Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
BLH2012
Themen-Autor
Beiträge: 37
Registriert: Do 18.10.2012, 17:56

Default-Internet sperren funktioniert nur teilweise

Sa 27.07.2013, 12:55

Hallo,

ich möchte für bestimmte Clients das Internetsurfen über Browser sperren.

Dazu habe ich im Portfilter folgende Regel angelegt
Gruppe Kein Internet -> External Interface ->Default-internet -> Reject
Hier auch zu sehen http://img16.imageshack.us/img16/7164/o8n6.jpg

Allerdings hat das keinerlei Effekt auf die Clients. Wenn ich statt "Default-internet" "any" wähle, wird zumindest der http Verkehr gesperrt, aber über https kommt man noch ins Internet. Hat da jemand eine Idee zu?

Die Netzwerkobjekte sind mit korrekter IP angelegt.
Die Dienste sind so konfiguriert http://img801.imageshack.us/img801/2120/7wll.jpg
Der HTTP Proxy so http://img845.imageshack.us/img845/7914/1teu.jpg

Viele Grüße

Oliver
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1465
Registriert: Fr 07.11.2008, 11:50

Re: Default-Internet sperren funktioniert nur teilweise

So 28.07.2013, 12:45

1. Eine Regel vom internen Netz aufs externe Interface? Das funktioniert gerade nur, weil der Kernel so schlau ist.

2. Sie haben im Proxy den transparenten Modus aktiviert. Daher werden Verbindungen, die ins Internet nach Port 80 gehen, auf das Interface der Firewall auf Port 8080 umgeleitet. Es bringt also nichts, wenn Sie Port 80 verbieten, sondern es muss Port 8080 rejected werden.

3. HTTPS geht dann immernoch, weil die Verbindungen nicht von einem Proxy umgeleitet werden, sondern wenn Sie am Regelwerk ankommen immer noch vom KeinInternet Richtung Internet gehen.
Die korrekte Regel wäre also: KeinInternet -> Internet -> https -> DROP
 
BLH2012
Themen-Autor
Beiträge: 37
Registriert: Do 18.10.2012, 17:56

Re: Default-Internet sperren funktioniert nur teilweise

Mo 29.07.2013, 07:23

Ok, danke jetzt funktioniert es.

Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1465
Registriert: Fr 07.11.2008, 11:50

Re: Default-Internet sperren funktioniert nur teilweise

Mo 29.07.2013, 13:48

BLH2012 hat geschrieben:
Ok, danke jetzt funktioniert es.

Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?


Diese da:
BLH2012 hat geschrieben:
Gruppe Kein Internet -> External Interface ->Default-internet -> Reject
 
BLH2012
Themen-Autor
Beiträge: 37
Registriert: Do 18.10.2012, 17:56

Re: Default-Internet sperren funktioniert nur teilweise

Mo 29.07.2013, 14:50

Müßte die Regel denn richtigerweise so lauten?
Gruppe Kein Internet -> Internal Interface ->Default-internet -> Reject

Ich bin mir über die Zusammenhänge zwischen den einzelnen Netzwerkobjekten und Interfaces nicht ganz sicher.
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1465
Registriert: Fr 07.11.2008, 11:50

Re: Default-Internet sperren funktioniert nur teilweise

Mo 29.07.2013, 15:27

Genau. Sie kommen ja aus dem internen Netzwerk und werden vom transparenten Proxy auch auf das interne Interface umgeleitet... deshalb muss der Port auch mit dem Ziel "Internal Interface" gesperrt werden.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste