[Berlin-wireless] Traffic ausleiten (war: Abschaltung vpn03-backup.berlin.freifunk.net)

Marc freifunkml at kura.de
Mo Feb 15 22:35:47 CET 2016 

Und das würde ein so kleiner Router schaffen? Bin ja schon froh, dass
der IP-foo so optimiert ist, dass ausgeleiteter Traffic fast keine
Rechenleistung kostet.

Die IPs wachsen übrigens täglich. Alleine für Netflix kamen gerade
folgende dazu:
108.175.34.138
108.175.34.150
108.175.34.201
108.175.40.110
108.175.40.93
108.175.42.213
108.175.42.217
108.175.47.135
198.38.97.143
198.38.97.162
198.38.98.173
23.246.14.155
23.246.25.145
23.246.25.163
23.246.6.139
23.246.6.142
23.246.6.148
23.246.7.165

Ich werde wohl einfach die /24er ausleiten, ist einfacher.

ip rule add to 108.175.34.0/24 table main
ip rule add to 108.175.40.0/24 table main
ip rule add to 108.175.42.0/24 table main
ip rule add to 108.175.47.0/24 table main
ip rule add to 198.38.97.0/24 table main
ip rule add to 198.38.98.0/24 table main
ip rule add to 23.246.14.0/24 table main
ip rule add to 23.246.25.0/24 table main
ip rule add to 23.246.6.0/24 table main
ip rule add to 23.246.7.0/24 table main

Andere Hosts sind nicht so einfach.

1e100 ist immer Google. Was dahinter ist und ob man es ausleiten sollte,
entscheide ich nach den Ports.


Sieht nach GoogleDrive aus:



Sollte vielleicht nicht ausgeleitet werden. Findest du dort ein
Zertifikat, dass nach Youtube aussieht, schon eher:





(Ich rufe immer https://<ip> auf, du bekommst eine Fehlermeldung, da das
Zertifikat nie für die IP ausgestellt wird.)

Ist bei den Ports IMAP oder POP3 zu erkennen, dann leite ich das auch
nicht aus. Nutzen die Google-Server irgendwelche anderen Ports (RTSP
z.B.), gehe ich von Google Video oder Music aus, dass kann man auch
ausleiten.

Warum der Aufwand? Z.B. deswegen:
http://www.lawblog.de/index.php/archives/2016/02/15/ein-schriftsatz-geht-zurueck/

Gegen bessere/einfache Vorschläge habe ich nichts einzuwenden. ;-)


Gruß,
Marc



Am 15.02.2016 um 16:36 schrieb Malte:
> On Mon, 15 Feb 2016, Marc wrote:
>
>> Manche IPs haben keine Rückwärtsauflösung. Wenn du die IP aufrufst und
>> du damit nicht weißt, was sich dahinter verbirgt, nehme halt https://
>> davor. Damit konnte ich einiges ausfiltern.
>
> Hm... kurzes Suchen im Netz hat gerade nichts gebracht, aber sollte es
> nicht möglich sein, die Firewall so zu konfigurieren, dass sie sich
> die Host-Header (bei HTTP) bzw. SNI-Infos (bei HTTPS) anschaut und das
> dann entsprechend routet? Dann könnte man Hostnamen-basiert umleiten
> statt IP-basiert. Evtl. könnte man dafür auch direkt einen kleinen
> transparenten Proxy (statt Firewall) nehmen.
>
> Ist aber vielleicht schon wieder etwas kompliziert/unrealistisch.
> Danke für die IP-Listen! :-)
>
> Grüße,
> Malte
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein �ffentlich einsehbares Archiv
>
> -- 
> Marc Kura
> Phone: +49-30-69201323 Fax: +49-30-69201737
> mailto:email at kura.de
> "Und Schäuble hat gesagt, für Ihn sind alle Menschen gleich - ob Deutsch
> oder Ausländer .............alles Verbrecher!"
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : biagebhe.png
Dateityp    : image/png
Dateigröße  : 10818 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : eadaedbj.png
Dateityp    : image/png
Dateigröße  : 4218 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment-0001.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : aiiejadf.png
Dateityp    : image/png
Dateigröße  : 10716 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment-0002.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : cabddabj.png
Dateityp    : image/png
Dateigröße  : 12208 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment-0003.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : 0x8E51EE87.asc
Dateityp    : application/pgp-keys
Dateigröße  : 1757 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment.key>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 524 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160215/04c7dd62/attachment.sig>

Mehr Informationen über die Mailingliste Berlin