Diverse Sperren einrichten

Wie kann man das Konfigurieren?
florianmulatz
Posts: 4
Joined: February 21st, 2012, 5:28 am
Location: Klagenfurt

Diverse Sperren einrichten

Post by florianmulatz » February 21st, 2012, 5:46 am

Erst mal hallo an Alle, ich bin neu hier.

Ich bin zwar ein ambitionierter "Einstiegs-Netzwerktechniker" aber bei gewissen Konfigurationen scheitere ich doch noch.

Zum Umfeld in dem die Konfiguration lt. Dienstanweisung durchgeführt werden muss:

Ich betreue in diesem Fall einen Elektromarkt als lokaler Sys-Admin. In diesem speziellen Fall geht es um die komplette POS-Ausstellung. Es sind dort immer ca. 30 - 40 Client's (Windows, MacOS, MediaPlayer usw usw ...) ausgestellt welche über 3 DD-WRT Router (konfiguriert als Accesspoints - miteinander verlinkt über WDS) verbunden sind. Diese Client's MÜSSEN alle aufgrund einer speziellen POS-Software in's Internet.

Ich habe jetzt für dieses Netzwerk eben einen IPFire konfiguriert der aktuell folgende Dienste für dieses Netzwerk (Green + Red) zur Verfügung stellt:

Routing
DHCP
DNS
Proxy
URL-Filter
Samba

Soweit funktioniert die Konfiguration einwandfrei. Meine Dienstanweisung lautet dahingehend dass in diesem Netzwerk alle SocialNet's komplett gesperrt werden.

Dies funktioniert "mittelprächtig" über den URL-Filter mit einer Shalla Secure Services List.

Die Client's können z.B. nicht mehr auf "http://www.facebook.com" surfen - Es wird die Sperr-Seite angezeigt. Allerdings zeigt sich der Proxy und der URL-Filter von "https://www.facebook.com" unbeeindruckt und lässt alle durch. Auch die Handy's sch.... auf den URL-Filter und stellen die Verbindung über die Facebook-APP unbeeindruckt her.

Ich habe bereits getestet die Ausgehende Firewall lt. Dokumentation so umzubiegen dass "alle" Verbindungen über den Proxy gezwungen werden. Dies führt zwar zum gewünschten Ergebnis allerdings sehe ich dies dann als endlose Konfigurationsarie an, alle Dienste die ja nachwievor funktionieren müssen dann als "Ausnahmen" umzubiegen.

Ich stehe momentan vor diesem Problem und weiß irgendwie nicht weiter?

Ich hoffe Ihr könnt mir helfen und verbleibe schon mit einem DANKE im Vorhinein

lg
Florian

PS: nachdem natürlich die Client's nicht immer die gleichen sind und oft gegen neuere Modelle getauscht werden (wenn ein Ausstellungsstück verkauft wird) ist auch die lokale Proxy-Konfiguration über den entsprechenden Browser nicht wirklich praktikabel.
Last edited by florianmulatz on February 21st, 2012, 5:50 am, edited 1 time in total.
Die Signatur dieses Beitrages ist aus technischen Gründen an der Rückseite angebracht.

User avatar
traxxus
Mentor
Mentor
Posts: 574
Joined: April 28th, 2010, 4:51 pm

Re: Diverse Sperren einrichten

Post by traxxus » February 21st, 2012, 8:37 am

Die ausgehende Firewall zu verwenden ist richtig. Ebenfalls dein Schritt der Anleitung in der Wiki zu folgen (surfen über Proxy erzwingen).

Somit gehen schonmal alle Clients nichtmehr ohne Proxy ins Netz.
Jetzt setzt du den URL Filter auf Social Network oder wie's genannt wird. Danach wird das doch tiptop geblockt.

Um spezielle Dienste nach aussen zu lassen musst du in der ausgehenden Firewall dies auch öffnen.

Es gäbe die Möglichkeit per DHCP die Proxykonfiguration mitzugeben (proxy.pac / wpad.dat). http://wiki.ipfire.org/de/configuration ... stellungen
Last edited by traxxus on February 21st, 2012, 11:16 am, edited 1 time in total.

florianmulatz
Posts: 4
Joined: February 21st, 2012, 5:28 am
Location: Klagenfurt

Re: Diverse Sperren einrichten

Post by florianmulatz » February 21st, 2012, 10:12 am

Hey!

Ich hab's jetz nochmal mit der ausgehenden Firewall gelöst und nach bestem Wissen und Gewissen versucht alle Port's frei zu schalten die wir benötigen.

