Einem einzelnen PC den Internetzugang sperren
Moderator: Securepoint
-
- Beiträge: 4
- Registriert: Mo 02.01.2017, 12:01
Einem einzelnen PC den Internetzugang sperren
Vorschau: Einem einzelnen PC den Internetzugang sperren
Hallo liebe Forenteilnehmer,
wir hatten uns im November für eine V11 entschieden uns soweit auch sehr
zufrieden damit. Nun habe ich versucht einem einzelnen PC den Internetzugang
zu verwehren, leider ohne Erfolg.
Folgende Schritte habe ich unternommen:
Portfilter
Regelgruppe angelegt "No-Internet"
Regel hinzugefügt
Quelle angelegt, die PC Internetadresse
Quelle = "IP-Adresse des PCs"
Ziel= "Internet"
Dienst "any"
Hinzufügen und schließen
Regeln aktualisiert
Es kommt eine OK Meldung
aber der PC wird beim Aufruf nicht gesperrt.
Was mache ich falsch ???
Wenn mir jemand freundlicherweise helfen könnte.
Schon mal vielen Dank !!
Gruss
peter
Hallo liebe Forenteilnehmer,
wir hatten uns im November für eine V11 entschieden uns soweit auch sehr
zufrieden damit. Nun habe ich versucht einem einzelnen PC den Internetzugang
zu verwehren, leider ohne Erfolg.
Folgende Schritte habe ich unternommen:
Portfilter
Regelgruppe angelegt "No-Internet"
Regel hinzugefügt
Quelle angelegt, die PC Internetadresse
Quelle = "IP-Adresse des PCs"
Ziel= "Internet"
Dienst "any"
Hinzufügen und schließen
Regeln aktualisiert
Es kommt eine OK Meldung
aber der PC wird beim Aufruf nicht gesperrt.
Was mache ich falsch ???
Wenn mir jemand freundlicherweise helfen könnte.
Schon mal vielen Dank !!
Gruss
peter
Moin,
mögen Sie einen Screenshot vom Portfilter mir per PN oder per Mail an support@securepoint.de schicken?
zunächst fehlt hier das HideNat auf dem external-interface. Welche Aktion wurde für Regel genutzt? "Accept" oder "Drop"?
mögen Sie einen Screenshot vom Portfilter mir per PN oder per Mail an support@securepoint.de schicken?
zunächst fehlt hier das HideNat auf dem external-interface. Welche Aktion wurde für Regel genutzt? "Accept" oder "Drop"?
Besser wäre sicherlich (wie in dem Youtube Video von Securepoint) generell alles zu verbieten und nur das zulassen was explizit gewünscht ist.
https://www.youtube.com/watch?v=yd3GsyGJbNY
Gruß KH
https://www.youtube.com/watch?v=yd3GsyGJbNY
Gruß KH
Hallo! Ich Stimme mit Ihnen. Vielen Dank für das Video, alles sehr ausführlich und verständlich.stkh hat geschrieben:Besser wäre sicherlich (wie in dem Youtube Video von Securepoint) generell alles zu verbieten und nur das zulassen was explizit gewünscht ist.
https://www.youtube.com/watch?v=yd3GsyGJbNY
Gruß KH
-
- Beiträge: 4
- Registriert: Mo 02.01.2017, 12:01
Hallo Forenteilnehmer(innen),
ja ich habe eine Antwort erhalten, die leider bei mir noch nicht funktioniert.
Wahrscheinlich hängt das damit zusammen das diese Regel ganz am
Anfang einer Regelkette stehen muss und ich die vom System vorgegebenen
Default Regeln deaktivieren muss. Konnte es leider noch nicht
ausprobieren. Mir ist die Logik die dahinter steht nicht ganz klar.
Selbst wenn die 1. Regel den Ausschluss eines Pcs enthält und dahinter
die manuell eingegebene Default Regel (Pos 2) müsste man dann bei jedem
hinzukommen eines weiteren PCs alles wieder neu eintragen ?
Alle zu deaktivieren ist aus meiner Sicht nicht sinnvoll weil das Verhältnis
ca. 10 / 5 die keinen Zugang haben sollen ist. Ich bin mir auch nicht sicher
ob ich Teile der Default-Regel von Hand neu anlegen muss.
Also die Sache läuft noch und ich kann nur zu bestimmten Zeiten die
Änderungen ausprobieren.
Vielen Dank für Ihr Interesse !!!
Gruss
peter
ja ich habe eine Antwort erhalten, die leider bei mir noch nicht funktioniert.
Wahrscheinlich hängt das damit zusammen das diese Regel ganz am
Anfang einer Regelkette stehen muss und ich die vom System vorgegebenen
Default Regeln deaktivieren muss. Konnte es leider noch nicht
ausprobieren. Mir ist die Logik die dahinter steht nicht ganz klar.
