Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Default-Internet sperren funktioniert nur teilweise

https://support.securepoint.de/viewtopic.php?t=2472

Seite 1 von 1

Default-Internet sperren funktioniert nur teilweise

Verfasst: Sa 27.07.2013, 12:55
von BLH2012
Hallo,

ich möchte für bestimmte Clients das Internetsurfen über Browser sperren.

Dazu habe ich im Portfilter folgende Regel angelegt
Gruppe Kein Internet -> External Interface ->Default-internet -> Reject
Hier auch zu sehen http://img16.imageshack.us/img16/7164/o8n6.jpg

Allerdings hat das keinerlei Effekt auf die Clients. Wenn ich statt "Default-internet" "any" wähle, wird zumindest der http Verkehr gesperrt, aber über https kommt man noch ins Internet. Hat da jemand eine Idee zu?

Die Netzwerkobjekte sind mit korrekter IP angelegt.
Die Dienste sind so konfiguriert http://img801.imageshack.us/img801/2120/7wll.jpg
Der HTTP Proxy so http://img845.imageshack.us/img845/7914/1teu.jpg

Viele Grüße

Oliver

Re: Default-Internet sperren funktioniert nur teilweise

Verfasst: So 28.07.2013, 12:45
von Erik
1. Eine Regel vom internen Netz aufs externe Interface? Das funktioniert gerade nur, weil der Kernel so schlau ist.

2. Sie haben im Proxy den transparenten Modus aktiviert. Daher werden Verbindungen, die ins Internet nach Port 80 gehen, auf das Interface der Firewall auf Port 8080 umgeleitet. Es bringt also nichts, wenn Sie Port 80 verbieten, sondern es muss Port 8080 rejected werden.

3. HTTPS geht dann immernoch, weil die Verbindungen nicht von einem Proxy umgeleitet werden, sondern wenn Sie am Regelwerk ankommen immer noch vom KeinInternet Richtung Internet gehen.
Die korrekte Regel wäre also: KeinInternet -> Internet -> https -> DROP

Re: Default-Internet sperren funktioniert nur teilweise

Verfasst: Mo 29.07.2013, 07:23
von BLH2012
Ok, danke jetzt funktioniert es.

Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?

Re: Default-Internet sperren funktioniert nur teilweise

Verfasst: Mo 29.07.2013, 13:48
von Erik
BLH2012 hat geschrieben:Ok, danke jetzt funktioniert es.

Nur Punkt 1 habe ich nicht verstanden, welche Regel meinten Sie denn?
Diese da:
BLH2012 hat geschrieben:Gruppe Kein Internet -> External Interface ->Default-internet -> Reject

Re: Default-Internet sperren funktioniert nur teilweise

Verfasst: Mo 29.07.2013, 14:50
von BLH2012
Müßte die Regel denn richtigerweise so lauten?
Gruppe Kein Internet -> Internal Interface ->Default-internet -> Reject

Ich bin mir über die Zusammenhänge zwischen den einzelnen Netzwerkobjekten und Interfaces nicht ganz sicher.

Re: Default-Internet sperren funktioniert nur teilweise

Verfasst: Mo 29.07.2013, 15:27
von Erik
Genau. Sie kommen ja aus dem internen Netzwerk und werden vom transparenten Proxy auch auf das interne Interface umgeleitet... deshalb muss der Port auch mit dem Ziel "Internal Interface" gesperrt werden.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de