Momentan sieht's so aus als ob alles funktionieren würde :)

Danke nochmal!

lg
Florian
Die Signatur dieses Beitrages ist aus technischen Gründen an der Rückseite angebracht.

florianmulatz
Posts: 4
Joined: February 21st, 2012, 5:28 am
Location: Klagenfurt

Re: Diverse Sperren einrichten

Post by florianmulatz » February 23rd, 2012, 2:49 pm

So ich nochmal  ;D

Ich steh jetz scheinbar wieder mal am Schlauch. Unter anderem befindet sich in unserem Netzwerk eine PS3 die sozusagen eine Ausnahme bilden soll ...

Wie muss ich denn in der ausgehenden Firewall die Regel konfigurieren dass die Konsole sozusagen komplett ungefiltert in's Netz darf?

aktuell hab ich's mit einer solchen Regel probiert:

Code: Select all

Protokoll    Netzwerk    Ziel                    Beschreibung       Richtlinie    Logging 
all            red            172.16.0.3:0-65000    Playstation_Network    ALLOW    aktiv


Leider kann man sich immer noch nicht in's PS-Network über die Konsole einwählen :o ... Hab ich nen Denkfehler?

lg
Florian
Die Signatur dieses Beitrages ist aus technischen Gründen an der Rückseite angebracht.

User avatar
traxxus
Mentor
Mentor
Posts: 574
Joined: April 28th, 2010, 4:51 pm

Re: Diverse Sperren einrichten

Post by traxxus » February 23rd, 2012, 5:34 pm

Ungefiltert? Dann verwende die DMZ, die ist genau dafür da. An dem IPFire wird ein LAN Port als DMZ (orange) definiert. Der Rest des LANs (green) ist davon unberührt.

ummeegge
Community Developer
Community Developer
Posts: 4811
Joined: October 9th, 2010, 10:00 am

Re: Diverse Sperren einrichten

Post by ummeegge » February 23rd, 2012, 5:51 pm

Hallo zusammen,

florianmulatz wrote:

Code: Select all

Netzwerk    
red    
       

red (internet IP) gilt in der ausgehende FW dann nur für den Fire selbst. Die PS3 müsste dann unter Quelle eine IP, MAC oder Zone bekommen in der sie läuft.

florianmulatz wrote:

Code: Select all

Ziel 
172.16.0.3:0-65000


Statt dem "-" würde ich besser eine ":" verwenden, weiss grad gar nicht ob das "-" genommen wird.

Grüsse

UE
Image
Image

User avatar
Maniacikarus
Core Developer
Core Developer
Posts: 6210
Joined: February 24th, 2006, 10:35 am
Location: Nürnberg
Contact:

Re: Diverse Sperren einrichten

Post by Maniacikarus » February 23rd, 2012, 5:51 pm

Lass doch einfach die Ports weg, ich denke das ist das Problem, Port 0 gibts nicht.
Image

florianmulatz
Posts: 4
Joined: February 21st, 2012, 5:28 am
Location: Klagenfurt

Re: Diverse Sperren einrichten

Post by florianmulatz » February 24th, 2012, 10:02 am

ummeegge wrote:Hallo zusammen,
red (internet IP) gilt in der ausgehende FW dann nur für den Fire selbst. Die PS3 müsste dann unter Quelle eine IP, MAC oder Zone bekommen in der sie läuft.
Statt dem "-" würde ich besser eine ":" verwenden, weiss grad gar nicht ob das "-" genommen wird.

Grüsse

UE


Steh grad am Schlauch ... wie meinst eine IP, Mac oder Zone in der sie läuft ... wie kann ich dass denn umsetzen?

DMZ ist keine möglich da fehlt eine weitere Netzwerkkarte ...

lg
Flo

PS: das mit dem "-" teste ich mal eben
Die Signatur dieses Beitrages ist aus technischen Gründen an der Rückseite angebracht.

ummeegge
Community Developer
Community Developer
Posts: 4811
Joined: October 9th, 2010, 10:00 am

Re: Diverse Sperren einrichten

Post by ummeegge » February 24th, 2012, 10:45 am

Die PS3 hat ja eine IP oder MAC Addresse die kannst du dann hier --> http://wiki.ipfire.org/de/configuration ... bearbeiten unter "Quell IP" oder "Quell MAC" eingeben damit die PS3 auch raus kann. Unter Quelle musst du dann halt definieren was es sein soll IP oder MAC.