Selbst wenn die 1. Regel den Ausschluss eines Pcs enthält und dahinter
die manuell eingegebene Default Regel (Pos 2) müsste man dann bei jedem
hinzukommen eines weiteren PCs alles wieder neu eintragen ?
Alle zu deaktivieren ist aus meiner Sicht nicht sinnvoll weil das Verhältnis
ca. 10 / 5 die keinen Zugang haben sollen ist. Ich bin mir auch nicht sicher
ob ich Teile der Default-Regel von Hand neu anlegen muss.
Also die Sache läuft noch und ich kann nur zu bestimmten Zeiten die
Änderungen ausprobieren.
Vielen Dank für Ihr Interesse !!!
Gruss
peter
Hallo,
vorweg "auto-generierten Regeln" lassen sich nicht bearbeiten und auch nicht verschieben. Diese ermöglichen Ihnen bei der Ersteinrichtung gleich den Zugriff auf das Internet.
Die Portfilterregeln werden von oben nach unten abgearbeitet. Das bedeutet auch wenn Sie die auto-generierten Regeln aktiv lassen greifen diese als erstes und die sind mit ANY freigegeben. In ihrem Fall schon mal ein Problem. Damit Ihr Client nicht ins Internet kommt brauchen Sie 4 Regeln wobei die auto-generierten Regeln entweder gelöscht wurden oder ausgeschaltet.
Quelle: No-Internet => Ziel: Internet => Dienst: any => Aktion: drop
Quelle: No-Internet => Ziel: inetrnal-inetrface => Dienst: proxy => Aktion: drop
Quelle: inetrnal-network => Ziel: Internet => Dienst: any => NAT: HideNAT => Netzwerkobjek: external-interface => Aktion: accept
Quelle: inetrnal-network => Ziel: internal-interface => Dienst: proxy => Aktion accept
die Regeln mit dem Interface haben den Grund weil die UTM in der Standardauslieferung für das interne Netz den transparenten Proxy aktiv hat. Damit würden http Seiten z.B. gehen. Benutzt der Client die UTM als Proxy kann er Surfen. Der transparente Proxy kann auch mit einer exclude Regel ausgenommen werden für No-Internet.
Damit haben No-Internet kein Zugriff auf das Internet aber das ganze Interne Netz schon.
Gruß Björn
vorweg "auto-generierten Regeln" lassen sich nicht bearbeiten und auch nicht verschieben. Diese ermöglichen Ihnen bei der Ersteinrichtung gleich den Zugriff auf das Internet.
Die Portfilterregeln werden von oben nach unten abgearbeitet. Das bedeutet auch wenn Sie die auto-generierten Regeln aktiv lassen greifen diese als erstes und die sind mit ANY freigegeben. In ihrem Fall schon mal ein Problem. Damit Ihr Client nicht ins Internet kommt brauchen Sie 4 Regeln wobei die auto-generierten Regeln entweder gelöscht wurden oder ausgeschaltet.
Quelle: No-Internet => Ziel: Internet => Dienst: any => Aktion: drop
Quelle: No-Internet => Ziel: inetrnal-inetrface => Dienst: proxy => Aktion: drop
Quelle: inetrnal-network => Ziel: Internet => Dienst: any => NAT: HideNAT => Netzwerkobjek: external-interface => Aktion: accept
Quelle: inetrnal-network => Ziel: internal-interface => Dienst: proxy => Aktion accept
die Regeln mit dem Interface haben den Grund weil die UTM in der Standardauslieferung für das interne Netz den transparenten Proxy aktiv hat. Damit würden http Seiten z.B. gehen. Benutzt der Client die UTM als Proxy kann er Surfen. Der transparente Proxy kann auch mit einer exclude Regel ausgenommen werden für No-Internet.
Damit haben No-Internet kein Zugriff auf das Internet aber das ganze Interne Netz schon.
Gruß Björn
-
- Beiträge: 8
- Registriert: Fr 11.11.2016, 15:59
Da habe ich grundsätzlich noch eine Frage zu den Regeln. Wenn man nun diese Regeln angelegt hat und die Default Regel noch nicht gelöscht hat, gibt es da die Möglichkeit die neuen Regeln an den Anfang des Regelwerk zu schieben? Mir ist schon klar dass ich per Drag and Drop die Regeln verschieben kann, aber die Regelnummer bleibt die selbe. Zählt nun bei der Abarbeitung der Regeln die Optik im Regelwerk (also von oben nach unten) oder die Rule Nummernreihenfolge (denn die kann ja anders sein wenn man Regeln verschoben hat).
