LG TV ausperren ohne Netflix/Prime zu beeinträchtigen

Es gibt 12 Antworten in diesem Thema, welches 5.272 mal aufgerufen wurde. Der letzte Beitrag () ist von Felixtux.

    Moin ihr Wissenden.


    Neuer LG TV soll einmal mit seinen LG Servern nicht mehr telefonieren und die Sender über HbbTV will ich auch sperren. Netflix/Prime sollen funktionieren.

    Im Firewall den LG TV abklemmen (per fester IP und/oder MAC ) war kein Problem.

    Nun Netflix wieder öffnen. Kein Problem , Netflix Seite sagt mir die IP Adressen die ich im Firewall wieder öffnen muss.

    Leider sind zwei URLs dabei die vermutlich mit wechselnden IPs aus einem Pool gespeist werden.

    Wie ich nun gelesen habe kann ich im Firewall keine URLs statt IPs eingeben.

    Geht es irgendwie doch?

    Bastellösungen mit Script ( periodisch die URLs abfragen und dann die aktuellen IPs irgendwie in den Firewall rein basteln) wollte ich nicht.


    Anderer Lösungsansatz wäre den LG TV wieder frei zu geben. LG Server sind wohl als URLs verfügbar, die könnte ich dann über PiHole sperren. Bei HbbTV ist es nur teilweise möglich , Gemisch aus IPs und URLs habe ich gesehen , jeder Sender macht da eigenen Kram.


    Also wäre die erste Variante ( alles sperren und nur die gewünschten Dienste freigeben) die saubere Lösung , aber wie bekomme ich die URLs in den Frewall?


    Danke Euch

    Ich würde da Pihole oder Adguard zum Blocken nehmen… das ist einfacher.

    Gruß

    defcon

    schau mal unter traffic management.

    dort kannst apps sperren / erlauben bzw domain blocken / erlauben

    Schau dir mal diese Filterliste für Adguard / Pihole an, die ist für Smart-TV.


    Da kannst du dir dann passende Domains raussuchen und blocken per Firewallregel - ich würde dafür einfach einen Alias anlegen

    Also ich habe pi-hole zentral auf WAN gelegt so das alle VLANs versorgt werden, die zwei LG TVs hatte ich schon in einem VLAN separiert.

    Dazu die passenden Server/Domäne aus den genannten Listen dem pi-hole gegeben und das Ergebnis ist bis jetzt gut.

    Werde mir bei Gelegenheit und Laune die Logs vom pi-hole zu Gemüte ziehen ob man noch mehr abklemmen kann.


    Danke an Alle die geantwortet haben

    Zitat von Felixtux

    pi-hole zentral auf WAN gelegt

    Ist der PiHole auch physikalisch auf der WAN-Seite?

    Hier läuft ein PiHole physikalisch im LAN und war auch für die UDM-P für die WAN-Seite als DNS eingestellt.

    Das lief auch hervorragend bis die 7.1 der Network-Software kam. Nach dem Update kam die UDM nicht mehr Online und war kaum bis garnicht ansprechbar.

    Es hat mich mehrere Resets und Widerherstellungen gekostet, bis ich den Feher endlich gefunden habe.


    Zitat von Felixtux

    Also ich habe pi-hole zentral auf WAN gelegt so das alle VLANs versorgt werden

    Das klappt hier auch ohne den PiHole als WAN DNS einzustellen.

    Bedingung ist natürlich, das DNS-Zugriffe in andere VLANs zugelassen sind.

    Mehr als Holsteiner kann der Mensch nicht werden :winking_face:

    Ich habe eine USG-3P Version4.4.56 (die USG Pro 4 steht schon in der Kiste daneben) und pi-hole läuft auf einem NUC der mit fester IP im LAN hängt. Habe diese LAN IP nur auf der WAN Seite als DNS Server eingestellt. Funktionierte schon vor 2 Jahren , danach hatte ich pi-hole in die LAN Seite geholt da ich so sehen konnte wer welche IP anfragte.Bin jetzt wieder auf der WAN Seite und sehe nun nur die IP der USG im pi-hole log. Ist aber kein Beinbruch.


