Hi, ich habe mir von eBlocker mal die Software heruntergeladen und auf einem Banana PI installiert.
Eigentlich ganz simpel... 30 Tage Testversion ist frei...

Und ? Alle Geräte surfen jetzt ohne Tracking, Spam, Extra Fenster oder sonstiges... Sehr cool gemacht. Das Internet von einer neuen Seite... Und was mir gefallen hat. Das war ohne Probleme sehr einfach umzusetzen. Ohne grosses Wissen...

Wer also so einen MiniComputer hat sollte ich sich das mal ansehen. Man kann bestimmte Seiten einfach freischalten. Sich hinter einem VPN aus dem Browser aus verstecken. Den Client einfach ändern....

Funktioniert hier bei insgesamt 30 Netzwerk Geräten ohne Probleme.

Also ich habe hier lokal uBlock origin installiert und kann weder bei heise.de noch bei N24 Werbung sehen. Wie es zuhause mit pi-hole ist, kann ich gerade nicht nachschauen, jedoch weiß ich, daß bei heise die Seite zu 100% so aussieht, wie hier mit uBlock origin.

Manche Werbefilter sind ja leider nicht mehr das, was sie mal waren. Und zumindest von AdBlock plus und Ghost ist bekannt, daß sie Hintergrund diversen "Schindluder" treiben.

Nichts für ungut, aber du solltest dich womöglich erstmal etwas in die Grundlagen einlesen,
bevor du einen DNS-Server in deinem Netzwerk installierst. Ich habe ohne eBlocker jedenfalls weniger Werbung als du mit einem selbstkonfigurierten eBlocker im Jahresabo...

Die von dir genannten Seiten sind bei mir bannerfrei.

Eine dumme Frage an alle, die sich besser damit auskennen: Sollte sowas nicht in der Firewall konfigurierbar sein? oder warum brauche ich dazu ein weiteres Gerät in meinem Rack?

och nö, lieber Stiffler, nun versuchst Du Dich aber denkbar unelegant aus der Affaire zu ziehen, die Frage lautet ganz einfach:

warum wird die Werbung einer https-Seite in dem einen Fall angezeigt, in dem anderen Fall aber geblockt?

Einfache Frage, einfache Antwort bitte.

(oder selbst erst einmal in das Thema einlesen;-)

Viele Wege führen nach Rom. Den eBlocker nur als Werbeblocker zu sehen greift da etwas kurz, der kann noch einiges mehr. Einfach mal die Hersteller Website sowie einschlägige Produktbesprechungen und Vergleiche konsultieren...

Selbst bin ich übrigens auch noch am Anfang der Orientierungsphase.

Fehlkonfiguration, Unvermögen u.ä.m.

Die Frage ist was Du unter Firewall verstehst?

@stiffler
Ich habe gerade mal eine Mini-Test mit in der Fritzbox-Blacklist geblockten Adressen gemacht. Probeweise sind:
eingetragen.
Wenn ich jetzt eine passende Webseite im Safari aufrufe und in den Webinformationen unter "Netzwerk" nachschaue, werden tatsächlich einige Ressourcen mit diesen Domains geblockt bzw. sind rot markiert. Was mich wundert ist, dass aber dennoch manche Ressourcen offensichtlich durchkommen. Zum Beispiel wird das Script "ads" von der Adresse "securepubads.g.doubleclick.net" geblockt (rot markiert), das Script "pubads_impl_115.js" offensichtlich aber weiterhin geladen (nicht rot markiert).

Vielleicht habe ich die Darstellung in Safaris Webinformationen auch nicht nicht richtig verstanden. Aber mir scheint es so, als blockiere die Fritzbox hier nicht sämtliche Ressourcen, die von zu einer Domain auf der Blacklist gehören.

sorry, aber offensichtlich ebenfalls zu große Klappe. Empfehle Lektüre der eBlocker Website und des Manual.

Interessant... Kannst du mir mal eine Seite nennen, die DoubleClick einsetzt? habe adHoc keine gefunden.

In dem tollen Werbevideo und den FAQ ist jedenfalls nicht zu erkennen, was der besser machen soll, als z.B. pi-hole. Wenn ich dazu erst die Anleitung studieren muß … Vor allem bei dem Preis.

Und warum bei Dir die Seiten Werbung anzeigen und bei mir z.B. nicht, ist schwierig zu beantworten.

Da es dir diesbezüglich offensichtlich an technischem Verständnis und zusätzlich noch mindestens an logischem Denkvermögen mangelt, wird es mir leider nicht möglich sein, dir diesen doch eigentlich recht trivialen technischen Zusammenhang zu vermitteln. Meine Mühe war bislang vergebens, mehr Zeit möchte ich dir nicht widmen.

Also ich habe bei mir eine virtualisierte pfSense. Und da könnte ich all das auch einrichten, wenn ich denn wollte. Ausserdem glaube ich, die Definition einer Firewall ist allgemein bekannt, da gibt es wenig Spielraum für subjektive Empfindungen.

Naja, so ganz falsch ist die Frage ja nicht. Viele Leute verstehen unter NAT ihres Routers eine Firewall.

Du könntest die pfSense natürlich (zusätzlich) als outbound application layer firewall mit einer blacklist konfigurieren und fertig...

pst!: MTN Zumindest laut Safaris Ressourcenliste.
Aber — sorry — es war mein Fehler: das Script, das immer noch anzeigt wurde, lag noch im Cache. Nach dem Löschen des Cache ist es jetzt auch verschwunden und alle neu geladenen Ressourcen wurden offensichtlich korrekt geblockt.

Naja, so eindeutig ist das nicht. Meistens gibt es nur Packetfilter und keine ALGs. Dazu braucht man für einige der hier angesprochenen Dinge nicht nur eine Firewall sondern auch noch einen HTTP Proxy, um die HTTP Inhalte entsprechend filtern zu können. Wenn man einen dedizierten Computer für die Firewall hat, kann man natürlich das alles aufsetzen. pfsense+squid+…

Bei SSL kann der Pfad hinter der Domain nicht von Systemen zwischen Server und Client gelesen werden. Die URL wird erst nach der Herstellung der SSL-/TLS-Verbindung übertragen. Bei einem DNS-basierten Blocker bekommt der DNS eh nicht mehr als die Domain mitgeteilt. Mehr ist ja zur Namensauflösung nicht notwendig.

Es ist also kein Problem eine komplette Domain außerhalb des Clients zu blocken (sowohl per DNS wie auch über Proxy). Wenn aber auf einem Server der per https aufgerufen wird , (z.B. https://seite.com auf dem sich die Inhalte befinden) sich in einem Unterordner die Werbung befindet (https://seite.com/ads) dann kann dieser nicht außerhalb des Browser geblockt werden - es sei denn die TLS/SSL-Verbindung wird dazwischen unterbrochen. Zum Glück ist es jedoch meist ausreichend die Domains zu blockieren. Denn ein Proxy der die SSL-Verbindung mit liest macht gerne mal Probleme (z.B. aktuell bei Sophos), ist eine potentielle Sicherheitslücke, erfordert das Installieren des Proxy-Zertifikats an den Clients und stresst gerne alle paar Monate bei Browser-Updates.

Sollte denn nicht für den Fall, dass die Domain "seite.com" z.B. in der Fritzbox — also außerhalb des Browsers — geblockt wird, grundsätzlich jeder Zugriff darauf unterbunden werden, egal mit welchem Protokoll und auf welche Ordner-Ebene auf dem Server?
Bekommt die Fritzbox aufgrund der SSL-Verbindung etwa gar nicht mit, mit welchem Server kommuniziert wird, oder kann sie nur nicht erkennen, auf welchen Bereich des Servers zugegriffen wird (weil die URL verschlüsselt übertragen wird)?
Ich bin bislang immer davon ausgegangen, dass durch die Sperrung jeglicher Verkehr zu der fraglichen Domain unterbunden wird.

