OpenWRT Firewall auf auf GL-iNET GL-SF1200

Der 1000MBit-Router GL-SF1200 kostet 28,00€. Er kommt mit einer adaptierten Version von OpenWRT, die der Hersteller für einen nicht vollständig Linux-kompatiblen Chipsatz portiert hat. Auf diesen Router habe ich Adblock mit verschiedenen Blocklisten und einer erweiterten Ansicht für den DNS-Verkehr installiert.

Inhalt

• Einführung
• Inbetriebnahme der OpenWRT Firewall
  • Anschluss der Hardware
  • Inbetriebnahme
  • Wenn der Hausrouter bereits gemesht ist
  • Adblocker
    • Anmeldung bei luci
    • Funktionen von Adblock
  • Kommandozeile

Einführung

Mit der wachsenden Nutzung des Internets und der digitalen Medien hat auch die schädliche Online-Werbung zugenommen. Durch die Verwendung von Tracking und Profiling-Technologien und Cookies schalten Werbetreibende personalisierte Werbung. Sie sammeln Informationen über das Online-Verhalten der Nutzer, um ihnen gezielte Anzeigen zu präsentieren. Es gibt auch schädliche Werbung, die darauf abzielt, Nutzer zu betrügen oder zu täuschen. Dies kann beispielsweise gefälschte Werbung für betrügerische Produkte oder Dienstleistungen umfassen. Solche Werbung kann finanzielle Verluste oder Sicherheitsrisiken verursachen.

Ein neues, handelsübliches Smart TV, beispielsweise, kommuniziert intensivst mit dem Hersteller, den Diensten der TV-Sender, und auch ein paar Werbetrackern, außerdem leuchtet es - oft ungefragt - den Rest des eigenen Heim-Netzes aus. Dabei will man doch eigentlich nur fern sehen und vielleicht ein paar Apps benutzen. Stattdessen hagelt es Cookie-Banner und benötigte Zustimmungen, um dieses erniedrigende Trauerspiel der Hersteller zu legalisieren ! Über die Hälfte des Datenverkehrs ist reiner Müll.

Durch die Verwendung von OpenWRT mit Adblock können unerwünschte Werbeanzeigen, Pop-ups und Tracking-Skripte blockiert werden, bevor sie auf die Geräte im Haushalt geladen werden. Dies bietet einen effektiven Schutz vor schädlicher Werbung und verbessert das Surferlebnis und die Geschwindigkeit, indem lästige Werbung eliminiert wird.

OpenWRT mit Adblock bietet einen wirksamen Schutz vor den meisten schädlichen Werbeformen.

OpenWRT bietet außerdem eine flexible und anpassbare Firewall-Lösung, die es ermöglicht, den IP-basierten Datenverkehr zu überwachen, zu filtern und zu kontrollieren. Durch die Konfiguration der Firewall-Regeln kann der Zugriff auf bestimmte Ports, Protokolle oder IP-Adressen eingeschränkt oder blockiert werden. Dies ermöglicht es, auch in Härtefällen unerwünschten Datenverkehr zu blockieren und die Sicherheit des gesamten Netzwerks zu verbessern.

Wer nicht darauf warten möchte, bis wir durch gesetzliche Regulierungen bei Produkten ankommen, welche ein menschenwürdiges Kommunikationsverhalten aufweisen, der kann durch diese Lösung mit großer Sicherheit alle Geräte im Haus sauber halten.

Anschluss der Hardware

Das einfachste Szenario ist, die Firewall zwischen den Hausrouter und die Endgeräte zu schalten.

• Wir verbinden

  

  einen LAN-Port des Hausrouters

  

  mit dem WAN-Port der Firewall.

  

• Alle Kabel, die in den LAN-Buchsen des Hausrouters steckten, müssen nun in die LAN-Buchsen der Firewall gesteckt werden.

• Alle Geräte, die per WLAN mit dem Hausrouter verbunden waren, müssen nun mit dem WLAN der Firewall verbunden werden.

Inbetriebnahme

• Man verbindet einen Rechner per LAN-Kabel mit einem LAN-Port der Firewall.

• Im Webbrowser seines Vertrauens gibt man anschließend 192.168.8.1 ein.

• Einloggen mit dem Passwort FuckFacebook.

  

• Auf der Weboberfläche kann man die üblichen Router-Dinge tun. Dort können wir die WLAN-Passwörter festlegen und die WLAN-Geräte des Haushalts verbinden.

Die Firewall bedarf für ihren Betrieb keiner weiteren Schritte.

Wenn der Hausrouter bereits gemesht ist

Die hierzulande verbreitete Fritz!Box von AVM ermöglicht - wie auch andere Hersteller - ein "Meshing" (Vermaschen) von Geräten des gleichen Herstellers. Der Vorteil besteht vor allem darin, die zusätzlichen Geräte, z. B. WLAN-Repeater, zentral über den Hausrouter mit konfigurieren zu können.

Da sich die Firewall in dieser Architektur nicht wie vorgesehen dazwischen schalten läßt, kann man sie zumindest als globalen DNS-Proxy für das Haus nutzen. Damit kann sie zwar keine IP-Adressen filtern, aber der Adblocker funktioniert weiterhin, da er den gesamten DNS-Verkehr filtert.

Dieses Szenario konfiguriert man folgendermaßen :

1. DNS-Port auf der Firewall freigeben

Man verbindet sich wie bereits beschrieben mit der Firewall und geht in die Firewall-Einstellungen. Dort öffnet man den Port 53.

Wenn man möchte, kann man auf die gleiche Weise Port 80 für die Benutzeroberfläche und Port 22 für den SSH-Zugang öffnen, sodaß man diese über die fest vergebene IP-Adresse der Fritz!Box erreichen kann.

2. Der Firewall eine feste IP-Adresse im Heimnetz zusichern

Um nicht in Konflikt mit dem DHCP-Server der Fritz!Box zu geraten, läßt man der Fritz!Box diese Verantwortung und editiert auf ihr die Netzwerk-Einstellungen der Firewall.

Dazu loggt man sich auf der Fritz!Box ein. Unter Heimnetz ► Netzwerk sucht man zunächst den Geräte-Eintrag für die Firewall, die man zuvor an ihrem WAN-Port mit einem LAN-Port des Hausnetzes verbunden hat.

Hier kann man einstellen, daß die Firewall immer die gleiche IP-Adresse bekommen soll.

Danach sollte man die Firewall neu starten, damit sie diese IP-Adresse bezieht.

3. Den ausgehenden DNS-Server auf die Firewall leiten

Nun kann man die Adresse des DNS-Servers, an den die Fritz!Box als Hausrouter alle ausgehenden DNS-Anfragen schickt, und die normalerweise vom Internet Service Provider automatisch zugewiesen wird, durch die Adresse der eigenen Firewall ersetzen und diese fortan die DNS-Anfragen des Heimnetzes beantworten, und nun auch filtern lassen.

Dazu stellt man auf der Fritz!Box unter Zugangsart ► DNS-Server genau die IP-Adresse ein, die man zuvor der Firewall als fest zugesichert hat.

---

Adblocker

Das Herzstück ist neben der Schnittstellen-basierten Firewall natürlich der DNS-basierte Adblock-Plugin, der Teil von OpenWRT ist, dem Betriebssystem des Routers. Wenn man die Arbeit der Firewall sehen oder darin eingreifen möchte, kann man dies über die Oberfläche "luci" des Router-Betriebssystems tun.

