Beschreibung:

Das BPjM-Modul wird von der Bundeszentrale für Kinder- und Jugendmedienschutz herausgegeben und sperrt Webseiten, die Kindern und Jugendlichen in Deutschland nicht zugänglich gemacht werden dürfen. Diese Funktion ist besonders für Schulen und Bildungseinrichtungen mit minderjährigen Schülern relevant. Damit sind DNS-Domains, deren Inhalte offiziell als jugendgefährdend eingestuft werden, für die entsprechende Zielgruppe in Deutschland nicht erreichbar. Eine automatische und regelmäßige Aktualisierung und Erweiterung dieser Auflistung ist dabei gewährleistet. Das BPJM-Modul sperrt DNS-Domains, die auf der offiziellen Webseiten-Liste der Bundesprüfstelle für jugendgefährdende Medien (BPjM) stehen. Eine Sperrung nach Kategorie oder Override (Erlauben) ist hierbei nicht möglich.

In diesem Artikel wird beschrieben, wie der BPjM-Filter auf einem LANCOM Router eingerichtet werden kann.

Der BPjM-Filter prüft DNS-Domains und sperrt die zugehörige IP-Adresse, wenn sich die DNS-Domain auf der BPjM-Filterliste befindet. Wenn auf einem physikalischen Web-Server mit einer IP-Adresse aber mehrere virtuelle Web-Server bereitgestellt werden, haben alle Webseiten dieselbe IP-Adresse. Dadurch werden alle Webseiten auf diesem Server gesperrt, sobald sich eine der DNS-Domains auf der BPjM-Filterliste befindet (sogenanntes Overblocking). Es ist zwar möglich eine gewünschte DNS-Domain wieder über die Firewall-Regel BPJM-ALLOW-LIST freizugeben. Dann sind aber alle DNS-Domains hinter dieser IP-Adresse wieder erlaubt (also gegebenenfalls auch unerwünschte DNS-Domains).

Es ist auch möglich den BPjM-Filter in Verbindung mit dem Content Filter zu verwenden. Dazu muss die Firewall-Regel für den Content Filter höher priorisiert sein als die Regeln für den BPjM-Filter.

In der Standard-Konfiguration sind bereits entsprechende priorisierte Firewall-Regeln vorhanden:

  • CONTENT-FILTER mit der Priorität 9999
  • BPJM-ALLOW-LIST mit der Priorität 9998
  • BPJM mit der Priorität 9997



Voraussetzungen:

  • LCOS ab Version 10.70 Rel (download aktuelle Version)
  • LANtools ab Version 10.70 Rel (download aktuelle Version)
  • LANCOM BPjM-Filter oder LANCOM Content Filter Option (enthält den BPjM-Filter)
  • Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netzwerk fungieren
    • Blockieren von DNS-Anfragen (UDP-Port 53) zu einem externen DNS-Server im Internet durch eine Firewall-Regel
    • Blockieren von DNS-Anfragen über DNS-over-TLS (TCP-Port 853) zu einem externen DNS-Server im Internet durch eine Firewall-Regel
    • Deaktivieren von DNS-over-HTTPS im Web-Browser (etwa per Gruppenrichtlinie)


Szenario:

  • In einem LANCOM Router ist das Netzwerk INTRANET mit dem IP-Adressbereich 192.168.10.0/24 konfiguriert.
  • Zusätzlich soll ein weiteres Netzwerk (BPJM-Netzwerk) mit dem IP-Adressbereich 192.168.20.0/24 eingerichtet werden. Für dieses soll der BPjM-Filter aktiviert werden, um unerwünschte DNS-Domains zu filtern.
  • An dem Router ist ein VLAN-fähiger Switch angeschlossen, welcher die Pakete weiterverteilt.


Vorgehensweise:

1. Einrichtung des separaten Netzwerks für den BPjM-Filter:

1.1 Verbinden Sie sich per LANconfig mit dem Router und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

Das Bild zeigt ein technisches Konfigurationsmenü, in dem Optionen zur Netzwerkdefinition, IP-Adressenkonfiguration, DHCP-Einstellungen und weitere Monitoring- und Kommunikationseinstellungen dargestellt sind.

1.2 Klicken Sie auf Hinzufügen, um ein weiteres Netzwerk zu erstellen, für welches der BPjM-Filter verwendet werden soll.

Screenshot einer technischen Benutzeroberfläche mit Konfigurationsoptionen für Netzwerkeinstellungen, inklusive Bereiche wie IP-Netzwerke und DMZ (Demilitarisierte Zone).

1.3 Passen Sie die folgenden Parameter an:

  • Netzwerkname: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel BPJM-NETZWERK).
  • IP-Adresse: Tragen Sie eine IP-Adresse aus einem bisher nicht verwendet Netzwerk ein (in diesem Beispiel die IP-Adresse 192.168.20.254).
  • Netzmaske: Tragen Sie eine passende Subnetzmaske für das Netzwerk ein (in diesem Beispiel 255.255.255.0).
  • VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein, um dieses Netzwerk logisch von dem Netzwerk INTRANET zu trennen (in diesem Beispiel die VLAN-ID 2).

Damit die Kommunikation funktioniert, muss auf dem angeschlossenen Switch die verwendete VLAN-ID konfiguriert und auf dem Port zum Router der Tagging-Modus Hybrid verwendet werden. Als PVID muss die VLAN-ID verwendet werden, welche im Switch dem Netzwerk INTRANET zugewiesen ist.

Informationen zur Konfiguration bei LANCOM Switches finden Sie in den folgenden Knowledge Base Artikeln:

Bei Verwendung von Switches eines anderen Herstellers konsultieren Sie bitte das Handbuch oder wenden sich an den jeweiligen Hersteller.

Bildschirmdarstellung einer technischen Benutzeroberfläche zur Konfiguration eines Netzwerks, einschließlich Einstellungen wie Netzwerktyp 'Intranet' und Optionen für LAN Schnittstellenzuordnung sowie Adressprüfung.

1.4 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

Bildschirm eines Konfigurationsmenüs zur Auswahl und Anpassung von DHCP-Server-Einstellungen in einem Netzwerkmanagement-System.

1.5 Erstellen Sie ein neues DHCP-Netzwerk und passen die folgenden Parameter an:

  • Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).
  • DHCP-Server aktiviert: Wählen Sie im Dropdownmenü die Option Ja aus, damit der DHCP-Server dauerhaft aktiv ist.

Da bei Erster DNS und Zweiter DNS die IP-Adresse 0.0.0.0 hinterlegt ist, teilt der LANCOM Router seine eigene IP-Adresse als DNS-Server aus.

Bei Bedarf können Sie einen DHCP-Adress-Pool über die Parameter Erste Adresse und Letzte Adresse anlegen.

Screenshot einer technischen Benutzeroberfläche, die verschiedene Einstellungsoptionen für DHCP-Netzwerke, einschließlich neuer Einträge, Serveradressen, Namen der Netzgeräte, Gültigkeitsdauer von Adresszuweisungen und Prüfungsoptionen darstellt.

1.6 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

Bildschirmansicht einer technischen Konfigurations-Oberfläche mit Optionen für Paketmanagement, Firewall-Objekte, Routing-Protokolle und Dienstobjekte zur Sicherung und Optimierung des Netzwerkmanagements.

1.7 Erstellen Sie eine neue Regel, welche den Datenverkehr vom BPJM-NETZWERK in alle anderen lokalen Netzwerke unterbindet und vergeben einen aussagekräftigen Namen.

Benutzeroberfläche eines Netzwerkverwaltungssystems, die verschiedene Regeloptionen für die Datenübermittlung anzeigt, einschließlich einer spezifischen Regel namens FilterRegelDENYBPJMNETZWERKLOCALNET zur Verwaltung der Datenpakete.

1.8 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass das Objekt REJECT hinterlegt ist.

Bildschirmansicht einer technischen Benutzeroberfläche mit Menüoptionen und Filterregeln für Netzwerkvorgänge, die verschiedene Aktionen für Datenpakete und Dienste beschreiben.

1.9 Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Screenshot einer technischen Benutzeroberfläche zur Netzwerkverwaltung mit Optionen für Filterregeln, Verbindungsquellen, Qualitätsservice (QoS) und Stati sowie Tools zum Hinzufügen, Bearbeiten oder Entfernen von Netzwerkstationen.

1.10 Belassen Sie die Auswahl auf der Option Alle Stationen im lokalen Netzwerk und wählen bei Netzwerk-Name das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).

Screenshot eines Konfigurationsmenüs zur Auswahl von Netzwerkstationen, einschließlich Optionen für mehrere Stationen, lokale Netzwerkstationen, Broadcasts im lokalen Netzwerk, spezifische Gegenstellen, lokale Stationen, MAC-Adressen, IP-Adressen oder Bereiche sowie ganze IP-Netzwerke.

1.11 Wählen Sie bei Verbindungs-Ziel die Option Verbindungen an folgende Stationen aus und klicken auf Hinzufügen → LOCALNET.

Das Objekt LOCALNET beinhaltet alle im Router konfigurierten Netzwerke.

Screenshot einer technischen Benutzeroberfläche mit diversen Menüoptionen und Filterregeln für Netzwerkverbindungen in einem lokalen Netzwerk.



2. Konfiguration der Firewall-Regeln zum Erlauben und Verbieten von DNS-Anfragen (DNS und DNS-over-TLS):

2.1 Konfiguration einer Firewall-Regel zum Verbieten von DNS-Anfragen in beliebige Netzwerke:

2.1.1 Erstellen Sie eine weitere Regel, welche DNS-Anfragen aus dem BPJM-NETZWERK in beliebige Netzwerke verbietet (also auch zum Internet) und vergeben einen aussagekräftigen Namen (in diesem Beispiel DENY-DNS-INTERNET).

Ein Screenshot einer technischen Benutzeroberfläche, der verschiedene Optionen von Netzwerkeinstellungen und Firewall-Regeln darstellt, einschließlich spezifischer Regeln wie 'FilterRegelDENYDNSINTERNET' und Diskussionen über Datenpaket-Management, QoS und Load Balancing.

2.1.2 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass das Objekt REJECT hinterlegt ist.

Die Abbildung zeigt eine technische Benutzeroberfläche mit einer Aktionstabelle und verschiedenen Filterregeln wie DENY DNS INTERNET, betreffend Regeln und Dienste für Netzwerkkommunikation.

2.1.3 Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Screenshot eines technischen Konfigurationsmenüs mit Optionen zur Netzwerkverwaltung, einschließlich DNS-Einstellungen, QoS-Richtlinien und Verbindungsquellen.

2.1.4 Belassen Sie die Auswahl auf der Option Alle Stationen im lokalen Netzwerk und wählen bei Netzwerk-Name das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).

Benutzeroberfläche eines Netzwerk-Konfigurationsmenüs mit verschiedenen verfügbaren Optionen zur Auswahl der Zielstationen, wie lokale Netzwerkstationen, eine bestimmte Gegenstelle, bestimmte lokale Station, MAC-Adresse, eine IP-Adresse oder Adressbereich, sowie ein ganzes IP-Netzwerk.

2.1.5 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.

Bildschirmfoto einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkprotokollen mit Optionen zum Hinzufügen, Bearbeiten und Entfernen von Regeln.

2.1.6 Wählen Sie das Protokoll DNS aus.

Ein Bildschirmfoto einer technischen Benutzeroberfläche, die verschiedene Netzwerkprotokolle und Dienste zeigt, darunter SNMP, ECHO und INETBIOS, sowie Optionen zum Hinzufügen eines neuen Dienstobjekts und eines benutzerdefinierten Dienstes.


2.2 Konfiguration einer Firewall-Regel zum Verbieten von DNS-Anfragen über DNS-over-TLS in beliebige Netzwerke:

2.2.1 Erstellen Sie eine weitere Regel, welche DNS-Anfragen über DNS-over-TLS aus dem BPJM-NETZWERK in beliebige Netzwerke verbietet (also auch zum Internet) und vergeben einen aussagekräftigen Namen (in diesem Beispiel DENY-DNS-OVER-TLS-INTERNET).

Screenshot einer technischen Benutzeroberfläche mit Einstellungen für eine Firewall-Regel, die bestimmte Datenpakete basierend auf festgelegten Kriterien verwirft oder überträgt, einschließlich der Konfiguration einer spezifischen Regel namens 'FilterRegelDENYDNSOVERTLSINTERNET'.

2.2.2 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass das Objekt REJECT hinterlegt ist.

Bildschirmansicht einer technischen Benutzeroberfläche mit Menüoptionen und Filterregeln, die spezifische Aktionen bei bestimmten Datenmengen oder Paketüberschreitungen beschreiben.

2.2.3 Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Screenshot einer technischen Konfigurationsseite zur Verwaltung von Netzwerkregeln, einschließlich Optionen wie 'DNS over TLS', Verbindungsquellen und -ziele sowie Qualitätsdiensteinstellungen.

2.2.4 Belassen Sie die Auswahl auf der Option Alle Stationen im lokalen Netzwerk und wählen bei Netzwerk-Name das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).