Ich dachte echt, das wäre ausführlich klargestellt worden... :'(
Wie soll denn eine mit SSL verschlüsselte Verbindung aufgebaut werden, wenn die für den Aufbau notwendigen
Teilnehmender (Router, DNS-Server) keine Info über das Ziel haben?
Vielleicht etwas irreführend formuliert (Domain/URL), aber genau gelesen steht alles da

Das hängt sehr stark davon ab, wie das geblockt wird. Wird nur der DNS Zugriff nicht aufgelöst, kann der Webbrowser mit der IP-Adresse trotzdem darauf zugreifen. Löst hingegen die Firewall die Domains auf, und blockt die IP-Adressen direkt, kann man das nicht mehr. Z.B. Werbeinhalte könnten direkt beim Server auf die IP-Adresse aufgelöst werden und somit DNS basierte Blocker ausgehebelt werden.
Doch natürlich bekommt eine Firewall mit mit welchen Server kommuniziert wird, da sie ja die Datenpakete mit den IP-Adressen sieht. Die Firewall kann aber nicht mehr die Inhalte mitlesen. Aber üblicherweise installiert man in Firmen deshalb ALGs, die lesen die Pakete mit und blocken jeden Versuch direkt mit dem Server über SSL zu kommunizieren ab. Das ganze bezeichnet man auch als Deep Packet Inspection.

Nachtrag:
ALG = Application Level Gateway

Und da bei der Fritzbox der direkte Zugriff auf Server per IP-Adresse gleich mit gesperrt ist (neben den Domains in der Blacklist), können Domain-Inhalte von Blacklistdomains auch nicht über den Umweg der IP-Adresse geladen werden.

Wie nutzt du den Fritzbox-Filter genau?
Mir fehlt dort die Möglichkeit Wildcards, Reguläre Ausdrücke und/oder Auto-Updates von externen Listen-Anbietern zu verwenden.

Erst mal danke für die weitere Klarstellung. Also gehe ich mal davon aus, dass mit dem Eintrag einer Domain in die Blacklist der Fritzbox auch die entsprechende IP-Adresse geblockt wird. Kein Zugriff also für die an der Fritzbox hängenden Rechner auf diese Domain. Niente.
Was ich deshalb immer noch nicht verstehe, ist die Aussage (um die es mir auch weiter oben ging):Warum sollte der mit https nicht mehr von der Fritzbox geblockt werden? Wie gfhfkgfhfk schreibt:
Die Fritzbox soll ja gar nicht in die Pakete hineinschauen können. Sie braucht nicht zu wissen, auf welchen Unterordner da verschlüsselt zugegriffen wird. Sie soll ganz einfach überhaupt keine Verbindung zu einem Server aufbauen, der in der Blacklist steht. Ich gehe mal davon aus, dass sie sich auch genau so verhält und auch https-Zugriffe eben doch von außerhalb des Rechners geblockt werden können.
Wenn die Blacklist ganz einfach per https auszuhebeln wäre, wäre sie doch total unsinnig.
Aber vielleicht stehe ich auch grad auf dem Schlauch…?

Weil das vielleicht immer noch missverständlich rüberkommt — ich meine: Die Fritzbox blockiert beides — Zugriff per Domainname und Zugriff direkt über die IP-Adresse. Die IP-Adresse ist also ebenfalls automatisch mit dem Eintrag eines Domainnamens in der Blacklist gespeichert und wird nicht erst beim Zugriff vom DNS geholt. So habe ich MacRudi verstanden.