Gruß Dominik
Gruß Dominik
-
- Beiträge: 4
- Registriert: Mo 02.01.2017, 12:01
Ich hab da so meine Probleme mit den Regeln. Gibt es eine Möglichkeit die Regeleinstellungen z.Bsp. für die autogenerierten Regeln zu Papier zu bringen ? Dies müssen ja, vorausgesetzt sie werden noch benötigt ans Ende gesetzt werden. In der Form das diese Regeln manuell eingegeben werden müssen. Oder bin ich hier auf dem Holzweg ?
Ist es möglich ein implizierte Regel zu kopieren ? Wenn eine impl. Regel deaktiviert ist, ist sie definitiv aus ? Der Grund dafür ist folgender: Ich würde unterhalb der beiden impl. Regeln (Internal-Network und DMZ1-network) des UTM die Regeln für das Sperren bestimmter Benutzer anlegen die Internal-Network Regel danach zu Fuß anlegen. Ich habe schon die Wiki abgescannt um Informationen zu finden---leider nichts brauchbares. Wer immer mir helfen kann schon mal vielen Dank !!!
Ist es möglich ein implizierte Regel zu kopieren ? Wenn eine impl. Regel deaktiviert ist, ist sie definitiv aus ? Der Grund dafür ist folgender: Ich würde unterhalb der beiden impl. Regeln (Internal-Network und DMZ1-network) des UTM die Regeln für das Sperren bestimmter Benutzer anlegen die Internal-Network Regel danach zu Fuß anlegen. Ich habe schon die Wiki abgescannt um Informationen zu finden---leider nichts brauchbares. Wer immer mir helfen kann schon mal vielen Dank !!!
Moin,
die auto generierten Regeln sind normale Regeln, die sich selber anlegen können. Diese Regeln können jedoch nicht bearbeitet oder verschoben werden.
Implizite Regeln sind wiederrum was ganz anderes und haben mit den auto generierten Regeln nichts zutun. Möchten Sie nun die auto generierten Regeln ändern?
die auto generierten Regeln sind normale Regeln, die sich selber anlegen können. Diese Regeln können jedoch nicht bearbeitet oder verschoben werden.
Implizite Regeln sind wiederrum was ganz anderes und haben mit den auto generierten Regeln nichts zutun. Möchten Sie nun die auto generierten Regeln ändern?
-
- Beiträge: 4
- Registriert: Mo 02.01.2017, 12:01
Hallo Herr Mitsching,
ich habe mich vertan. Es geht um die "autogenerierten" Regeln die das System offensichtlich beim Erststart anlegt. Gibt es denn irgendwo eine Benutzeranweisung die sich
mit der Regelerstellung und Verwaltung befasst. Da Ding macht mich ganz Banane !!
Danke und ein schönes Wochenende !!!
ich habe mich vertan. Es geht um die "autogenerierten" Regeln die das System offensichtlich beim Erststart anlegt. Gibt es denn irgendwo eine Benutzeranweisung die sich
mit der Regelerstellung und Verwaltung befasst. Da Ding macht mich ganz Banane !!
Danke und ein schönes Wochenende !!!
Moin,
unser Wiki hilft Ihnen da ganz sicher, ansonsten kann ich Ihnen unsere Schulungen sehr empfehlen.http://www.securepoint.de/produkte/schulung-zertifizierung.html
Für den Anfang wäre die Securepoint UTM Basisschulung (Silber Level) ein guter Einstieg.
Es werden Grundlagen zur Netzwerktechnik sowie der Protokollsuite TCP/IP behandelt. Außerdem werden die Adressierung, das Routing und die wichtigen Zusammenhänge erläutert. Die ersten Schritte in der Einrichtung der UTM, hin zu einem schlüssigem Sicherheitskonzept, ist Teil dieser Basisschulung.
Inhalt:
unser Wiki hilft Ihnen da ganz sicher, ansonsten kann ich Ihnen unsere Schulungen sehr empfehlen.http://www.securepoint.de/produkte/schulung-zertifizierung.html
Für den Anfang wäre die Securepoint UTM Basisschulung (Silber Level) ein guter Einstieg.
Es werden Grundlagen zur Netzwerktechnik sowie der Protokollsuite TCP/IP behandelt. Außerdem werden die Adressierung, das Routing und die wichtigen Zusammenhänge erläutert. Die ersten Schritte in der Einrichtung der UTM, hin zu einem schlüssigem Sicherheitskonzept, ist Teil dieser Basisschulung.
Inhalt:
- Grundlagen Erstinstallation und Bedienung einer Securepoint UTM-Firewall
- Grundlagen Netzwerktechnik und Protokollsuite TCP/IP
- Adressierung, Routing und Zusammenhänge im Netzwerk