Hallo,
ich möchte für bestimmte Clients das Internetsurfen über Browser sperren.
Dazu habe ich im Portfilter folgende Regel angelegt
Gruppe Kein Internet -> External Interface ->Default-internet -> Reject
Hier auch zu sehen http://img16.imageshack.us/img16/7164/o8n6.jpg
Allerdings hat das keinerlei Effekt auf die Clients. Wenn ich statt "Default-internet" "any" wähle, wird zumindest der http Verkehr gesperrt, aber über https kommt man noch ins Internet. Hat da jemand eine Idee zu?
Die Netzwerkobjekte sind mit korrekter IP angelegt.
Die Dienste sind so konfiguriert http://img801.imageshack.us/img801/2120/7wll.jpg
Der HTTP Proxy so http://img845.imageshack.us/img845/7914/1teu.jpg
Viele Grüße
Oliver
Default-Internet sperren funktioniert nur teilweise
Moderator: Securepoint
1. Eine Regel vom internen Netz aufs externe Interface? Das funktioniert gerade nur, weil der Kernel so schlau ist.
2. Sie haben im Proxy den transparenten Modus aktiviert. Daher werden Verbindungen, die ins Internet nach Port 80 gehen, auf das Interface der Firewall auf Port 8080 umgeleitet. Es bringt also nichts, wenn Sie Port 80 verbieten, sondern es muss Port 8080 rejected werden.
3. HTTPS geht dann immernoch, weil die Verbindungen nicht von einem Proxy umgeleitet werden, sondern wenn Sie am Regelwerk ankommen immer noch vom KeinInternet Richtung Internet gehen.
Die korrekte Regel wäre also: KeinInternet -> Internet -> https -> DROP
2. Sie haben im Proxy den transparenten Modus aktiviert. Daher werden Verbindungen, die ins Internet nach Port 80 gehen, auf das Interface der Firewall auf Port 8080 umgeleitet. Es bringt also nichts, wenn Sie Port 80 verbieten, sondern es muss Port 8080 rejected werden.
3. HTTPS geht dann immernoch, weil die Verbindungen nicht von einem Proxy umgeleitet werden, sondern wenn Sie am Regelwerk ankommen immer noch vom KeinInternet Richtung Internet gehen.
Die korrekte Regel wäre also: KeinInternet -> Internet -> https -> DROP
Diese da:BLH2012 hat geschrieben:Ok, danke jetzt funktioniert es.
Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?
BLH2012 hat geschrieben:Gruppe Kein Internet -> External Interface ->Default-internet -> Reject