Adserver über Hosts / Router DNS blocken

Computer: Hardware Netzwerk
#1

Hallo zusammen,

im Zusammenhang mit dem Wechsel auf LTE stellt sich die Frage das begrenzte Daten-Volumen nicht unnötig zu verschwenden. Dabei erinnerte ich mich an das Thema Blocken von Ad-Servern über die Hosts-Datei bzw. über entsprechende Einträge im Router.

Der eingesetzte Speedport LTE II bietet eine so genannte URL-Filterung, die auf der DNS-Auflösung basiert, und damit eigentlich wohl das Mittel der Wahl wäre, da damit für alle PC im Netz die entsprechenden Server nicht mehr ansprechbar wären. Leider führen schon einzelne Einträge zu massiver Verzögerung des Seitenaufbaus, da Einträge wohl zu Timeouts (extrem lange) führen, und nicht gleich negativ als unbekannt beantwortet werden. Ich überlege gerade, ob ich auf meinem QNAP ggf. einen Proxy aufbaue, der besser konfigurierbar ist. Hat so etwas schon mal jemand hier gemacht?

Gruß vom Wiz

#2

http://adblockplus.org/

#3

Der eingesetzte Speedport LTE II bietet eine so genannte
URL-Filterung, die auf der DNS-Auflösung basiert,

einen Proxy aufbaue, der besser konfigurierbar ist.

Was macht der Proxy? Fragt den DNS-Server ab. Und wartet. Und wartet. Und…

Natürlich kannst du den Proxy anweisen, bestimmte URLs umzuschreiben. Da wär’s doch aber sinnvoller, gleich den DNS-Server anzuweisen, bestimmte Adressen ins Nirvana zeigen zu lassen. Setzt allerdings voraus, dass du einen eigenen DNS-Server betreibst. Ob der Speedport das kann, weiss ich nicht. Ist wohl eher zu bezweifeln. Aber wenn du im lokalen Netz irgendeinen Linux-Server einsetzt, ist ein Bind, eine /etc/bind/named.conf.local und eine /etc/bind/blocked kein Hexenwerk.

HTH

/etc/bind/named.conf.local:
$TTL 86400
@ IN SOA localhost. root.localhost. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
86400 ) ; Negative Cache TTL
;
@ IN NS localhost.
@ IN A 127.0.0.1
@ IN AAAA ::1

/etc/bind/blocked:
zone „adition.com“ in {
type master;
file „/etc/bind/blocked“;
};

zone „ivwbox.de“ in {
type master;
file „/etc/bind/blocked“;
};

zone „google-analytics.com“ in {
type master;
file „/etc/bind/blocked“;
};

zone „doubleclick.net“ in {
type master;
file „/etc/bind/blocked“;
};
.
.
.

#4

Sorry, Überschriften vertauscht
Typo: Was ich als ‚/etc/bind/blocked‘ angegeben habe ist die ‚/etc/bind/named.conf.local‘ und vice versa.

#5

Hallo,

wo habe ich da jetzt die Lösung übersehen, das Ding zentral für das Netzwerk einzusetzen? Browser-Plugins sind ja ganz nett. Aber da hier z.B. aus bestimmten Gründen (Homeoffice) der IE zwingend notwendig ist, hilft die Lösung selbst auf dem Einzelplatz mir leider nichts. Ganz abgesehen davon, dass hier Au-Pairs mit eigenen Notebooks und Smartphones ein- und ausgehen. Daher eben der Proxy-Ansatz und die Suche nach einer zentralen Lösung.

Gruß vom Wiz

#6

Hallo,

besten Dank für den ersten Hinweis. Das QNAP-NAS ist ja ein echter Linux-Rechner (Atom), mit vollwertigem Shellzugriff, der ohnehin 7/24 hier im Hause läuft (ich könnte alternativ natürlich auch die beiden Dreamboxen nehmen). Insoweit wäre also ein geeigneter Rechner da. Der Speedport bietet keinen eigenen DNS-Server.

Was mir eben aufgefallen ist, ist das Problem, dass man bei Einträgen in den URL-Filter des Speedport diese extremen Verzögerungen bekommt. D.h. der Geschwindigkeitsvorteil des schnellen LTE-Zugangs ist dann hin. Z.B. n-tv.de lädt dann erst einmal nur den Header, und dann kommt lange nichts, wenn die Adserver im URL-Filter des Speedport stecken. Tippe daher auf einen recht langen Timeout statt sofortiger Rückmeldung „unbekannt“.

Was ich noch nicht ganz begreife ist, warum bei Einträgen in Hosts unter Windows 7 irgendwie gar kein Effekt zu beobachten ist. Ich habe den DNS-Cache nach den Einträgen geleert, und die Werbung kommt trotzdem durch. Da ich aber ohnehin an einer zentralen Lösung interessiert bin, will ich das Thema eigentlich aber nicht weiter verfolgen.

Wenn ich auf dem von Dir beschriebenen Weg dahin komme, dass die Adserver künftig gleich als „unbekannt“ einen sauberen Fehler erzeugen, und ich nicht ewig auf Time Outs warten muss, wäre das auf jeden Fall eine saubere Lösung, und ich müsste dann nur noch sicherstellen, dass jeder der hier per DHCP rein kommt über den DNS des NAS geleitet wird. Listen mit tausenden von zu blockenden Adservern gibt es ja im Web.

Gruß vom Wiz

#7

eigener DNS
Hallo Wiz,

1.) Die Quick & Dirty-Lösung:
Trag in deinem DHCP-Server (Router?) - der ja den Clients ja auch den DNS-Server bekannt gibt - einfach einen anderen DNS-Server ein. Es gibt reichlich Alternativen zu den DNS der Provider, darunter auch einige, die Werbeserver blocken.
Du müsstest mal Google nach Alternativen bemühen, ich find meine Liste leider nicht mehr, meine aber, das OpenDNS auch einen Werbeblocker betreibt.

Nachteil: Du kontrollierts nicht, was geblockt wird - und kannst auch keine eigenen Blockings hinzufügen.

Ach ja:
Bei der Gelegenheit kann man übrigends auch gleich eine Schippe Speed nachlegen - die DNS-Server sind nämlich keineswegs alle gleich schnell. Mit dem DNS-Benchmark (http://www.grc.com/dns/benchmark.htm) kannst du die Kandidaten auch auf Geschwindigkeit testen. Unabhängig von der Werbegeschichte in jedem Fall empfehlenswert, die lahmen Krücken der Telekom vermeide ich schon seit Jahren.

Dabei erinnerte ich mich an das Thema Blocken von Ad-Servern über die Hosts-Datei

In meinen Augen die Methode der Wahl.

Ich überlege gerade, ob ich auf meinem QNAP ggf. einen Proxy aufbaue, der besser konfigurierbar ist.

2.) Wieso Proxy? Du brauchst einen eigenen DNS-Server.

Ist einer der Rechner in deinem Netz mit einem Server-OS ausgestattet?
Dann werf da einfach den DNS-Server-Dienst an (Google befragen in Abhängigkeit deines Systems) und trag diesen als DNS in deinem DHCP-Server/Router ein.

Denn auch auf diesem Server funktioniert die hosts-datei - dann sogar für alle Rechner, die diesen als DNS benutzen (Windows-Server vorrausgesetzt, mit Linux & Co hab ich leider Null Erfahrung).
Auf dem Weg blocke ich die Werbung schon seit Jahren, denn wenn 25 Mitarbeiter auf einer DSL2000-Leitung rumrutschen, kämpft man auch um jedes Bit.

Hat den Charme, das man dort auch eigene Blockings definieren kann - auch für Porn-, Warez-, Malware-Seiten und wenn gewünscht für private emailer, eBay, Spiele-Seiten und und und (und man kann Namen für Geräte, wie Netzwerkdrucker oder TK-Anlagen zentral definieren).
Und verringert den Traffic wieder ein bischen, denn der eigene DNS-Server hat natürlich auch einen Cache, stellt also nicht jede Anfrage ins Web durch. Okay, in Anbetracht der Länge von DNS-Anfragen dürften das bestenfalls Promille sein, aber Kleinvieh macht ja auch Mist :smiley:

Ist nicht wirklich schwer.

Und wenn du keinen „richtigen“ Server hast: http://posadis.sourceforge.net/ ist ein DNS für normale Workstation-OS - aber wohl Fummelsarbeit und der Rechner muss natürlich immer laufen.

lg, mabuse

#8

Hallo,

inzwischen habe ich mich der Idee, einen eigenen DNS-Server zu betreiben, genähert. Für das QNAP NAS gibt es ein Bind-Paket, das jetzt schon installiert ist. Die Konfiguration scheint aber recht aufwändig zu sein, da man alle Konfigurationsdateien manuell anlegen muss. Zudem sehe ich da auch noch keine Datei, die man einfach mit einer fertigen Liste in klassischer Hosts-Syntax füttern könnte, wie sie im Weg zu finden sind. Aber Linux mache ich auch immer nur im konkreten Fall, und bin da alles andere als ein Profi. Muss mir da ggf. dann auch noch mal Hilfe holen.

Gruß vom Wiz

#9

Hallo,

so das Bind-Package ist auf dem NAS installiert. Muss jetzt aber mal in Ruhe an die Konfigurationsdateien ran gehen. In dem Beispiel im QNAP-Forum sind da neben named noch fünf Zonen-Dateien angegeben, und der Autostart von bind muss auch noch in die Autostart.sh eingetragen werden. Für jemand, der seine Linux-Systeme eher theoretisch auf der Konsole bedienen kann, gar nicht so unaufwändig.

Was mir aber auffällt ist, das die Syntax für jede zu blockende Domain doch recht „aufwändig“ ist. Die im Web zu findenden Listen von Adservern sind ja normalerweise im Hosts-Format „IP Name“, und ich weiß noch nicht so ganz, wie ich mit vertretbarem Aufwand da jetzt einige zig bis hunderte Server in meine Dateien für Bind eingetragen bekomme.

Auf jeden Fall ein spannendes Projekt, dass sich sicherlich angesichts der künftig mehr und mehr um sich greifenden Volumenbeschränkungen lohnt! Will gar nicht wissen, was man sich bei drei PC, zwei Tablets und drei Smartphones im Haus monatlich so an Werbemüll (zunehmend ja auch mit Ton und Video und daher entsprechend fett) alles runter lädt, was von den 30 GB LTE-Volumen ab geht. Unter DSL war es zwar langsam, hat aber ansonsten keine negativen Folgen gehabt. Jetzt habe ich keine Lust, mir monatlich 10 GB extra für fast 15 Euro zu gönnen, nur weil man Volumen für nicht gewünschte Werbung verpulvert.

Gruß vom Wiz

#10

Für das QNAP NAS gibt es ein Bind-Paket, das jetzt schon installiert ist. Die Konfiguration scheint aber recht aufwändig zu sein,

Nimm ne Windows-Kiste.
Keine 15 Minuten, dann läuft dein DNS. Und Änderungen an der hosts dauern nur Sekunden und erfordern noch nicht mal einen Neustart.

Das ist einfach nicht der Job eines NAS. Es sei denn, dein persönlicher Ehrgeiz ist geweckt worden (wofür ich durchaus Verständnis hätte :smiley: )

lg, mabuse

#11

Was mir aber auffällt ist, das die Syntax für jede zu
blockende Domain doch recht „aufwändig“ ist. Die im Web zu
findenden Listen von Adservern sind ja normalerweise im
Hosts-Format „IP Name“, und ich weiß noch nicht so ganz, wie
ich mit vertretbarem Aufwand da jetzt einige zig bis hunderte
Server in meine Dateien für Bind eingetragen bekomme.

Es gibt grafische Frontends für bind, ich kann mir vorstellen, das da eines drunter ist, das diese Aufgabe erheblich vereinfacht. Allerdings kenne ich mich damit nicht aus. Ich würde so eine Liste mit einem Befehl auf der Kommandozeile per sed entspr. umformatieren.

Jetzt muss ich Feierabend machen, heute ist Skat und Weizenbier, aber vielleicht bin ich später noch nüchtern genug, den entspr. sed-Befehl z. B. für die Liste aus
http://pgl.yoyo.org/as/serverlist.php?showintro=0%3B… zusammenzubauen.

Gruß

#12

Hallo,

Jetzt muss ich Feierabend machen, heute ist Skat und
Weizenbier, aber vielleicht bin ich später noch nüchtern
genug, den entspr. sed-Befehl z. B. für die Liste aus
http://pgl.yoyo.org/as/serverlist.php?showintro=0%3B…
zusammenzubauen.

Wenn Du mir ein Bier abgibst, dann verrate ich Dir den Link. Das kann man dann per wget aktualisieren, so man das möchte …

HTH,

Sebastian

#13

Hallo,

Für das QNAP NAS gibt es ein Bind-Paket, das jetzt schon installiert ist. Die Konfiguration scheint aber recht aufwändig zu sein,

Nimm ne Windows-Kiste.
Keine 15 Minuten, dann läuft dein DNS.

Hui?! Hat Microsoft seiner Distribution mittlerweile einen DNS-Server spendiert?

Und Änderungen an der
hosts dauern nur Sekunden

Der Windows-DNS-Server liest aus der hosts-Datei? Das ist doch einmal eigenwillig.

und erfordern noch nicht mal einen
Neustart.

Revolutionär!

Das ist einfach nicht der Job eines NAS.

Ich hätte ja eher gesagt, DNS ist kein Job für Windows. Aber sei es drum. Allerdings läuft Wiz’ NAS ja ohnehin durch - offenbar im Gegensatz zu seinen Windows-Rechnern.

Have fun,

Sebastian

#14

Hallo,

also mein Windows-Rechner arbeitet auch durch. Allerdings ist da schon die Faxsoftware und der AB im Hintergrund drauf, und aktuell codiert da Handbreak jede Menge Filme im Hintergrund. Damit man damit im Vordergrund noch anständig arbeiten kann, wenn es mal mehr als Office ist, möchte ich das inzwischen nicht mehr so neue Schätzchen nicht noch mehr belasten. Und der Atom vom NAS langweilt sich ohnehin geschätzte 99% der Zeit, da das Ding wirklich nur als NAS genutzt wird. OK, der Webserver, MySQL und ein paar andere Sachen sind konfiguriert, aber die nutze ich so gut wie gar nicht. Daher wäre das eigentlich eine nette Aufgabe, die das Teil nebenbei noch erledigen könnte.

Gruß vom Wiz

#15

Besten Dank, schaue ich mir die Tage mal in Ruhe an.

Gruß vom Wiz

#16

Hui?! Hat Microsoft seiner Distribution mittlerweile einen
DNS-Server spendiert?

In der Servervariante seit w2k.

Der Windows-DNS-Server liest aus der hosts-Datei? Das ist doch
einmal eigenwillig.

Tut er leider nicht. Dann könnte man auch einem Windows-Server eine Liste mit mehreren tausend neuen Einträgen mal eben so unterjubeln. Ist aber nicht. Zumindest mit Bordmitteln heisst es, jeden Eintrag einzeln manuell einzutragen. Den Namen immerhin per Copy&amp:stuck_out_tongue_winking_eye:aste (ja, da ist Microsoft revolutionär!), der Verweis auf localhost dann eingetippt auf dem Ziffernblock. Tausende mal MausklickMausklickMausklick, Mauslklick Ctrl+C, Mausklick Ctrl+V, Tab, 127.0.0.1, Eingabetaste.

Okay, mit aktuelleren Servervarianten kann man das scripten…

und erfordern noch nicht mal einen
Neustart.

Revolutionär!

Gelle?

Gruß

#17

Wenn Du mir ein Bier abgibst, dann verrate ich Dir den Link.
Das kann man dann per wget aktualisieren, so man das möchte

Das Bier ist dir. Nur der Vollständigkeit halber: Angenommen, ich hätte die einfache Liste in der Datei „adserver“ gespeichert, lautet der sed-Befehl, diese Liste in eine Zonendatei umzuwandeln

sed -i -r "s/(.\*)/zone \"\1\"in \{ type master; notify no; file \"null.zone.file"; \};"/ adserver

Ebenfalls ohne Neustart!

