Transparenter Proxy: Überlappende Netzbereiche

[Tobias U.]

Hallo,

ich würde gerne den Transparenten Proxy in dieser Art einsetzen:

Code: Alles auswählen

HOST_GRUPPE1: 192.168.1.10, 192.168.1.12
NETZWERK1: 192.168.1.0/24

Regeln für den transparenten Proxy:

HTTP  INCLUDE HOST_GRUPPE1
HTTPS INCLUDE HOST_GRUPPE1

HTTP  EXCLUDE NETZWERK1
HTTPS EXCLUDE NETZWERK1

D. h. ich möchte ein paar Geräte erlauben und den Rest vom Transparenten Proxy aus blocken. Kann ich das über die Transparenten-Proxy-Regeln steuern? Wie werden die einzelnen Regeln priorisiert?

Muss ich das im Zweifelsfall eher über die Portfilterregeln lösen?

Viele Grüße

[Mario]

Meines Wissens nach wird zuerst Exkludiert. Danach wird Inkludiert. Eine definierbare Reihenfolge darueber hinaus gibt es meines Wissens nach nicht.

[Tobias U.]

Ich habe das jetzt nochmal via Ticket angefragt:

Das bestätigt das, wie Sie schon schrieben, dass die Exclude-Regeln zuerst greifen.

Die Reihenfolge ist also:

• Keine Regel definiert -> transparenter Proxy greift nicht
• Ausschluss (Exclude) Regel definiert -> transparenter Proxy greift nicht
• Einschluss (Include) Regel definiert -> transparenter Proxy greift

Wenn man also eine Bereich (z. B. "RangeObj") hat der mit Ausnahmen von einzelnen Geräten (z. B. "GrpObj") den Proxy nutzen soll, dann definiert man einen Ausschluss für GrpObj und einen Einschluss für RangeObj.

Bei mir ist das so, dass ich einen großen Bereich ("RangeObj") habe, der direkt kommunizieren können dürfen soll und eine Gruppe von einzelnen Geräten ("GroupObj"), die den Proxy nutzen soll. Demzufolge lege ich also nur für GroupObj eine (bzw. zwei: HTTP + HTTPS) Include-Regel an.

[Mario]

Eine Sache, die ich noch hinzufügen möchte: Nicht vergessen, das der Proxy für diese Regeln keine Zonen kennt. Der Name der Netzwerkobjekte darf hier nicht zu Irritationen führen. Das Objekt "Internet" hat z.B. 0.0.0.0/0 definiert. Bedeutet also für den Proxy "Alles"