WAN IP täglich erneuern?

Ich setze bereits den pfBlocker ein der auch recht schön Filtert.
Dazu den Quad9 DNS Dienst der ja ebenfalls Maleware filtert und meine pfSense so konfiguriert das sämtliche DNS Anfragen über meinen DNS Resolver (pfBlocker hat sich da ja eingeklingt) laufen muss. Der fragt mit "DNS Query Forwarding" die von mir angegebene Quad9 Server an. Auch eigene Anfragen von Rechnern im Netz an Port 53 bzw. 853 werden per Portforwarding in der pfSense an 127.0.0.1 geleitet.

Mit diesen Einstellunge habe ich schon mal abgesichert das niemand an pfBlocker vorbei kommt und auch niemand eigene DNS Dienste außer die von mir konfigurierten nutzen kann.

Mit dem Reconnect dachte ich halt nur als EIN zusätzliches Hilfsmittel. Ein Problem habe ich ja mit neuen IPs nicht.
Wer auch immer (Behörden, Hacker, Tracker,...) sonst einen Nutzen von meiner statischen IP haben kann. Theoretisch kann ja ein Hacker über Wochen meine IP Maltretieren. Wenn die sich aber ändert, bin ich erstmal weg.

Netzwerkartikel, statt Damenbindenwerbung ist natürlich besser falls Werbung irgendwie durchkommt ;)
Da hast du recht. Entweder die Schalten Werbung oder sie Schalten Werbung die einen interessiert.

Das mit DNS over HTTPS war noch neu für mich. Das geht ja nicht über die UDP DNS Ports sondern über Port 443. Ja das kann ich mit dem Portforwarding nicht abfangen. Das ist ja Sabotage beim Kinderschutz. Ich will ja nicht mal primär verhindern das Benutzer aus dem LAN das böswillig machen (ist ja erstmal die eigene Familie), aber wenn die Browser anfangen so was per Default zu aktivieren und dann per Default ihre eigenen DNS Server da eintragen dann kann pfBlocker etc. doch nicht mehr funktionieren.

pfBlocker hat eine Einstellung um „DNS over HTTPS“ und „DNS over TLS“ im Browser zu unterbinden. Jedenfalls ist ein Eintrag für Firefox enthalten. Dann soll die pfSense nur meine DNS over TLS Einrichtung im Resolver mit Quad9 nutzen.
Was pfBlocker dazu genau tut weis ich noch nicht. Es ist auch nur was zum Blocken des Firefox dabei. Keine anderen Browser.
Gibt es mittel sowas grundsätzlich im Netzwerk zu unterbinden?

Vielen dank für die vielen Erleuchtungen.
Das war ein Interessanter Artikel. Mozilla beschreibt da ja selber die Tücken von DoH und hat in ihrem Firefox einen Schalter eingebaut, der auf Netzwerkebene aktiviert werden kann, aber nicht funktioniert wenn der Benutzer des explizit angeschaltet hat. Soll nur gegen die Default Einstellung des Browser schützen was wohl derzeit nur in Amerika der Fall ist.

Ich für mich habe jetzt die Wahl getroffen über den Feed von "The Great Wall" im pfBlocker die ganzen DNS Server die HTTPS anbieten zu sperren.

Im Firefox dann die EInstellung zur Nutzung von DNS over HTTPS aktiviert mit Cloudflare und der pfBlocker macht das daraus
Funktioniert also gut

Da ich den DNS Resolver in pfSense mit Forwarding an die Quad9 Server betreibe und zusätzlich jegliche Anfragen an Port 53 bzw. 853 an die pfSense weiterleite (das wär jetzt auf Grund der Blockierung nicht nötig aber doppelt hält besser), erhalte ich zusätzlich das Bild

Die Abfrage an Quad9 von meinem Resolver wird durch den pfBlocker mit "The Great Wall" nicht blockiert. Nur die internen LAN Netze können nicht auf die DNS Server direkt zugreifen, sondern müssen über meinen Resolver.
Also funktioniert erstmal so wie ich es mir erhofft habe.