Gruß

#18

Hallo,

weniger persönlicher Ehrgeiz, als eher Fingerübung. Ich bedauere es schon sehr, dass ich über die Jahre die ganzen Hardcore-IT-Kenntnisse einer recht steilen Vergessenskurve opfern musste, und heute zwar durchaus immer noch „grundsätzlich mitreden kann“, wenn es um technische Fragestellungen bei uns im Haus oder beim Kunden geht, aber eben nicht mehr in der Lage wäre, tatsächlich dann auch mal Hand anzulegen, wie mir das früher noch gelungen ist.

Speziell UNIX/LINUX habe ich zwar nie wirklich flüssig gesprochen, aber es ärgert mich schon, dass ich heute jedes Mal wieder grübeln muss, wie vi noch bedient wird, oder wie dass noch mit dem Festplattencheck war, wenn die Dreambox mal streikt. Früher hätte ich solche Dinge auch noch unter VMS hinbekommen, hätte noch einen SNA-Gateway im Griff gehabt, konnte Netware im Schlaf bedienen, …

Und das sich der Atom im NAS ohnehin langweilt, und das Ding eh 7/24 läuft, wäre das eigentlich eine nette Geschichte, das Thema über dieses Gerät mit abzuwickeln (mit einem DNS-Server auf der Dreambox im Wohn- oder Schlafzimmer käme ich mir irgendwie blöd vor :wink:. Und der eigene Windows-PC hat schon genug im Hintergrund laufen.

Gruß vom Wiz

#19

wie vi noch bedient wird

Das ist nun ganz und gar nicht ehrenrührig - ganz im Gegenteil. Das Bedienkonzept (überhaupt - eine Software die ‚bedient‘ werden will - was eine Absurdität!) von vi ist bestenfalls mit dem erheblichen Autismus seiner Entwickler zu entschuldigen.

Früher habe ich, wenn sed nicht gegeben war, vi gelegentlich genutzt, die Paketquellen anzupassen, um mir schnellstmöglichts joe o. ä. herunterzuladen. Aber heutzutage findet man kaum noch eine Distribution, die nicht zumindest nano bereits im Minimalumfang bereitstellt.

Allerdings ist vi nicht das einzige und bei weitem nicht das übelste Artefakt, welches selbst ein modernes Linux auf der Kommandozeile oft gruseliger anmuten lässt, als eine mittelalterliche Folterkammer.

Gruß

#20

Wo Du Recht hast, hast Du Recht. Aber ich meine auch weniger die ganz konkrete Situation, als vielmehr das grundsätzliche Thema. Klar, ich bin sicherlich schon die große Ausnahme, als Jurist in einem IT-Unternehmen gerne auch noch mal gefragt zu werden, technische Konzepte gegenzulesen, gelegentlich mal was zu Architekturen beizutragen, noch diverse Quellcodes lesen zu können, Leute mal mit der Nase auf Konzepte von ITIL, SCRUM, Kanban, DevOps, … hinzuweisen, um Prozesse bei Kunden technisch weiterzuentwickeln, statt mich auf juristischer Ebene zu streiten, was wie für welches Geld machbar ist, … Aber seit dem Studium, was ich mir noch mit der Installation von Netzwerken, dem Bau von PCs, und der ein oder anderen kleinen Programmierung verdient habe, merke ich schon, was da alles verloren gegangen ist, und dass man in den Themen, die seit dem neu dazu gekommen sind, eben nicht mehr so tief drin steckt, und nur noch recht oberflächliche Einsichten hat.

Insoweit mache ich schon gerne noch mal solche Fingerübungen. Auch wenn ich dann ggf. hier Leute mit Trivialitäten nerven muss, die ich früher gewusst/alleine hin bekommen hätte (damals haben wir noch Router auf PC-Basis mit ISDN-Karten und Novell MPR, … selbst gebaut).

Gruß vom Wiz