Bildschirmanzeige eines Netzwerkkonfigurationsmenüs mit verschiedenen Optionen zur Auswahl von Stationstypen und Zieladressen, einschließlich lokaler Netzwerke, IP-Adressbereiche und spezifischer MAC-Adressen.

2.2.5 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.

Screenshot einer technischen Benutzeroberfläche, die Filterregeln für Netzwerkprotokolle und Dienste zeigt, einschließlich einer spezifischen Regel DENY DNS OVER TLS INTERNET.

2.2.6 Klicken Sie auf Neues Dienst-Objekt anlegen.

Bildschirmansicht eines Netzwerk-Konfigurationsmenüs mit Optionen für IPSEC, SYSLOG, SNMP, ECHO, DNS, NETBIOS, PCANYWHERE und einer Funktion zum Anlegen eines neuen Dienstobjekts.

2.2.7 Vergeben Sie einen aussagekräftigen Namen für das Dienst-Objekt (in diesem Beispiel DNS-OVER-TLS).

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von DNS-over-TLS mit Optionen für verschiedene Objekte und allgemeine Dienste.

2.2.8 Wechseln Sie in den Reiter Dienste, wählen die Option Benutzderdefinierte Protokolle aus und klicken auf Protokolle bearbeiten.

Screenshot einer technischen Benutzeroberfläche, die verschiedene Dienste und Protokolle wie HTTP, HTTPS, SMTP, POP, NNTP, FTP, TELNET, PPTP, L2TP, DNS, NetBIOS über IP und VPN über IPSec anzeigt.

2.2.9 Wählen Sie bei IP-Protokolle die Option TCP aus und hinterlegen bei Ports den Port 853.

Screenshot einer technischen Benutzeroberfläche für Netzwerkprotokolle mit Eingabefeldern zur Spezifikation von Protokollnummern und Ports, getrennt durch Kommata.


2.3 Konfiguration einer Firewall-Regel zum Erlauben von DNS-Anfragen in lokale Netzwerke:

Da DNS-Anfragen in Schritt 2.1 aus dem BPJM-NETZWERK in beliebige Netzwerke verboten wurden, ist es erforderlich DNS-Anfragen aus dem BPJM-NETZWERK lokal zu erlauben, damit die DNS-Auflösung funktioniert.

2.3.1 Erstellen Sie eine weitere Regel, welche DNS-Anfragen aus dem BPJM-NETZWERK in alle anderen lokalen Netzwerke erlaubt und vergeben einen aussagekräftigen Namen (in diesem Beispiel ALLOW-DNS-LOCALNET).

Bild einer technischen Benutzeroberfläche, welche verschiedene Netzwerkregel-Optionen zeigt, einschließlich einer Filterregel namens ALLOWDNSLOCALNET, gefolgt von Menüpunkten wie allgemeine Aktionen, QoS, Stationen und Dienste.

2.3.2 Wechseln Sie in den Reiter Aktionen, löschen das vorhandene Objekt REJECT und fügen stattdessen das Objekt ACCEPT hinzu.

Bildschirmansicht eines technischen Konfigurationsmenüs mit Filterregeln und Aktionsoptionen, einschließlich einer Erläuterungstabelle für bestimmte Situationen mit Datenübertragungen.

2.3.3 Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Das Bild zeigt eine technische Benutzeroberfläche für Netzwerkeinstellungen, einschließlich Optionen zur Filterung, Qualitätsservice-Einstellungen (QoS) und Verbindungskonfigurationen für lokale Netzwerke (LOCALNET) und DNS-Ziele.

2.3.4 Belassen Sie die Auswahl auf der Option Alle Stationen im lokalen Netzwerk und wählen bei Netzwerk-Name das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).

Screenshot einer technischen Benutzeroberfläche, die verschiedene Netzwerkoptionen auflistet, einschließlich lokaler Stationen, MAC-Adressen, IP-Adressen und IP-Netzwerken zur Auswahl für Konfigurationen oder Übertragungen.

2.3.5 Wählen Sie bei Verbindungs-Ziel die Option Verbindungen an folgende Stationen aus und klicken auf Hinzufügen → LOCALNET.

Das Objekt LOCALNET beinhaltet alle im Router konfigurierten Netzwerke.

