pfsense in virtualbox mit eigenem ap zur "kindersicherung"

  • hallo zusammen,


    also folgendes vorhaben da die kinder so langsam in ein internatfähiges alter kommen...
    ich habe hier einen Server welcher als dhcp/dns etc fungiert und auf dem auch virtualbox mit einigen testmaschinen und auch einer Wetterstation läuft.
    meine Idee ist es die onboard-netzwerkkarte, an welcher dann ein accesspoint drangehangen wird,einer vm zuzuweisen auf der dann pfsense läuft.
    die Clients sollen wenn möglich ips aus einem eigenem netz bekommen (ich nutze hier intern das netz 192.168.178.x, die Clients sollen dann von mir aus Adressen aus dem netz 10.0.0.x bekommen.
    die Clients, welche sich dann auf dem ap ins Netzwerk hängen, sollen mittels captive Portal einmal-Passwörter bekommen welche dann 1 stunde Internet erlauben. die "Bons" sollen vorher ausgedruckt werden und dann so vergeben werden.
    pfsense soll "böse" seiten aussieben (grundsätzlich sollen alle seiten gesperrt werden und nur erlaubute seiten sollen aufrufbar sein, also quasi eine "whitelist").


    ist so ein vorhaben grundsätzlich möglich? oder vielmehr stellt sich die frage : ist so ein vorhaben sinnvoll oder gibt es andere Möglichkeiten der Sicherung? die kinder haben einen eigenen Laptop und keinen zugriff auf ein lan-kabel, sie können praktisch nur per wlan ins netz. wir Eltern haben ein eigenes wlan.


    Hintergrund : Nachbarskinder haben rausgefunden dass die seite www.sweetpussy.com KEINE Fotos von süßen Kätzchen zeigt...


    gruß


    g3joker

    Client 1 Hardware : MSI Z87-G43, I5-4570, 4 GB Ram (oversized aber war über :) ),Zotac NVidia GT630 (25 Watt),Thermaltake DH202 mit iMon-LCD ( 0038 ) und vdr-plugin-imon
    Software : yaVDR 0.6,sofhhddevice @ 1920x1080@50Hz
    Server Hardware : MSI Z87-G43, I7-4790, 16 GB RAM, 5x3 TB WD Red, Digibit-R1 (2 Devices)
    Software : Ubuntu 16.04 LTS mit yavdr-Paketen,virtualbox,diverse VM's


    Yoda: Dunkel die andere Seite ist...sehr dunkel!
    Obi-Wan: Mecker nicht, sondern iss endlich dein Toast ...

  • Gut,ich antworte mir mal selber :)


    Also es ist alles genau so wie es geplant war.


    Der ap hängt an der eigenen netzwerkkarte und die kinder haben so ihr eigenes netz.
    Pfsense ist genügend geblacklisted so dass eine gewisse sicherheit vor unerwünschten seiten gegeben ist.
    Die vouchers werden fleissig von meinem drucker ausgedruckt und bieten jeweils eine stunde internet.


    Pfsense ist wirklich extrem vielfältig einzustellen.


    Wer ähnliches vor hat kann sich gerne melden.


    Gruß


    G3joker

    Client 1 Hardware : MSI Z87-G43, I5-4570, 4 GB Ram (oversized aber war über :) ),Zotac NVidia GT630 (25 Watt),Thermaltake DH202 mit iMon-LCD ( 0038 ) und vdr-plugin-imon
    Software : yaVDR 0.6,sofhhddevice @ 1920x1080@50Hz
    Server Hardware : MSI Z87-G43, I7-4790, 16 GB RAM, 5x3 TB WD Red, Digibit-R1 (2 Devices)
    Software : Ubuntu 16.04 LTS mit yavdr-Paketen,virtualbox,diverse VM's


    Yoda: Dunkel die andere Seite ist...sehr dunkel!
    Obi-Wan: Mecker nicht, sondern iss endlich dein Toast ...

  • Hi,


    wir hatten da einen anderen Ansatz:
    Mit den Kids Zeiten pro Tag ausmachen, die sie rumsurfen dürfen, endlose Diskussionen ( nicht negativ, nur halt zeitaufwändig ), welche Seiten aufgerufen werden und welche nicht, wo eventuell Gefahren lauern könnten usw... und was soll ich sagen, hat funktioniert :]
    Da die beiden in der Zwischenzeit 24 und 22 Jahre alt sind, kannst Du berechtigterweise einwerfen, dass früher warscheinlich noch nicht soviel Mist so einfach erreichbar war, aber ich denk' mal, die Variante Aufklärung verbunden mit Diskussion ist langfristig zielführender als diverse technische Einschränkungen...kostet halt mehr Zeit und bedingt eine gewisse Vertrauensbasis ..
    Und ich gestehe, der Kontrollfreak in mir hat dann Anfangs doch ein paarmal die Logs der Firewall durchgeschaut, wo die Brut denn heute unterwegs war ;-)
    Was ich meine, Du wirst über Black/Whitelistening nie alle bedenklichen Seiten sperren können, und, abhängig natürlich vom Alter Deiner Kinder, irgendwann kommen sie drauf, was ein Proxy oder VPN nicht helfen kann, dorthin zu kommen, wo's verboten ist.
    Nochmal, ich möchte Deine Herangehensweise an das Thema nicht schlechtmachen, aber sind wir nicht alle schon genug überwacht und technisch gemassregelt, dass wir sowas auch zuause aufziehen müssen ?


    Nur halt so meine Meinung zu dem Thema,


    tom

  • Hallo g3Joker,


    mein vorhaben ist identisch mit deinem jedoch hab ich Probleme mit der Konfiguration des Proxy und Squidguard.
    könntest du mir da helfen.


    Ist für mich alles Neuland.


    Gruß Josty

  • Moin,


    anfänglich hatten unsere Kinder nur begleiteten Internetzugang, dabei wurden viele Fragen beantwortet, die Kinder wurden immer selbstständiger.
    Da die Kinder auf ihren Rechner keine Admin Rechte hatten habe ich einige Sachen per hosts Datei auf 127.0.0.1 geerdet, das waren aber überwiegend Adserver die ich via YoYo gefunden hatte und einige betrügerische Webseiten.
    Für eine Einhaltung der Ruhezeiten sorgen inzwischen zeitgesteuerte Firewall Regeln der pfSense bzw. zeitgesteuertes Abschalten der SSID für die Kinder WLans.
    Whitelisting halte ich für zu einengend, Blacklisting betreibe ich nur für Adserver und ganz wenige Seiten die ich für zumindest zweifelhaft halte, z.B. Softonic ist so ein Laden, Sedo mit ihrem kranken Domainparking ist geerdet ... Wenn es nach mir ginge wäre auch Facebook geerdet aber damit bin ich in der absoluten Minderheit ;( in der Familie. PfSense sorgt dafür das meine Regeln ausreichend Beachtung finden auch wenn Einer mittlerweile lokale Admin Rechte hat. :mua


    Was für andere Familien richtig oder falsch ist maße ich mir nicht an beurteilen zu können, die Entscheidung muss jeder selber treffen.


    -teddy


    -- Ubuntu Server 20.04.1 & VDR 2.4.4 --




    Hardware: Digital Devices Cine S2 V6.5 im Dell T20 headless und AppleTV 4k mit Mr.MC als Client am TV