Der Pfad (also der Teil nach der Domain in der URL) ist der Fritzbox bei HTTPS unbekannt. Der Client-PC baut eine Verbindung zum Host beim http request handshake auf (Der Hostname ist dabei unverschlüsselt ) die SSL/TLS-Kommunikation beginnt nun erst jetzt wird der Pfad per GET an den Server verschlüsselt übertragen. Die komplette URL ist dabei nur dem Client und dem Server bekannt.Der Server ist der Host. Das bekommt die Fritzbox mit; offenbar allerdings nur dann wenn man ihn auch als DNS verwendet und nicht für den normalen Paket-Traffic - so zumindest mein Test eben gerade:
Ich habe in meinem LAN separate redundante DNS-Server. Die Fritzbox ist nur Gateway. Die Blacklist hat trotz Zuweisung auf die Standard-Gruppe in dieser Konstellation bei mir gar keine Auswirkung. Offenbar ist die Filter-Funktion für die Kindersicherung lediglich ein DNS-Filter (den man leicht umgehen kann wenn man einen externen DNS verwendet). In die einzelnen Pakete wird gar nicht geschaut. Wäre vermutlich aus Performance-Gründen auch problematisch. Als Ad-Filter daher okay (wenn da nicht die anderen Nachteile wären), als Kindersicherung keine wirkliche Hürde wenn das Kind auf Zack ist.
In den meisten Fällen nicht. In einigen allerdings schon: dort wo Seiten mit Inhalt (also nicht reine Adbetreiber) eigene lokale Ad-Server in Unterordnern verwendet werden statt auf einer externen Domain oder einer Subdomain. Denn dort funktioniert ein Sperren der Domain nicht - ansonsten kann man die Seite nicht mehr besuchen. Da muss man also auf Ordner filtern oder gar per Regular-Expressions auf Dateinamen/Suffixe. Und das klappt halt nicht. Werbung dieser Art verwendet z.B. spiegel.de (neben "normalen" Ads).
Domain-Einträge zu blockieren sind per DNS-Abfrage (oder Proxy) per HTTPS ja auch kein Problem. Problematisch sind halt Unterordner/Dateien bei HTTPS-Aufrufen. Dies funktioniert nur lokal oder per Proxy.pac-Datei (was im Grunde genommen auch lokal ist, wenn auch remote konfiguriert) oder halt mit einem SSL/TLS-aufbrechendem Proxy.

In der Blacklist befinden sich normalerweise keine IPs. Zumindest nicht in den gängigen Listen die ich kenne.
Es kann sein dass die Fritzbox einen LookUp am externen Name Server macht und sich alle PTR-Einträge zur IP ausgeben lässt. Diese werden dann mit den Einträgen in der Blacklist verglichen.
Ich kann das hier nicht testen da, wie geschrieben bei mir der Filter nicht funktioniert.

@Megaseppl: Vielen Dank für die Erklärung!

Hat man die Filterung bei der Fritzbox eingeschaltet (dafür muss man sich zunächst die erweiterte Ansicht aktivieren), dann hat man unter dem Punkt Internet Filter direkt unter der Blacklist die Möglichkeit, einzelne IP-Adressen vom generellen IP-Adress-Verbot auszunehmen.

Klappt bei mir wunderbar Lieben Dank

Ich habe gerade mal in den Systemeinstellungen auf dem Mac einen anderen DNS-Server eingetragen (vorher war dort die Fritzbox 192.168.178.1 eingestellt, ich habe mal auf einen Stratoserver umgestellt 81.169.183.221). Die geblockten Domains wurden aber weiterhin im Safari unter den Webinformationen rot markiert und Werbung war keine zu sehen.

Du musst den DNS Cache löschen und dann erneut testen. Das Client-OS spricht den DNS ja nur einmal an pro Host. Danach speichert er den Eintrag für eine längere Zeit.
Im Terminal unter Sierra folgenden Befehl eingeben:

Imho filtert die Fritzbox über einen schlichten IP-Filter.
Dazu wird (vermutlich) die Liste der eingegebenen Domains aufgelöst. (und aktuell gehalten)
Du kannst am Rechner eintragen, was du willst (ich nutze übrigens die Google-DNS-Server 8.8.8.8 und 8.8.4.4 ),
der Filter greift trotzdem. (hier mit 7490 und OS 6.8.3)
Andernfalls wäre dieser Filter auch ziemlich nutzlos.

Dann frage ich mich warum der bei mir nicht zieht. Ich komme auf sämtliche Domains in der Blacklist drauf. Die Blacklist ist allen "Standard"-Geräten zugeordnet- und von genau diesen teste ich es auch. Meine DNS-Server sind zwei LAN-interne Server (mit Forwarding auf die Google DNS), die Fritzbox ist nur Gateway. DHCP macht die Fritzbox auch nicht.

Vielen Dank, ganz genau meine Rede.
Bin ja schon regelrecht erschrocken, das hier tatsächlich auch noch jemand anderes zu dieser Erkenntnis kommt!

Warum @Stiffler das nicht zu erkennen vermag und weiterhin mit mit Fritzbox-Filtern hantiert, ist mir daher nur unter dem Denkmodell, das er einfach nicht so recht weis worum es hier geht, erklärlich.