Ein Screenshot einer technischen Benutzeroberfläche mit Optionen zur Netzwerkkonfiguration, einschließlich Regeln für lokale Netzwerkverbindungen und DNS-Einstellungen sowie Möglichkeiten, neue Netzwerkobjekte zu erstellen und benutzerdefinierte Stationen hinzuzufügen.

2.3.6 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Konfiguration von Netzwerkregeln, darunter Filterregeln, Protokolle und Dienste für lokale Netzwerke.

2.3.7 Wählen Sie das Protokoll DNS aus.

Screenshot eines technischen Konfigurationsmenüs mit Optionen wie NP, PSec, sysLog, SNMP, ECHO, INETBIOS, PCANYWHERE und Funktionen zum Anlegen neuer Dienstobjekte sowie Hinzufügen benutzerdefinierter Dienste.



3. Aktivieren der Firewall-Regeln für den BPjM-Filter:

3.1 Aktivieren der Firewall-Regel BPJM:

3.1.1 Öffnen Sie die Regel BPJM und setzen den Haken bei Diese Regel ist für die Firewall aktiv. Dadurch wird der BPJM-Filter aktiviert.

Bildschirmfoto einer technischen Benutzeroberfläche mit verschiedenen Menüoptionen wie Allgemein, Aktionen, QoS und Stationen, und Detailansichten einer spezifischen Regel zur Datenpaketverwaltung inklusive Kommentaren und Optionen wie Loadbalancer-Richtlinie.

3.1.2 Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Schematische Darstellung einer technischen Benutzeroberfläche mit Optionen zur Regelung von Netzwerkverbindungen, beinhaltet QoS-Einstellungen, Verbindungsquellen und -ziele sowie Optionen zum Bearbeiten und Entfernen von Netzwerkverbindungen.

3.1.3 Belassen Sie die Auswahl auf der Option Alle Stationen im lokalen Netzwerk und wählen bei Netzwerk-Name das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).

Grafische Benutzeroberfläche, die verschiedene Netzwerkkonfigurationsoptionen zeigt, einschließlich Auswahlmöglichkeiten für mehrere Stationen, lokale Netzwerkstationen, spezifische Gegenstellen, lokale Stationen, MAC-Adressen, IP-Adressen oder IP-Netzwerkbereiche.


3.2 Aktivieren der Firewall-Regel BPJM-ALLOW-LIST (optional):

3.2.1 Öffnen Sie die Regel BPJM-ALLOW-LIST und setzen den Haken bei Diese Regel ist für die Firewall aktiv

Bildschirmanzeige einer technischen Benutzeroberfläche mit verschiedenen Konfigurationseinstellungen für Netzwerkregeln, darunter eine spezifische Regel namens FilterRegelBPIMALLOWLIST, mit Optionen zur Verarbeitung von Datenpaketen und weiteren Einstellungen wie Dynamischer Pfadauswahl und Load-Balancing-Richtlinien.

3.2.2 Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Bildschirmansicht einer technischen Benutzeroberfläche zur Netzwerkkonfiguration mit verschiedenen Optionen wie Filterregeln, Qualitätsdienste (QoS), und Verbindungseinstellungen.

3.2.3 Belassen Sie die Auswahl auf der Option Alle Stationen im lokalen Netzwerk und wählen bei Netzwerk-Name das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel BPJM-NETZWERK).

Diagramm einer technischen Benutzeroberfläche, das verschiedene Netzwerkstationen und Übertragungsoptionen darstellt, einschließlich lokaler Netzwerke, IP-Adressbereiche und MAC-Adressen.



4. Erlauben bestimmter Webseiten in der BPJM-ALLOW-LIST:

Wenn bestimmte Webseiten oder bestimmte Inhalte von Webseiten nicht geladen werden können, besteht die Möglichkeit diese über die BPJM-ALLOW-LIST freizugeben.

  • Ist die DNS-Domain des blockierten Inhalts nicht bekannt, kann diese per Trace und über die Konsole ausgelesen werden (siehe Schritte 4.1 - 4.3).
  • Ist die DNS-Domain des blockierten Inhalts bekannt, beginnen Sie direkt mit Schritt 4.4.

4.1 Starten sie einen Trace über den LANtracer mit dem Parameter Firewall (Möglichkeit 2: Experten-Konfiguration) und versuchen auf die blockierte Webseite zuzugreifen.

Wenn Sie im Trace die Meldung Packet matched rule BPJM mit der Aktion packet rejected sehen, handelt es sich um ein Paket, welches durch den BPjM-Filter blockiert wurde. Unter DstIP finden Sie die IP-Adresse, welche blockiert wurde.

