Als Beispiel für meine Frage nehme ich twitter. Das passiert aber genauso mit anderen Adressen wie z. B. outlook.office365.com.
Ich möchte durch die Verwendung des Proxy u. v. a. protokollieren, was die Anwender machen. Dazu habe ich in die UTM-Firewall das AD einer Windows-Domäne eingebunden.
Für die Domänenbenutzer habe ich eine Gruppe erstellt, welche ich im Webfilter verwende. Da habe ich nur drei Profile in der aufgeführten Reihenfolge:
- internal-networks => ohne_authentifizierung_rulset
- grp_domaenen-benutzer => grp_domaenen-benutzer_rulset
- administrator => administrator_rulset
Unter 2. behandle ich die Adressen für die Domänenbenutzer.
Nun habe ich Zugriffe auf Twitter, die mit der Angabe eine Domänenbenutzers stattfinden:
Code: Alles auswählen
3.05.2017 19:25:40 spfilter ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="rkk", grp="2", cat="", cat_all="", act="URLLIST", srv="195.4.128.37", url="https://twitter.com/"
Nun gibt es aber Zugriffe auf Twitter ohne Angabe eines Benutzers.Diese Zugriffe wollen wir auch erlauben, so dass wir in der Gruppe "1" (internal-networks => ohne_authentifizierung_rulset) entsprechende Regeln angelegt haben. Hier bekomme ich trotz Regel folgenden Log (vom HTTP-Proxy und nicht vom Webfilter):
Code: Alles auswählen
23.05.2017 19:25:50 HTTP-Proxy (squid) 1495560350.819 1 192.168.70.3 TCP_DENIED/407 4244 CONNECT twitter.com:443 - HIER_NONE/- text/html
Code: Alles auswählen
23.05.2017 19:47:30 spfilter ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="-", grp="1", cat="", cat_all="", act="URLLIST", srv="178.63.133.83", url="https://twitter.com/"
Code: Alles auswählen
23.05.2017 19:53:17 HTTP-Proxy (squid) 1495561997.365 321676 192.168.70.3 TCP_TUNNEL/200 5407 CONNECT analytics.twitter.com:443 - HIER_DIRECT/104.244.42.131 -
23.05.2017 19:53:18 HTTP-Proxy (squid) 1495561998.365 322671 192.168.70.3 TCP_TUNNEL/200 5933 CONNECT syndication.twitter.com:443 - HIER_DIRECT/104.244.42.200 -
23.05.2017 19:55:53 spfilter ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="-", grp="1", cat="", cat_all="", act="URLLIST", srv="213.128.147.50", url="https://analytics.twitter.com/"
23.05.2017 19:55:53 spfilter ALLOWED ip="192.168.70.3", host="192.168.70.3", usr="-", grp="1", cat="", cat_all="", act="URLLIST", srv="213.128.147.50", url="https://syndication.twitter.com/"
Wie kann ich erreichen, dass nur und ausschließlich nicht authentifizierte Zugriffe über die erste und alle anderen über die zweite Webfilter-Gruppe gehen?
Im Voraus herzlichen Dank!
René Ketterer
isential gmbh