UE
Image
Image

gnoovy
Posts: 80
Joined: September 14th, 2013, 4:37 pm

Re: Diverse Sperren einrichten

Post by gnoovy » February 28th, 2014, 10:02 pm

Genau. Das mit der ip oder Mac Adressenangabe würde ich auch so machen. Dann die Portfreigabe 1:65000. Die andere Frage ist aber wirklich ob alles offen sein muss? Ich würde eher in den Logs schauen welche Ports für das ps3 Netzwerk gebraucht werden und welche Server da angesteuert werden. Dann würde ich für diese Server oder deren IP-Range die Ports freigeben. Am besten kannst du das loggen wenn die Ps3 erstmal ungefiltert eine Verbindung zum Network aufbaut und dann gezielt zu machen

5589DB
Posts: 121
Joined: August 4th, 2014, 7:56 pm

Re: Diverse Sperren einrichten

Post by 5589DB » August 18th, 2014, 7:50 pm

Hallo zusammen,

ich versuche gerade den Proxy so zu konfigurieren, dass ich ihn nicht mehr umgehen kann. Mit dem Wiki Artikel http://wiki.ipfire.org/de/configuration ... fen_lassen komme ich nicht ganz klar, da das dort m.E. nach nicht für die aktuelle Version passt.

Auf jeden Fall habe ich das "Default firewall behaviour" unter FORWARD auf blocked (Also im alten Sprachgebruach Modus 1), unter OUTGOING auf allowed. Aktuell habe ich Firewallregeln drin, die HTTP(S) erlauben. Wenn ich also den Proxy (in meinem Fall 8080) erzwingen will, muss ich wohl die beiden erstellten Regeln löschen. Aber welche neuen Regeln muss ich wie erstellen?

ummeegge
Community Developer
Community Developer
Posts: 4811
Joined: October 9th, 2010, 10:00 am

Re: Diverse Sperren einrichten

Post by ummeegge » August 19th, 2014, 9:27 am

Hallo 5589DB,
wenn du die FORWARD auf 'Blockiert' und die OUTGOING auf 'Zugelassen' gestellt hast, braucht es keine weiteren Regeln damit du den Proxy erreichen kannst da Anfragen zu ihm aus dem LAN über die INPUT Chain laufen.
Nebeninfo: HTTPS geht nur im NON-Transparenten Modus.

UE
Image
Image

5589DB
Posts: 121
Joined: August 4th, 2014, 7:56 pm

Re: Diverse Sperren einrichten

Post by 5589DB » August 19th, 2014, 12:12 pm

Hallo ummeegge,

vielen Dank für deine Antwort. Ich verstehe sie nur nicht ganz bzw. kann das nicht nachollziehen.

Den Proxy habe ich nicht im transparenten Modus laufen. Ich kann mit oder ohne Proxy surfen, ohne Proxy greift aber kein Filter, mit Proxy schon. Deswegen verstehe ich das nicht so ganz: "braucht es keine weiteren Regeln damit du den Proxy erreichen kannst da Anfragen zu ihm aus dem LAN über die INPUT Chain laufen". Oder ich habe in meiner Konfig was falsch eingestellt?! Dann aber ist ja der Wiki Artikel "Clients nur über den Proxy surfen lassen" ja nicht so ganz richtig, oder?!

ummeegge
Community Developer
Community Developer
Posts: 4811
Joined: October 9th, 2010, 10:00 am

Re: Diverse Sperren einrichten

Post by ummeegge » August 19th, 2014, 12:23 pm

Die Doku die du verlinkt hast ist für ältere IPFire Versionen. Seit Core 77 gibt es nun die neue FW WUI und es hat sich einiges geändert. Die Doku für die neue FW findest du hier --> http://wiki.ipfire.org/en/configuration/firewall/start .

In deinem Fall meinte ich wenn du in diesem Bereich --> http://wiki.ipfire.org/en/configuration ... _behaviour die FORWARD auf 'Blockiert' und die OUTGOING auf 'Zulassen' eingestellt hast muss der Client wenn keine FW Freigaben erstellt wurden über den IPFire bzw. über --> den Proxy gehen da die FORWARD (also am Fire vorbei) ja blockiert ist. Der Zugriff auf den Fire läuft über die INPUT Chain und ist somit auch bei blockierter FORWARD erreichbar.

Wenn die OUTGOING auch blockiert wäre, müsstest du auch gezielt für IPFire Regeln erstellen da die Outgoing den Fire selber regelt .

Hoffe es ist ein wenig klarer geworden...

Grüsse,

UE
Image
Image

Muddern
Mentor
Mentor
Posts: 350
Joined: November 29th, 2010, 7:54 pm
Location: Rostock
Contact:

Re: Diverse Sperren einrichten

Post by Muddern » August 19th, 2014, 12:25 pm

Also ich nutze den Proxy auch im non-transparent Modus. Sofern ich den Proxy nicht im Browser eingetragen habe, kommen die Clients auch nicht ins Internet. Wenn er dann wieder eingetragen ist, geht wieder alles.

Regeln habe ich keine erstellt und bei mir ist die FORWARD auch auf BLOCKED und die OUTPUT auf ALLOW.

MfG Muddern

Post Reply