Alternativ können Sie den Trace auch über die Konsole mit dem Befehl trace # firewall starten. Mit dem gleichen Befehl können Sie den Trace auch wieder beenden.

Abbildung einer technischen Benutzeroberfläche eines Netzwerkgeräts, die Details eines abgelehnten Netzwerk-Pakets wie Protokolltyp, Ziel- und Quell-IP, Ports und TCP-Optionen darstellt.

4.2 Verbinden Sie sich per Konsole mit dem Router und geben den Befehl ls Status/Firewall/DNS-Database/Destination-Addresses/ ein. Dies muss direkt nach einem Webseitenaufruf erfolgen, bei dem Inhalte blockiert wurden, da die Einträge ansonsten herausaltern.

Sind hier Einträge mit dem Namen BPJM vorhanden, wurden Inhalte durch den BPJM-Filter blockiert. Dazu wird die blockierte IP-Adresse angezeigt.

4.3 Geben Sie anschließend den Befehl ls Status/Firewall/DNS-Database/Records/ ein.

In dieser Tabelle werden zu den aufgerufenen DNS-Domains die zugehörigen IP-Adressen angezeigt. Durch einen Abgleich mit dem Firewall-Trace (siehe Schritt 4.1) und der Tabelle Destination-Addresses (siehe Schritt 4.2) kann so die blockierte DNS-Domain herausgefunden werden, welche dann in der BPJM-ALLOW-LIST eingetragen werden kann.

Bildschirmabbildung eines technischen Konfigurationsmenüs mit Auflistungen verschiedener Internet-Domain-Namen und zugehörigen Typwerten sowie verbleibenden Sekunden, die teilweise unleserlich oder abgekürzt sind.

4.4 Öffnen Sie das Menü Firewall/QoS → Allgemein → Applikations-Definitionen.

Bildschirmaufnahme einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsmenüs für Netzwerkeinstellungen, darunter Firewall, Qualitätsservice, Interface-Einstellungen, Routenprotokolle und Anwendungserkennung.

4.5 Klicken Sie auf Hinzufügen, um eine neue Definition zu hinterlegen.

Screenshot einer technischen Benutzeroberfläche, die verschiedene Applikationsdefinitionen und Webadressen von bekannten Diensten wie Amazon, Apple und Bitdefender zeigt.

4.6 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Wildcard-Ausdrücke: Tragen Sie die blockierte DNS-Domain ein (in diesem Beispiel direct.bpjm-allow.com).

In dem Feld Wildcard-Ausdrücke kann auch die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Wird etwa die DNS-Domain *.bpjm-allow.com hinterlegt, deckt dies beliebige Sub-Domains mit ab.

Es kann sein, dass je nach Webseite mehrere DNS-Domains hinterlegt werden müssen. In einer Applikations-Definition können einzelne Einträge durch ein Komma voneinander separiert werden.

Ein Bildschirm einer technischen Benutzeroberfläche zeigt Applikationsdefinitionen und Optionen für neue Einträge, inklusive Wildcard-Ausdrücken wie directbpjmallowcom.

4.7 Wechseln Sie in das Menü DNS-Ziel-Listen.

Screenshot eines technischen Konfigurationsmenüs für Netzwerkmanagement, inklusive Einstellungen für Firewall, QoS, IP-Router, Routing-Protokolle, Multicast, Anwendungserkennung und weitere Netzwerkdienste.

4.8 Wählen Sie die vorgefertigte Liste ALLOW-LIST-BPJM aus und klicken auf Bearbeiten.

Screenshot einer technischen Benutzeroberfläche mit den Bezeichnungen DNSZielListen x LaR.

4.9 Klicken Sie auf Wählen.

Bildschirmansicht eines Bearbeitungsmenüs für einen Eintrag in einer DNS-Zielliste mit einem geöffneten Bearbeitungsfenster.

4.10 Wählen Sie die in Schritt 4.6 erstellte Applikations-Definition aus (in diesem Beispiel BPJM-ALLOW).

Sie können auch mehrere Einträge auswählen. Diese werden dann automatisch durch ein Komma separiert.

Bildschirmfoto eines technischen Konfigurationsmenüs mit verschiedenen Applikationsdefinitionen und einer Liste von Diensten und Anwendungen, wie Cloud-Speicheroptionen, soziale Netzwerke und Kommunikationsplattformen.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH