Einem einzelnen PC den Internetzugang sperren

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
peter.kiefer@ajas.de
Beiträge: 4
Registriert: Mo 02.01.2017, 12:01

Einem einzelnen PC den Internetzugang sperren

Beitrag von peter.kiefer@ajas.de »

Vorschau: Einem einzelnen PC den Internetzugang sperren
Hallo liebe Forenteilnehmer,
wir hatten uns im November für eine V11 entschieden uns soweit auch sehr
zufrieden damit. Nun habe ich versucht einem einzelnen PC den Internetzugang
zu verwehren, leider ohne Erfolg. 
Folgende Schritte habe ich unternommen:
Portfilter
Regelgruppe angelegt "No-Internet"
Regel hinzugefügt
Quelle angelegt, die PC Internetadresse
Quelle = "IP-Adresse des PCs"
Ziel= "Internet"
Dienst "any"
Hinzufügen und schließen
Regeln aktualisiert
Es kommt eine OK Meldung
aber der PC wird beim Aufruf nicht gesperrt.
Was mache ich falsch ???
Wenn mir jemand freundlicherweise helfen könnte.
Schon mal vielen Dank !!
Gruss
peter

pascal

Beitrag von pascal »

Moin,

mögen Sie einen Screenshot vom Portfilter mir per PN oder per Mail an support@securepoint.de schicken? 
zunächst fehlt hier das HideNat auf dem external-interface. Welche Aktion wurde für Regel genutzt? "Accept" oder "Drop"?

Benutzeravatar
RolandG
Beiträge: 104
Registriert: Di 01.11.2016, 11:03

Beitrag von RolandG »

Hallo, nachdem Anfrage öffentlich kam wäre es auch schön die Lösung würde dem gleich tun ;-)

Gruß
Roland

stkh
Beiträge: 30
Registriert: Fr 23.12.2016, 10:22

Beitrag von stkh »

Besser wäre sicherlich (wie in dem Youtube Video von Securepoint) generell alles zu verbieten und nur das zulassen was explizit gewünscht ist.
https://www.youtube.com/watch?v=yd3GsyGJbNY

Gruß KH

Hurets
Beiträge: 4
Registriert: So 27.11.2016, 20:24

Beitrag von Hurets »

stkh hat geschrieben:Besser wäre sicherlich (wie in dem Youtube Video von Securepoint) generell alles zu verbieten und nur das zulassen was explizit gewünscht ist.
https://www.youtube.com/watch?v=yd3GsyGJbNY

Gruß KH
Hallo! Ich Stimme mit Ihnen. Vielen Dank für das Video, alles sehr ausführlich und verständlich.

peter.kiefer@ajas.de
Beiträge: 4
Registriert: Mo 02.01.2017, 12:01

Beitrag von peter.kiefer@ajas.de »

Hallo Forenteilnehmer(innen),
ja ich habe eine Antwort erhalten, die leider bei mir noch nicht funktioniert.
Wahrscheinlich hängt das damit zusammen das diese Regel ganz am
Anfang einer Regelkette stehen muss und ich die vom System vorgegebenen
Default Regeln deaktivieren muss. Konnte es leider noch nicht
ausprobieren. Mir ist die Logik die dahinter steht nicht ganz klar.
Selbst wenn die 1. Regel den Ausschluss eines Pcs enthält und dahinter
die manuell eingegebene Default Regel (Pos 2) müsste man dann bei jedem
hinzukommen eines weiteren PCs alles wieder neu eintragen ?

Alle zu deaktivieren ist aus meiner Sicht nicht sinnvoll weil das Verhältnis
ca. 10 / 5 die keinen Zugang haben sollen ist. Ich bin mir auch nicht sicher
ob ich Teile der Default-Regel von Hand neu anlegen muss.

Also die Sache läuft noch und ich kann nur zu bestimmten Zeiten die
Änderungen ausprobieren.
Vielen Dank für Ihr Interesse !!!
Gruss
peter

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

vorweg "auto-generierten Regeln" lassen sich nicht bearbeiten und auch nicht verschieben. Diese ermöglichen Ihnen bei der Ersteinrichtung gleich den Zugriff auf das Internet.

Die Portfilterregeln werden von oben nach unten abgearbeitet. Das bedeutet auch wenn Sie die auto-generierten Regeln aktiv lassen greifen diese als erstes und die sind mit ANY freigegeben. In ihrem Fall schon mal ein Problem. Damit Ihr Client nicht ins Internet kommt brauchen Sie 4 Regeln wobei die auto-generierten Regeln entweder gelöscht wurden oder ausgeschaltet.

Quelle: No-Internet => Ziel: Internet => Dienst: any => Aktion: drop
Quelle: No-Internet => Ziel: inetrnal-inetrface => Dienst: proxy => Aktion: drop
Quelle: inetrnal-network => Ziel: Internet => Dienst: any => NAT: HideNAT => Netzwerkobjek: external-interface => Aktion: accept 
Quelle: inetrnal-network => Ziel: internal-interface => Dienst: proxy => Aktion accept

die Regeln mit dem Interface haben den Grund weil die UTM in der Standardauslieferung für das interne Netz den transparenten Proxy aktiv hat. Damit würden http Seiten z.B. gehen. Benutzt der Client die UTM als Proxy kann er Surfen. Der transparente Proxy kann auch mit einer exclude Regel ausgenommen werden für No-Internet.

Damit haben No-Internet kein Zugriff auf das Internet aber das ganze Interne Netz schon.


Gruß Björn

Dominik2201
Beiträge: 8
Registriert: Fr 11.11.2016, 15:59

Beitrag von Dominik2201 »

Da habe ich grundsätzlich noch eine Frage zu den Regeln. Wenn man nun diese Regeln angelegt hat und die Default Regel noch nicht gelöscht hat, gibt es da die Möglichkeit die neuen Regeln an den Anfang des Regelwerk zu schieben? Mir ist schon klar dass ich per Drag and Drop die Regeln verschieben kann, aber die Regelnummer bleibt die selbe. Zählt nun bei der Abarbeitung der Regeln die Optik im Regelwerk (also von oben nach unten) oder die Rule Nummernreihenfolge (denn die kann ja anders sein wenn man Regeln verschoben hat).

Gruß Dominik

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Die Regeln werden von oben nach untern abgearbeitet, unabhängig von der Regel-ID

peter.kiefer@ajas.de
Beiträge: 4
Registriert: Mo 02.01.2017, 12:01

Beitrag von peter.kiefer@ajas.de »

Ich hab da so meine Probleme mit den Regeln. Gibt es eine Möglichkeit die Regeleinstellungen z.Bsp. für die autogenerierten Regeln zu Papier zu bringen ? Dies müssen ja, vorausgesetzt sie werden noch benötigt ans Ende gesetzt werden. In der Form das diese Regeln manuell eingegeben werden müssen. Oder bin ich hier auf dem Holzweg ?
Ist es möglich ein implizierte Regel zu kopieren ? Wenn eine impl. Regel deaktiviert ist, ist sie definitiv aus ? Der Grund dafür ist folgender: Ich würde unterhalb der beiden impl. Regeln (Internal-Network und DMZ1-network) des UTM die Regeln für das Sperren bestimmter Benutzer anlegen die   Internal-Network Regel danach zu Fuß anlegen. Ich habe schon die Wiki abgescannt um Informationen zu finden---leider nichts brauchbares. Wer immer mir helfen kann schon mal vielen Dank !!!

pascal

Beitrag von pascal »

Moin,

die auto generierten Regeln sind normale Regeln, die sich selber anlegen können. Diese Regeln können jedoch nicht bearbeitet oder verschoben werden.
Implizite Regeln sind wiederrum was ganz anderes und haben mit den auto generierten Regeln nichts zutun. Möchten Sie nun die auto generierten Regeln ändern?

peter.kiefer@ajas.de
Beiträge: 4
Registriert: Mo 02.01.2017, 12:01

Beitrag von peter.kiefer@ajas.de »

Hallo Herr Mitsching,
ich habe mich vertan. Es geht um die "autogenerierten" Regeln die das System offensichtlich beim Erststart anlegt. Gibt es denn irgendwo eine Benutzeranweisung die sich
mit der Regelerstellung und Verwaltung befasst. Da Ding macht mich ganz Banane !!
Danke und ein schönes Wochenende !!!

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »


pascal

Beitrag von pascal »

Moin,

unser Wiki hilft Ihnen da ganz sicher, ansonsten kann ich Ihnen unsere Schulungen sehr empfehlen.http://www.securepoint.de/produkte/schulung-zertifizierung.html
Für den Anfang wäre die Securepoint UTM Basisschulung (Silber Level) ein guter Einstieg.

Es werden Grundlagen zur Netzwerktechnik sowie der Protokollsuite TCP/IP behandelt. Außerdem werden die Adressierung, das Routing und die wichtigen Zusammenhänge erläutert. Die ersten Schritte in der Einrichtung der UTM, hin zu einem schlüssigem Sicherheitskonzept, ist Teil dieser Basisschulung.

Inhalt:
  •  Grundlagen Erstinstallation und Bedienung einer Securepoint UTM-Firewall
  •  Grundlagen Netzwerktechnik und Protokollsuite TCP/IP
  •  Adressierung, Routing und Zusammenhänge im Netzwerk

Antworten