    Linuxer Du hast wohl eine UDM , ich das USG , gibt es da Software Unterschiede? Weiterhin die Frage wie Du Dein pi-hole auf der WAN Seite eingebunden hast? Ich hab hier ein Kabelmodem im Bridge-Modus welches für die WAN Seite eine IP bereit hält. Das war es. Da müsste ich ja irgendwie den NUC mit pi-hole an die zweite WAN Buchse stecken und es im USG passend konfigurieren?

    Zitat von Felixtux

    Du hast wohl eine UDM , ich das USG , gibt es da Software Unterschiede? Weiterhin die Frage wie Du Dein pi-hole auf der WAN Seite eingebunden hast? Ich hab hier ein Kabelmodem im Bridge-Modus welches für die WAN Seite eine IP bereit hält. Das war es. Da müsste ich ja irgendwie den NUC mit pi-hole an die zweite WAN Buchse stecken und es im USG passend konfigurieren?

    So richtig verstanden hab ich nicht was du da gebastelt hast.


    Der Pihole gehört ins LAN und wenn du mehere LAN's / VLAN's hast, trägt du dessen IP(s) eben in jedem LAN/VLAN als DNS-server ein und mit Firewallregeln erlaubst du den Zugriff darauf.

    @Tuxtom007 pi-hole ist im körperlich im LAN, nur unter Internet > WAN > DNS Server mit seiner LAN IP eingetragen

    Im LAN und dem VLAN ist als DHCP Name Server "Auto" eingetragen , also das USG .Die DNS Anfragen aus LAN/VLAN landen beim USG und das USG leitet sie weiter auf das pi-hole. pi-hole löst die Anfragen auf ( oder blockt sie) und schickt sie wieder zum anfragenden USG. USG schickt sie wieder zurück in LAN/VLANs zu den anfragenden Clients.

    So mein Verständnis des Ablaufs . Funktioniert auch so ohne am Firewall zu schrauben.

    Ok. dann ist gut, hatte schon Befürchtungen.


    Funktioniert sicherlich aber keine glückliche Lösung, weil deine DNS-Anfrage doppel weitergeleitet werden, kostet natürlich Zeit, aber wenns für dich passt, ok

    Ist nur ein Heimnetz, da kann ich die Pause verschmerzen :winking_face:


    Wichtig ist ,ich muss es verstehen und es darf kein Fehler drin stecken.

    Wenn ich das große USG in Betrieb nehme kann ich ja mal die andere Variante über die FW Regeln probieren.


    Danke für Eure Hilfe

    Zitat von Felixtux

    Wie ich nun gelesen habe kann ich im Firewall keine URLs statt IPs eingeben.

    Geht es irgendwie doch?

    Bastellösungen mit Script ( periodisch die URLs abfragen und dann die aktuellen IPs irgendwie in den Firewall rein basteln) wollte ich nicht.

    Da Du ja oben USG als Label ausgewählt hast und nun das "große" USG in der Kiste neben dem Tisch stehen hast, wird das auf beiden nicht gehen, denn als Firewall arbeitet im Hintergrund iptables - das IP in iptables kommt nicht von ungefähr.


    Ferner kann ich nur empfehlen, den / die / das pi-hole im jeweiligen VLAN als DNS-Server einzutragen (also nicht AUTO bei DHCP Name Server), denn nur so hast Du die Chance auch einzelne Clients zu konfigurieren. Was die USG als DNS nutzt ist dann hier zweitrangig.

    Moin razor


    das war der Sinn der Frage , gibt es durch die GUI vom FW eine Umsetzung von URL Netflixcloudodersowas.xxx auf IP xxx.xxx.xxx.xxx für IPtables. z.B. indem eine URL in Klammern gesetzt wird und der Parser dadurch erkennt das die URL erst aufgelöst werden muss.


    AUTO bei DHCP Name Server war jetzt die schnelle Nummer , wenn ich das große USG anfasse mache ich es für die VLANs extra.


    Danke Dir


    Update : VLANs bekommen jetzt pihole über FW . Damit ist "AUTO bei DHCP Name Server" raus und ich sehe wieder im pihole welcher Client es war.

    Einmal editiert, zuletzt von Felixtux ()

    Gefällt mir 1