expertenaustausch > linux.debian.user.german

Hartmut Niemann (14.04.2018, 11:40)
Hallo!

Ich möchte für meinen Sohn einen Account einrichten, von dem er per
Whitelist
genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
und ansonsten möglichst gar nichts.

Andere Accounts auf dem Rechner brauchen vollen Netzzugang.

Ich habe mit iptables eine Chain PHASE6 eingerichtet für alle Pakete,
die outging sind und dem Benutzer phase6 gehören.

# alles löschen:
iptables -F
iptables -X
# eine neue Chain fuer Phase 6
iptables -N PHASE6
# Absprung: alle Pakete, die von phase6 kommen:
iptables -A OUTPUT -m owner --uid-owner phase6 -j PHASE6

Was ich glaube zu brauchen, bekommt eine ACCEPT -Regel:

# Zugriffe auf lokale Ressourcen zulassen
iptables -A PHASE6 -d 127.0.0.0/8 -j ACCEPT
iptables -A PHASE6 -d 192.168.178.1 -j ACCEPT .. das ist die Fritzbox
# Phase 6 selbst
iptables -A PHASE6 -d phase-6.de -j ACCEPT
iptables -A PHASE6 -dwww.phase-6.de -j ACCEPT
iptables -A PHASE6 -d lernen.phase-6.de -j ACCEPT

# was Phase 6 (anscheinend) noch braucht
iptables -A PHASE6 -d static.zanox.com -j ACCEPT
iptables -A PHASE6 -d api.zanox.com -j ACCEPT
iptables -A PHASE6 -d bat.bing.com -j ACCEPT

Alles, was am Ende der Verarbeitung der Kette übrigbleibt, LOG und DROP

# was jetzt noch in der Chain ist: loggen und verwerfen
iptables -A PHASE6 -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped for Phase6: " --log-level 4
iptables -A PHASE6 -j DROP

Der Benutzer phase6 kann diese Webseite benutzen, so weit ist alles OK.

Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf
Dass das nicht geht, ist ja gerade der Sinn des Spiels.

Gibt es einen eleganteren Weg, mein Problem zu lösen?

Vielen Dank für Hinweise und Überlegungen!
Hartmut
Oliver Meißner (14.04.2018, 12:30)
Hallo Hartmut,

für diese Aufgabenstellung würde ich da einie OSI-Schichten höher
ansetzen und ggf einen Proxy wie squid (ggf in Verbindung mit
squidGuard) in Betracht ziehen...

Beste Grüße aus dem Aller-Leine-Tal
O. Meißner <lists.o>
Ulf Volmer (14.04.2018, 13:00)
On 14.04.2018 11:38, Hartmut Niemann wrote:

> iptables -A OUTPUT -m owner --uid-owner phase6 -j PHASE6


> Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf
>


Hast Du ggf. IPv6 im Einsatz? Dann geifen Deine Regeln dafür nicht.

Viele Grüße
Ulf
Ingo Jürgensmann (14.04.2018, 13:20)
Am 14.04.2018 um 11:38 schrieb Hartmut Niemann <Hartmut.Niemann>:

> Ich möchte für meinen Sohn einen Account einrichten, von dem er per Whitelist
> genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
> und ansonsten möglichst gar nichts.


Warum nutzt Du nicht einfach die Funktion deiner Fritzbox dafuer (Filter/Whitelist)? Die hat naemlich genau so eine Funktion eingebaut, auch gerne mit einer Zeitschaltung kombinierbar.
Ingo Jürgensmann (14.04.2018, 13:30)
Am 14.04.2018 um 12:53 schrieb Ingo Jürgensmann <ij>:

> Am 14.04.2018 um 11:38 schrieb Hartmut Niemann <Hartmut.Niemann>:
>> Ich möchte für meinen Sohn einen Account einrichten, von dem er per Whitelist
>> genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
>> und ansonsten möglichst gar nichts.

> Warum nutzt Du nicht einfach die Funktion deiner Fritzbox dafuer (Filter/Whitelist)? Die hat naemlich genau so eine Funktion eingebaut, auch gerne mit einer Zeitschaltung kombinierbar.


kleiner Nachtrag: Die Fritzbox arbeitet nicht auf Basis von Nutzern, sondern auf Basis von Geraeten, aber ich glaube, ein Internet-faehiges Geraet zu finden, das der Nachwuchs dafuer nutzen kann, sollte nicht das Problem sein.
Christian Knoke (14.04.2018, 13:50)
Hallo Hartmut,

Hartmut schriebst am 14. Apr um 11:38 Uhr:

> Der Benutzer phase6 kann diese Webseite benutzen, so weit ist alles OK.
> Aber warum ermöglicht diese Einstellung ihm einen Zugriff auf
> Dass das nicht geht, ist ja gerade der Sinn des
> Spiels.


Keine Ahnung, ob das so gut funktioniert oder ob es mit Squid besser geht.

Nur mal der Hinweis, wenn du das uMatrix Plugin für den Firefox-Browser
installierst, kannst du sehen, auf welche anderen Sites noch zugegriffen
wird, und du kannst auch experimentieren und testen, ob es notwendig ist.

HTTPS ist ein anderer Port, das weisst du sicher.

> Gibt es einen eleganteren Weg, mein Problem zu lösen?


Da du fragst - es ist wohl nicht unbedingt dafür gedacht - aber mit dem
uBlock Origin Plugin geht es vermutlich recht einfach. Danach
uBlock0/storage.js schreibschützen ;-)

> Vielen Dank für Hinweise und Überlegungen!
> Hartmut


Gruß
Christian
Dirk (14.04.2018, 21:10)
On Sat, Apr 14, 2018 at 12:53:40PM +0200, Ingo Jürgensmann wrote:
> Warum nutzt Du nicht einfach die Funktion deiner Fritzbox dafuer (Filter/Whitelist)? Die hat naemlich genau so eine Funktion eingebaut, auch gerne mit einer Zeitschaltung kombinierbar.


Dein Zeilenumbruch ist kaputt.

Vielleicht deshalb:
> Andere Accounts auf dem Rechner brauchen vollen Netzzugang.


ciao, Dirk
Christian Schnitz (15.04.2018, 00:00)
On Sat, Apr 14, 2018 at 11:38:49AM +0200, Hartmut Niemann wrote:

Ich mag mich irren, aber wäre es nicht besser sich mit dem Sohn
hinzusetzen und die Vokabeln zu lernen?

Sperren für Kids ist häufig sehr zweischneidig.

Selbst wenn nur die eine Website erreichbar ist, holt er sich er alles
andere was ier schauen möchte via Smartphone oder Freunde.
[..]
Ralf Prengel (15.04.2018, 08:00)
> Am 14.04.2018 um 11:38 schrieb Hartmut Niemann <Hartmut.Niemann>:
> Hallo!
> Ich möchte für meinen Sohn einen Account einrichten, von dem er per Whitelist
> genau eine Webseite (phase-6.de, ein Vokabelprogramm) aufrufen kann,
> und ansonsten möglichst gar nichts.
> Andere Accounts auf dem Rechner brauchen vollen Netzzugang.
> Ich habe mit iptables eine Chain PHASE6 eingerichtet für alle Pakete,die outging sind und dem Benutzer phase6 gehören.


Hallo,
schau dir mal von Sophos die UTM an. Kannst du privat kostenfrei nutzen. Damit bekommst du eine komplette Firewall und noch viel mehr.
Ich habe die hier genutzt um illegale Inhalte wie Filme und Pornos zu filtern. Ausserdem hat das Teil ein komplettes Vouchersystem für Wlan wenn einen Accesspoint von Sophos nutzt. Die gibt es teilweise unter dem alten Namen Astaro sehr günstig.
Jetzt nutze ich das Teil noch um Schadsoftware aus meinem Hausnetz raus zu halten.
Die Blagen sind gross und können selber entscheiden was sie im Netz machen oder nicht.

Gruss
Christoph Schmees (15.04.2018, 17:20)
Am 14.04.2018 um 23:43 schrieb Christian Schnitz:
> On Sat, Apr 14, 2018 at 11:38:49AM +0200, Hartmut Niemann wrote:
> Ich mag mich irren, aber wäre es nicht besser sich mit dem Sohn
> hinzusetzen und die Vokabeln zu lernen?
> Sperren für Kids ist häufig sehr zweischneidig.
> Selbst wenn nur die eine Website erreichbar ist, holt er sich er alles
> andere was ier schauen möchte via Smartphone oder Freunde.


abgesehen vom TOFU schließe ich mich voll an: Soziale oder
pädagogische Aufgabenstellungen mit technischen Mitteln lösen zu
wollen, hat sich schon immer als verfehlte Strategie erwiesen.

meinjanur,
Christoph
[..]
Hartmut Niemann (16.04.2018, 09:30)
Am 15.04.2018 um 17:17 schrieb Christoph Schmees:
> Am 14.04.2018 um 23:43 schrieb Christian Schnitz:
> abgesehen vom TOFU schließe ich mich voll an: Soziale oder
> pädagogische Aufgabenstellungen mit technischen Mitteln lösen zu
> wollen, hat sich schon immer als verfehlte Strategie erwiesen.
> meinjanur,
> Christoph Hallo Christian!


Klar, ist zweischneidig. Ist ja auch nicht so, dass das das einzige ist,
was wir machen.
Aber es ist halt nicht in unserem Sinn, dass das Vokabelprogramm und die
Youtube-Videos auf das gleiche Internet-Zeitkontingent gehen.
Sonst ist klar, wie viel Zeit für Vokabeln bleibt. Nur noch dieses eine
Video,
aber dann gleich ... ;-)

Nach unseren Erfahrungen verträgt es mein Junior deutlich besser, wenn ihm
ein Computer emotionslos die falsch eingetippten Buchstaben rot
hinterlegt, als wenn
meine Frau oder ich ihm sagen, dass das Wort falsch geschrieben ist.

Und ja, klar kann er bei Freunden Sachen sehen, die bei uns verboten oder
nicht möglich sind, wenn sie dort gehen. Das ist Restrisiko, aber auch
sicherer Hafen Zuhause
und "dann muss er zumindest aus dem Haus gehen und mit echten Menschen
reden".

Hallo Christoph!

Da bin ich - nach bisherigen Erfahrungen, und ich mache
das mit diesem Kind schon ein paar Jahre mit - nicht deiner Meinung.

Es ist um Welten angenehmer für alle - das Kind, die Eltern, die
Familienstimmung - wenn dem Handy nach X Minuten einfach
die Internetanbindung vom Router gekappt wird, als wenn man
jeden Tag eine halbe Stunde gestritten wird, dass jetzt *SOFORT*
das Handy abzugeben sei. Wenn nach der vereinbarten Zeit
Youtube der Benutzer automatisch ausgeloggt wird, gibt das
weniger als 10 Sekunden Gemaule, statt minutenlangem Kampf.
Jungs in der Pubertät wollen klare Ansagen. Und Computer sind
genial darin, klare Ansagen zu machen und stoisch durchzusetzen.
"You will be logged out in 120 seconds." ...
"You have been logged out."
Er mault noch etwas, dass die Vorwarnung es nicht schafft, an
einem Videoplayer im Vollbildmodus vorbeizukommen, da muss ich noch mal
schauen was los ist, aber das ist ein anderes Thema.
Ich hätte stundenlang erfolglos auf ihn einreden können, dass es
ungesund ist,
auf dem Handy Videos zu schauen. Erlaubt war es nicht, aber möglich.
Als es irgendwann nicht mehr ging,
hat er es nicht kommentiert, und als neulich die Sprache darauf kam,
dass ich die Verbindung des Handys auf das VDR-Archiv auf dem Server
geblockt habe, kam nur ein "Ach, so was geht? Ich dachte, da wär was
kaputt."

Verbote technisch durchzusetzen, ist natürlich nicht alles, aber es hat sich
für uns wirklich bewährt.

Viele Grüße
Hartmut
Ähnliche Themen