Bei einer SSL getunnelten Verbindung bekommt die Fritzbox überhaupt nicht mit was in dem Tunnel so läuft, nur weis das der liebe @Stiffler offensichtlich nicht.

Das würde mich auch mal interessieren. Ich prüfe mal morgen meine Konfiguration nochmal genauer...
Es ist mir ja nichtmal wirklich klar, wie und wann die FB filtert.
Es gibt ja "alternative" Images für die FB mit zusätzlichen Models wie squid. Habe ich mich aber noch nicht rangewagt.


Kannst du mal bitte anfangen genauer zu lesen, was man dir zu vermitteln versucht? Pfad hinter der Domain <-

"[...] SSL getunnelten Verbindung [...] " man man man...

Ich hätte nichtmal genug Buntstifte, um dir das verständlich aufzumalen.
Ist dir klar, dass Werbung i.d.R. von anderen Servern geladen wird, als der Content der angeforderten Seite?
Ist dir auch klar, dass ALLE Requests an deinem Gateway (aka Router deiner Wahl) aufschlagen?

Wenn dieser die angeforderte IP/Domain auf einem Filter hat... na? dann?
Was danach kommt, ist zweitrangig.
Zuerst wird geroutet (& ggf. gefiltert), dann die Verbindung zw. Client & Server aufgebaut, dann erst erfolgt SSL handshake etc.

Aber vielleicht reden wir nur aneinander vorbei.

sollen wir jetzt lachen?

Nee mein lieber, bislang gibt es leider auch nicht den geringsten Hinweis darauf, das Du auch nur ansatzweise weist, wovon hier die Rede ist. Klassisches Getrumpel* was Du hier aufführst.

*keine Ahnung von nichts, aber eine ganz feste Meinung....

man man man, kann man so dusselig sein?
diese Werbe-Anforderungen laufen aber nicht über Deine Fritzbox, sondern allenfalls über den Server der angesurften SSL-Website, es ist eine getunnelte Verbindung.

Meine Güte, wie eingebildet muss man denn sein, um derart nun wirklich leicht verständliche Zusammenhänge nicht zu schnallen, -aber anderen Forenten Ahnungslosigkeit zu unterstellen....

Shame on you, Freaky.

Bin zuversichtlich, das es Deine Eitelkeit es nicht zulassen wird, fortan zu schweigen

Nach dieser Ansage melde ich mich dann doch noch mal zu Wort.

Das Blocken über DNS (ohne SSL Funktion des eBlockers) funktioniert bei beiden gleich. Bekannte Werbedomains werden durch die Geräte geblockt und gelangen garnicht erst zum Endgerät. Wenn allerdings der Domainbetreiber (z.B. welt.de) unter seiner Domain selbst Werbung hostet dann ist der reine DNS-Blocker an seiner Grenze. Beide Produkte (pi-hole und eBlocker) verwenden hier per Default "easylist" Blocklisten.

Hier setzt der eBlocker mit seiner Proxyfunktion an. Er leitet den Verkehr vermutlich gleich noch mit durch den "squid" (der eingesetzte Proxy beim eBlocker) und filtert sicher schlagwortartig auch die selbst gehostete Werbung. Nebenbei kann er hier auch noch die HTTP-Requests dahingegen manipulieren, dass er seine "schicke" Kontrollleiste einblenden und Clientinfos wie "Browser" und "Betriebssystem" ändern kann. Über Sinn und Unsinn kann man hier streiten. Das muss jeder selbst wissen.

Um das Ganze auch bei HTTPS machen zu können muss man sich den eBlocker als "Man in The Middle" konfigurieren und sich ein Zertifikat des eBlockers installieren. Hier bricht man sich also im Namen der Werbefreiheit die Sicherheit auf. Auch hier muss das jeder selbst wissen. Wenigstens bringt der eBlocker auch gleich eine "Whitelist" für einige Banken mit die sich noch selbst erweitern lässt.

Die Tor Funktion ist sicher nicht jeder Manns Sache. In der Konfiguration bilde ich mir ein gesehen zu haben dass man nur einen Zugangspunkt zum Tornetzwerk verwendet. In wieweit sich das im Onlinebetrieb ändert kann ich nicht sagen.