Anmeldung bei luci

Neben der graphischen Oberfläche des Herstellers kann man auf die Oberfläche von OpenWRT selbst, die "luci" heißt, zugreifen. Diese hat die URL 192.168.8.1/cgi-bin/luci, die man direkt in den Webbrowser eingeben kann. Der Hersteller hat sich außerdem dazu entschieden, dies auch über seine Oberfläche zu ermöglichen :

(Hinweis : Wenn's nicht gleich auf Anhieb klappt (Error 500), einfach die Seite auffrischen)

Auf der luci-Oberfläche loggt man sich wieder mit dem Passwort FuckFacebook ein :

Funktionen von Adblock

Die Adblock-Funktionen erreicht man in luci über Services → Adblock :

• Overview
  Das Wichtigste in diesem Reiter ist die Auswahl der aktiven Blocklisten :

  

  Man sollte sich hier bewußt aussuchen, welche Listen man braucht, denn viel hilft nicht immer viel. Die Listen werden täglich aktualisiert. Man kann das Laden der Blocklisten nach Veränderungen der Konfiguration auch selbst mit der entsprechenden Schaltfläche auf dieser Seite anstoßen.

• View Logfile

  

  Hier sieht man, welche Listen Adblock geladen hat, und ob es Fehler dabei gab.

• View DNS Logfile
  Diese Ansicht habe ich zusätzlich implementiert, damit man wenigstens die aktuellen DNS-Anfragen auch einsehen kann.

  

  Neuere Versionen von Adblock, die auf diesem Router aufgrund seines speziellen Chipsatzes leider nicht verfügbar sind, haben dies noch viel eleganter gelöst.

• Advanced : Edit Blacklist
  Hier kann man Domainnamen angeben, die man sperren möchte.

• Advanced : Edit Whitelist
  Hier kann man Domainnamen angeben, die man explizit erlauben möchte. Die Whitelist überbietet die Blacklist.

• Advanced : Edit Configuration
  Hier kann man neue Blocklisten aus dem Internet, z. B. von filterlists.com zu Adblock zufügen. Dies ist aber nicht so ganz trivial, da diese verschiedene Formate haben. Man muss dazu einen neuen Konfigurationseintrag in die Datei /etc/config/adblock machen :

  

  Ein Eintrag besteht aus fünf Zeilen :

config source "AnzeigeName"
    option adb_src https://url-der-blockliste.txt
    option adb_src_rset '/^0\.0\.0\.O[[:space: )1+¢[^{[:space:]|=/1*|V)-]+1-)+[[:01pha:]]*([[:space:]]1$)/(print tolower(182))*
    option adb_src_desc 'Beschreibung der Blockliste'
    option enabled '1'

• Die erste Zeile config source definiert eine Liste mit ihrem Namen. Leerzeichen und Sonderzeichen sind nicht erlaubt.

• Die erste Option option adb_src enthält die Listen-URL

• Die zweite Option option adb_src_rset enthält einen regulären Ausdruck, der beschreibt, wie die Domainnamen aus der Liste extrahiert werden

• Die dritte Option option adb_src_desc enthält die genauere Beschreibung der Liste

• Die vierte Option option enabled repräsentiert den Zustand, ob die Liste aktiv und das Häkchen gesetzt ist ('1') oder nicht ('0').

• Advanced : Query domains
  Hier kann man testen, ob eine Domain bereits von Adblock erfasst werden.

  

Kommandozeile

OpenWRT ist ein Linux-basiertes Betriebssystem, dessen Kommandozeile man per Secure Shell öffnen kann. Da Windows im Gegensatz zu Linux nicht immer einen SSH-Client an Bord hat, kann man dies z. B. mit dem freien SSH- und SCP-Client SmarTTY tun, ansonsten mit ssh root@192.168.8.1, Passwort FuckFacebook. Bei Erfolg sollte man die Begrüßung von OpenWRT sehen :

Eine Besonderheit von OpenWRT ist sein Konfigurationstool "uci". Dieses Kommandozeilen-Tool liest und schreibt Konfigurationsparameter aus Dateien des Verzeichnisses /etc/config auf eine einfache, einheitliche Weise.

Alle wichtigen Router-Parameter sind über uci kontrollierbar.

Aber auch reguläre Befehle, wie netstat sind vorhanden.

Das Paketsystem von OpenWRT ist opkg . Der gleichnamige Befehl gewährt Zugriff auf sämtliche verfügbaren Software-Pakete inform von ipk-Dateien, und ermöglicht deren Download und Installation oder Deinstallation.

---

Zurück zur Hauptseite