Default-Internet sperren funktioniert nur teilweise

Moderator: Securepoint

Gesperrt
BLH2012
Beiträge: 37
Registriert: Do 18.10.2012, 17:56

Default-Internet sperren funktioniert nur teilweise

Beitrag von BLH2012 »

Hallo,

ich möchte für bestimmte Clients das Internetsurfen über Browser sperren.

Dazu habe ich im Portfilter folgende Regel angelegt
Gruppe Kein Internet -> External Interface ->Default-internet -> Reject
Hier auch zu sehen http://img16.imageshack.us/img16/7164/o8n6.jpg

Allerdings hat das keinerlei Effekt auf die Clients. Wenn ich statt "Default-internet" "any" wähle, wird zumindest der http Verkehr gesperrt, aber über https kommt man noch ins Internet. Hat da jemand eine Idee zu?

Die Netzwerkobjekte sind mit korrekter IP angelegt.
Die Dienste sind so konfiguriert http://img801.imageshack.us/img801/2120/7wll.jpg
Der HTTP Proxy so http://img845.imageshack.us/img845/7914/1teu.jpg

Viele Grüße

Oliver

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

1. Eine Regel vom internen Netz aufs externe Interface? Das funktioniert gerade nur, weil der Kernel so schlau ist.

2. Sie haben im Proxy den transparenten Modus aktiviert. Daher werden Verbindungen, die ins Internet nach Port 80 gehen, auf das Interface der Firewall auf Port 8080 umgeleitet. Es bringt also nichts, wenn Sie Port 80 verbieten, sondern es muss Port 8080 rejected werden.

3. HTTPS geht dann immernoch, weil die Verbindungen nicht von einem Proxy umgeleitet werden, sondern wenn Sie am Regelwerk ankommen immer noch vom KeinInternet Richtung Internet gehen.
Die korrekte Regel wäre also: KeinInternet -> Internet -> https -> DROP

BLH2012
Beiträge: 37
Registriert: Do 18.10.2012, 17:56

Beitrag von BLH2012 »

Ok, danke jetzt funktioniert es.

Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

BLH2012 hat geschrieben:Ok, danke jetzt funktioniert es.

Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?
Diese da:
BLH2012 hat geschrieben:Gruppe Kein Internet -> External Interface ->Default-internet -> Reject

BLH2012
Beiträge: 37
Registriert: Do 18.10.2012, 17:56

Beitrag von BLH2012 »

Müßte die Regel denn richtigerweise so lauten?
Gruppe Kein Internet -> Internal Interface ->Default-internet -> Reject

Ich bin mir über die Zusammenhänge zwischen den einzelnen Netzwerkobjekten und Interfaces nicht ganz sicher.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Genau. Sie kommen ja aus dem internen Netzwerk und werden vom transparenten Proxy auch auf das interne Interface umgeleitet... deshalb muss der Port auch mit dem Ziel "Internal Interface" gesperrt werden.

Gesperrt