Für mich als Fazit für den eBlocker steht folgendes fest:
Das was wirklich einer Pflege bedarf ist kostenlos (die Blocklisten).
Squid Updates sind mit Sicherheit auch kostenlos.
Die Konfiguration und das Webinterface ist sicher auch eine Bezahlung wert (das bestreite ich nicht). Aber 59€/Jahr und dann vielleicht noch die Anschaffung der Hardware mit 199€ find ich schon sehr "selbstbewust".
Der eBlocker ist sicher kein schlechtes Produkt, aber Preis/Leistungsmäßig nicht gerade die Beste Wahl.

Ich reagiere nur auf Antworten die mir nicht gleich persönlich kommen.

Richtig, wobei man dann auch konsequenterweise keine
Werbeblocker-Plugins im Browser installieren duerfte
der der sieht auch alles und dem Browser selbst muss
ich natuerlich auch vertrauen, denn der sieht auch alles
und wie man bei Mozilla ja zuletzt sehen konnte werten
die Browserhersteller auch ganz gerne aus was der
User so an Seiten im Internet aufruft und welche Eingaben
er im Browser taetigt.

@KarstenM Schön zusammengefasst. Anmerken kann man noch, dass die Software des eBlocker kostenfrei (da OpenSource basierend) für BananaPi & Co angeboten wird. Das UpdateAbo ist geschickt vermarktet, aber kein Pflichtprogramm.

Komplett falsch.
SSL (neu: TLS) ist nur ein Protokoll.
Es beschreibt das Prozedere, welches zum Aufbau einer verschlüsselten Verbindung notwendig ist.
Es ist kein Tunnel! Womöglich verwechselst du was mit VPN.

Jeder Link (jedes CSS, Script, Bild, etc) wird vom Browser über eine separate Verbindung geladen.

Okay. Das machen Sie wirklich geschickt. Ist völlig an mir vorbei gegangen dass es auch ohne geht. Dachte nach 30 Tagen ist Schluss.

das dachte ich auch. und denke es eigentlich auch immernoch.
zum download stehen dort nur varianten von "eblocker pro" und dann der hinweis, dass man eine kostenlose 30-tage-testlizenz für "eblocker pro" bekommen kann.
der download mag ja gratis sein, die lizenz um es über 30 tage hinaus zu betreiben allerdings nicht.

ich lasse mich natürlich gerne eines besseren belehren. ich find nur nix gegenteiliges

Vielleicht habe ich es auch nur nicht richtig verstanden.
Imho gibt es die aktualisierten Filterlisten als Update nur mit Lizenz.

Kostenlos gibt es diese Listen also auch, allerdings nur im Bundle mit dem OS. Das Update ist also etwas aufwändiger.

Allerdings stellt sich mit die Frage, wie oft diese Filterlisten aktualisiert werden müssen.
Vierteljährlich mal ein Systemupdate inkl. neuer Listen installieren sollte doch reichen?

Die Jungs haben ja ein nettes Geschäftsmodell.
Die Entwicklung haben sie via Kickstarter mit 500k finanziert und nun verkaufen sie weiß verpackte *Pi's für 200 Schleifen mit Jahresabo

Ich finde eigentlich gut, dass sie die Software auch ohne Box verkaufen... Und dafür die Filterlisten optimieren.
Ja und Nein... Das aktualisieren kostet halt Personal... Und das haben wir in Deutschland ja über

du glaubst doch wohl nicht, dass die das direkt selber pflegen. die bedienen sich an easylist und co. die gibts seit min 15 jahren und waren seit je her kostenlos und communitygepflegt.

Ich glaube auch, dass die meiste Arbeit an den Dingern schon getan ist. Ich hätte auch kein Problem damit wenn sie sagen würden: "So hier ist das Produkt, kostet 100-150€, Filterlisten kommen von easylist und kritische Updates gibts bis zu einem Major-Release unsere Software gratis."
Wenn Sie für ein größeres SW-Update wieder Geld haben wollten hätte ich damit auch kein Problem. Es ist aber sicher so, dass die meisten Aktualisierungen von easylist kommen (Sind nach 4 Tagen outdated) und dafür wollen sie ein Abo abschließen. Wenn ich falsch liege bitte ich um Richtigstellung.