindersicherung.


    Die Kids hatten Spaß, bis jetzt °° freien und offnen Zugang quasi zu allem, was voher mit der FritzBox nicht der Fall war und nun auch wieder nciht der Fall sein soll.


    Was nutzt Ihr für Firewall Regeln um eine Kindersicherung umzusetzen? Das einfache zeitgesteuerte ein und abschalten des betreffenden WLans reicht mir nicht.


    Was ich gern erreichen möchte:

    Innerhalb eines WLans welches zeitgesteuert an und aus geht soll nur eine gewisse Zeit je Gerät das Internet funktionieren, sagen wir hier eine Stunde im Zeitrahmen von 15-18 Uhr. Der Zeitrahmen ist klar.

    Das KidsNetwork soll nicht auf die anderen Netze zugreifen können, auch klar, Firewall Verbotsregel.

    Bekannte Dienste wie eMule, Bittorent, BineriesNews, ect aus dem KidsNetwork raushalten? (Firewall Portdrop?)

    Bestimmte Webseiten Black oder Whitlisten?


    Wie habt Ihr sowas umgesetzt?

    Danke für Inspiration :smiling_face:

    Gruß

    Lucifor

    Vigor 165, UDM-Pro, USW-24-PoE, 2x UAP NanoHD, 3x UAP-AC-M, TP-Link Gigabit Switch(e), Synoligy DS916+ (24TB), Synology RS4021XS+(160TB), HPE Proliant DL380G9 unRaid (Smart-Home Server, ioBroker, Datanbankserver, ect.), Raspberry 4b (Klipper), AC i3Mega, AC i3 MegaS, AC Kossel, AC Chiron, FB7590 DECT, 2x Dell PowerEdge 1850, diverse Shelly´s, diverse Gosund (Tasmota), Echo Gen4, 4x Echo Dot Gen3, 1x Echo Dot Gen4, Diverse HmIP.

    Bei UniFi sind die genannten Kids Restriktionen nicht umsetzbar bzw. nur in Teilen.

    Wenn man bedenkt, dass die UniFi Zielgruppe eher nicht der klassische Heimanwender ist, ist das sogar verständlich.


    Es gibt die Content Filterung im Controller in 3 Stufen, aber selbst das habe ich wieder herausgenommen, weil z. B. YouTube gar nicht mehr lief und das brauchen die Kids im Homeschooling.


    Zeitkontingente geht nicht. Über die Firewallregeln lässt sich natürlich der Zugriff auf die anderen Netzwerke steuern, das war's.

    Ich habe noch die Mac Adressen der Kids Geräte auf die Deny Liste des Gast WLAN gesetzt, damit sie nicht "ausweichen" können sobald das Kids WLAN aus ist.


    In der Fritzbox kann man in dieser Hinsicht mehr regeln.

    Ich würde das mit der Zeitsteuerung des Wlans und einem Pihole lösen

    Ein hoch interessantes Thema!


    Gerade unter den genannten Aspekten von erisel mit Unifi Hardware/Software eher schwer lösbar.


    Ich würde folgenden Ansatz wählen:


    - Separierung des KIDs Network in ein eigenes VLAN

    - Sperrung der KIDs Endgeräte (MAC Adress Blacklisting) in den anderen Netzen

    - Aufbau eines separaten Gateways (Proxy, DNS, Firewall) mit z.B Pfsense (https://www.pfsense.org/download/) und Einbindung in das KIDs VLAN


    Mein erster Gedanke war, das UDM pro Gästenetzwerk zu verwenden, das bietet einen Teil deiner Anforderungen, allerdings habe ich gelesen, dass es insbes. bei den Vouchers wohl im Moment Probleme gibt, deshalb habe ich von diesem Gedanken erstmal Abstand genommen.

    Dennoch wäre das zumindest einen Test wert.

    ------

    vg

    Franky

    Hi,


    also PiHole sollte für "verbotene" Webseiten gut helfen.


    meine Kinder 25 und 22 sind ohne solche Sperren gross geworden und haben einen guten Umgang mit solchen Medien. Ich finde das immer schlecht wenn man etwas "verbietet oder nicht zulässt". Da wird der Reiz grösser diesen zu umgehen. Wir haben es so oft erlebt das hier Kinder her kamen die hier erst einmal nur am zocken waren weil ich natürlich ein Gastnetz für die Freunde offen hatte. Die sind nur gekommen wenn zu Hause kein Netz mehr war und sie aber weitermachen wollten.



    Meine Kinder habe ich das nie verboten, sondern eindringlich darauf hingewiesen was gut ist und was schlecht ist. Mein Sohn ist heute IT Profi und zeigt mir heute mal was geht und was nicht.


    Ich möchte das mal hart sagen... :smiling_face: Nicht falsch verstehen... Wer solche Sperren einrichtet, ist vielleicht zu faul das mit seinen Kindern zu gemeinsam das zu erfahren.

    Das Internet ist von Haus aus Böse und daher sollte man immer mit bedacht auf die Inhalte schauen. Bisher hat das immer sehr gut geklappt und wie gesagt, meine Kids sind auch gross geworden. Die hatten früh bzw. sehr früh schon ihre Telefone. Gerade weil ihr Papa ja auch Technik affin ist :smiling_face:


    Mein Kids haben auch immer die Regel gehabt, wer so betrunken nach Hause kommt das er nicht mehr kann trinkt mit mir hier weiter. Hat immer gut geklappt. Verbieten kann man das auf dem Dorf nicht, aber ein gute perönliche Einschätzung haben sie erlernt. Wenn es mal zu viel war wurde erstmal etwas rückabgewickelt bevor es nach Hause ging. Hat auch immer gut funktioniert.

    Gefällt mir 4

    Ich gebe dir zu 100% recht. Das Vertrauensverhältnis mit den Kids ist das Wichtigste sowie der offene Umgang und die Thematisierung von problematischen Dingen im www.

    Deshalb habe ich das auch nicht weiter verfolgt und gebe mich mit dem zufrieden, was ich über den Unifi Controller regeln kann.


    Der Zugang zu sensiblen Bereichen, z.B. auf dem NAS ist eingeschränkt, gerade weil ich nie die Nase in die Endgeräte der Kids stecke und nachforsche, was sie da so installieren.

    Wenn sie sich mal eine Schadsoftware einfangen, lernen sie bestimmt was draus und gefährden keine anderen Geräte zu Hause.


    Zusätzlich geht deren WLAN nachts aus. That's it.


    Helikoptereltern sind weder für die Entwicklung von 2-, noch für 12- oder 20-jährige Kinder gut. 100% Zustimmung!

    Hallo zusammen,


    bevor wir hier weitermachen eines vorweg, über Sinnhaftigeit, Vertrauen, Erziehungsmethoden ect. diskutiere ich hier nicht, ich hätte mir denken können das das in diese Richtung geht. Wir sind hier nicht in einem Erziehungsforum. Ihr kennt die Hintergründe nicht, fertig.


    Ich habe bereits ein "Kider Netzwerk" angelegt, jedoch wird keines der Geräte in dieses Netzwerk rübergeschoben. Ich habe in den Endgeräten und in "Einsichten" jeweils das Netzwerk eingestellt und eine IP vergeben, das Gerät landet jedoch immer wieder im Managment Netzwerk? Warum? und ja ich habe der UDM Zeit gegeben das selber zu managen (seit gestern Mittag), nö die Geräte bleiben im Urspungsnetzwerk.

    Auch kann ich das Netzwerk nur nach fester IP Vergabe zuweisen, als DHCP habe ich keine Möglichkeit gefunden, suche ich an der falschen Stelle?

    Gruß

    Lucifor

    Vigor 165, UDM-Pro, USW-24-PoE, 2x UAP NanoHD, 3x UAP-AC-M, TP-Link Gigabit Switch(e), Synoligy DS916+ (24TB), Synology RS4021XS+(160TB), HPE Proliant DL380G9 unRaid (Smart-Home Server, ioBroker, Datanbankserver, ect.), Raspberry 4b (Klipper), AC i3Mega, AC i3 MegaS, AC Kossel, AC Chiron, FB7590 DECT, 2x Dell PowerEdge 1850, diverse Shelly´s, diverse Gosund (Tasmota), Echo Gen4, 4x Echo Dot Gen3, 1x Echo Dot Gen4, Diverse HmIP.

    Das Gästenetz fällt aus, das brauche ich tatsächlich ziemlich oft für Gäste, das wird über einen ioBroker je nach Notwendigkeit eingeschaltet und über die AP´s ausgestrahlt. Ich versuche gerade die Geräte in ein anderes Netz zu separieren, klappt aber irgendwie nicht. Als VLAN kann ich kein IP Bereich angeben und als Netzwerk werden die Geräte nicht rübergeschoben.. Ich vermute ein Neustart der UDM hilft hier ab.. Ich habs aber nicht ausprobiert, man kann doch nciht bei jeder Änderung die UDM neu starten, das sollte es nicht sein.

    Gruß

    Lucifor

    Vigor 165, UDM-Pro, USW-24-PoE, 2x UAP NanoHD, 3x UAP-AC-M, TP-Link Gigabit Switch(e), Synoligy DS916+ (24TB), Synology RS4021XS+(160TB), HPE Proliant DL380G9 unRaid (Smart-Home Server, ioBroker, Datanbankserver, ect.), Raspberry 4b (Klipper), AC i3Mega, AC i3 MegaS, AC Kossel, AC Chiron, FB7590 DECT, 2x Dell PowerEdge 1850, diverse Shelly´s, diverse Gosund (Tasmota), Echo Gen4, 4x Echo Dot Gen3, 1x Echo Dot Gen4, Diverse HmIP.

    meine kids sind zwar noch zu jung füe eigenes netwerkzeug aber hab vorab zum testen mal ein netzwerk mit zeitgesteuertem wlan angelegt. andere netzwerke gesperrt. einzelne geräte wie drucker und nas sind erlaubt.


    das mit dem schutz muss ich mir noch ansehen wie gut das läuft...

    Netzwerk:
    1x UDM Pro | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | (1x US-24 Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    2x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Lucifor


    Wie ist die Netzanbindung der Endgeräte der Kids?


    Kabel? (Dann solltest Du die Switchports der "Kids Endgeräte" auf das VLAN taggen ODER die Endgeräte auf das VLAN taggen, wenn sie VLAN tagging beherrschen)


    WLAN? (dann wirds schwierig, denn dann klappt effektiv nur noch, dass Du das VLAN an alle Broadcastest und dann die Endgeräte taggen, aber da sehe ich eher schwarz für die Umsetzung. Alternative wäre eigene SSIDs für die Kids bereit zu stellen).


    Btw.: Tips für Kindererziehung sollten wir uns hier sparen. Hier ist ein Technikforum und - meines Erachtens - steht es hier keinem zu bei diesem heiklen Thema belehrend zu sein.

    ------

    vg

    Franky

    Gefällt mir 1

    Hi,


    ich habs herausgefunden :smiling_face: Ich hab eine extra SSID für die Kids. Mir war nur nicht klar (und da hätte ich eig. auch nie gesucht) passiert die Zuweisung zum VLAN dann im AP. bzw in den Wireless Netzwerken.

    Gruß

    Lucifor

    Vigor 165, UDM-Pro, USW-24-PoE, 2x UAP NanoHD, 3x UAP-AC-M, TP-Link Gigabit Switch(e), Synoligy DS916+ (24TB), Synology RS4021XS+(160TB), HPE Proliant DL380G9 unRaid (Smart-Home Server, ioBroker, Datanbankserver, ect.), Raspberry 4b (Klipper), AC i3Mega, AC i3 MegaS, AC Kossel, AC Chiron, FB7590 DECT, 2x Dell PowerEdge 1850, diverse Shelly´s, diverse Gosund (Tasmota), Echo Gen4, 4x Echo Dot Gen3, 1x Echo Dot Gen4, Diverse HmIP.

    Gefällt mir 1
    Zitat von Samhain

    Btw.: Tips für Kindererziehung sollten wir uns hier sparen. Hier ist ein Technikforum und - meines Erachtens - steht es hier keinem zu bei diesem heiklen Thema belehrend zu sein.

    Du hast vollkommen recht!



    tomtim  erisel  Lucifor



    Und deshalb; Kindererziehung kann nicht von Netzwerksystemen übernommen werden!

    Und genau dieser Ansatz führt hier zur Kontroverse, und die Diskussion darüber, die Lucifor eröffnet hat!!!!


    Ich versuche ja auch nicht, den Bürgern in dem Dorf in dem ich lebe, den Alkohol abzunehmen damit diese ihn nicht an meine Kinder weitergeben können. Damit würde ich wohl scheitern!


    Ja, ich weis! Aber es ist halt eine Hyperbel!



    Also; klare Fragen zu technischen Herausforderungen führen zu klaren Vorschlägen!



    Formulierte Problemstellungen im psychosozialem Bereich führen zwangsläufig zu diesen Antworten.



    Gruß!

    Und wo genau war jetzt der technische Teil in diesem Beitrag? :winking_face:

    Hi,


    hab die meisten der gewünschten Punkte bei mir mit einer Unifi Kiste umsetzen können:


    1. eigenes Netz(VLAN) für die KIDS

    2. dieses einer eigenen KIDS-SSID zugeordnet - diese kannst du auch zeitlich ein- und ausschalten

    3. APP Blocking über Traffic Rules und diese an das KIDS Netz gehängt

    4. Domain Blocking über Traffic Rules

    5. Inter VLAN Blocking Firewall Regel - wurde hier schon oft erklärt

    6. Action Logging für Regeln eingeschalten


    Hoffe es hilft etwas...


    Gruß

    Zitat von 1stSlave

    Frage, zeigt die DreamMachine an was welches Gerät für Seiten besucht hat?

    nein, dafür bräuchtest du https Entschlüsselung und entsprechend Zertifikate auf allen Geräten. Mit einem Pihole zb sieht man zumindest ein bisschen.

    Gefällt mir 1