Kinder / Jugendliche
Da ich selber ein paar habe und diese Zeit auch selber sehr aktiv durchlebt habe, weis ich das der Entdeckergeist und Vorschertrieb keine Grenzen an elterlichen Vorschriften kennt. Wenn du nicht mit allzu negativen Erinnerungen im Kindheitsgedächtnis bleiben willst, dann helfen da auch keine Strafen. Das ist halt Jugend Forscht. Es muss jedoch ja nicht mal böswillig sein. Wenn man sich aktuell bei mir mit VPN rausschleicht, ja dann kann man immer noch zu seinen Seiten kommen. Ich kann nicht alles verhindern. Aber wenn so ein Browser per Default DoH verwendet dann merkt man das nicht mal. Und wenn man mal eine Seite, die man in der Schule gehört hat dann doch nicht öffnen kann gibt sich das Kind auch Mangels Lust mal damit zufrieden. Ich hätte mir rückblickend auch so manchen Anblick gerne erspart als früher bei mir in der Schule die Webseite "rotten..." im Gespräch war. Hätte die zu Hause nicht funktioniert, hätte ich keinen größeren Aufwand betrieben die doch zu sehen. Dafür hatte ich zuviele andere Dinge im Kopf die man noch anstellen konnte ;)

Hallo Jörg,

die Canary Domain wurde oben von LordGurke schon erwähnt. Neben deinem Tutorial ist die Aktivierung, wie ich oben schrieb, bereits über pfBlocker möglich.

Was man dabei jedoch beachten sollte ist:

• Das funktioniert nur mit dem Mozilla Browser. Da gibt es aber noch ne Menge anderer Browser.
• Das ist so wie eine DoNotTrack-Bitte. Oder so wie wenn du die Haustür offen lässt und ein Schild drann hängst "Fremde bitte draussen bleiben"
• Gemäß Mozilla funktioniert das nicht, wenn der User das explizit im Mozilla Browser aktiviert hat. Nur bei Mozilla Browsern die eine Defaulteinstellung besitzen.

Daraus folgt => Eigentlich Sinnfrei dieses Signal auf Netzwerkebene zu setzen.

Wie es gut geht habe ich ja geschrieben und auch den Nachweis erbracht. Das man das trotzdem umgehen könnte schrieb ich auch. Da kannst du gerne explizit die Stellen nennen, an denen ich Fehler mache. Ich lerne ja gerne dazu.

Beste Grüße
Jens

Du solltest deine eigenen Wahrnehmungen nicht auf andere übertragen. Es gibt hier eine Menge Menschen die Techniken für ihr zu Hause suchen. Wie du bei meinen Fragen auf Neugierde und Spieltrieb kommst ist gar nicht nachvollziehbar. Ich suche Lösungen für eine gut abgesicherte Netzwerkumgebung zu Hause. Dich hier zu beteiligen steht dir frei. Wenn man das aber tut, dann sollte man doch produktive Kommentare hinterlassen. Deine zwei letzten enthielten leider gar nichts davon. Diese hättest du dir besser sparen sollen.

Dir empfehle ich dein privates Tutorial um wesentliche Punkte zu erweitern, in welchem Fall die Technik überhaupt nur funktioniert, wie die Zukunft dieser Technik aussieht und ein Hinweis für andere Browser. Diese Informationen kannst du übrigens alle deinem Link entnehmen.

Dem Rest Danke ich für die hilfreichen Tips.

Für jeden Privaten Bastler und Fummler kann ich meine Vorgehensweise empfehlen. Funktioniert bei mir sehr gut und ich habe bisher keine negativen Kommentare dazu erhalten.

Machts gut

Über diese Erkenntnis waren wir hier doch schon längst drüber hinweg.

Der Nutzen einer öffentlichen IP wurde ausführlich oben diskutiert.
Der Thema DNS Resolver bezog sich darauf wie die User im LAN gegebenenfalls an den eigens eingerichteten Filtern vorbei gelangen. Und das nicht mal bösartig. Deswegen hat LordGurke das mit dem Blocken der DNS Anbieter oben ja auch geschrieben. Das ging dann wie man lesen kann nicht mehr nur um Tracking sondern allgemein um die Funktion der Filterlisten in pfBlocker. Denn die kann ein Browser der per Default DoH verwendet umgehen ohne das der Benutzer das überhaupt wollte. Deswegen beschrieb mein Vorgehen das Blocken der DNS Server, das Umleiten von externen DNS Anfragen an die pfSense, und das Vorgeben von eigenen DNS Diensten mittels Forwarding im Resolver (das Vertrauen in die jeweilige Wahl der DNS Dienste ist ne Glaubensfrage). Diese Mechanismen sind der Literatur zu entnehmen und auch in der pfSense Doku niedergeschrieben. Dazu gibt Mozilla noch wichtige Informationen zu ihrer Canary und wenn man das alles kombiniert, dann ist das Ergebnis oben zu lesen.