Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[6.311] Rechenr vom Internet fern halten

Hi hochmal,

der Paketfilter von Astaro blockt ja erstmal alles und konfigurierte Regeln werden von oben nach unten abgearbeitet bis eine zutrifft und dann werden alle anderen ignoriert. Soviel zur Theorie.

AM Anfang meiner Regel stehen 3 Drops für Internal (Broadcast) und 4x 255. Danach habe ich eine Drop-Regel für eine definierte IP-Adresse angelegt. Weiter unten kommen erst die Regeln für HTTP an Any usw. Allerdings kann das vorgesehene Gerät schön ins Internet spazieren...

Muss ich noch etwas berücksichtigen? Wir haben eine vorgelagerte Firewall und an dieser hängen sowohl unser Default-GW und ein alternatives GW. Evtl. sollte ich den Traffic zu und von diesen blocken?

Hat jemand einen Tipp für mich? Vielen Dank schonmal.
-- 
Mit freundlichen Gruessen

Steffen


This thread was automatically locked due to age.
Parents Reply Children
  • Hi AMros,

    HTTP-Proxy läuft im transparenten Modus. Ergo gibt es PF-Regeln  usw.  Irgendwie verschließt sich mir der richtige Ansatz zur Blockierung...

    MfG, Steffen
  • wenn ein http proxy verfuegbar ist, "steuert" dieser die internet traffic "seiner" protokolle (zumindest http); wenn client http anfragt, handhabt das der proxy - also egal wie viele und welche pfr, client kann "schoen ins internet spazieren" - wenn anders gewuenscht, diesem client die proxy-nutzung verbieten, dann muss er "direkt" ins netz unde den paketfilter fragen...
    gruss
  • Hi,

    sorry, da hab ich das (Online-)Manual trotz mehrmaligen Lesens falsch verstanden. War davon ausgegangen, dass im transparenten Modus nur der Inhalt geprüft wird und für die Kommunikation eine Regel benötigt wird...

    Gibt es da trotzdem eine Möglichkeit, einen Rechner explizit zu blocken? Unser Netz ist ###.

    MfG, Steffen
  • grundsaetzlich ja: du kannst dem rechner die nutzung des proxy verbieten (ihn nicht als zugelassenes netz fuer den http proxy angeben), damit braucht er dann pfr - und da gibt's dann den block...
    problem: da man beim proxy nur zulassen und nicht verbieten kann, heisst einen ausschliessen = alle ausser ihm zulassen, und das koennte etwas aufwaendiger werden...
    g.a.
  • grundsaetzlich ja: du kannst dem rechner die nutzung des proxy verbieten (ihn nicht als zugelassenes netz fuer den http proxy angeben), damit braucht er dann pfr...


    Lässt sich relativ unkompliziert bewerkstelligen.

    problem: da man beim proxy nur zulassen und nicht verbieten kann, heisst einen ausschliessen = alle ausser ihm zulassen, und das koennte etwas aufwaendiger werden...


    Ich hab den Pc im Proxy in die Skip-List gepackt und eine PFR an der entsprechenden Stelle mit IP -> ANY -> Drop. Passt. Wenn es mehr Rechner werden braucht man sie ja nur gruppieren und dann die Prozedur für die Gruppe anpassen.

    Thanks a lot, Steffen
  • wenn ein http proxy verfuegbar ist, "steuert" dieser die internet traffic "seiner" protokolle (zumindest http); wenn client http anfragt, handhabt das der proxy - also egal wie viele und welche pfr, client kann "schoen ins internet spazieren" - wenn anders gewuenscht, diesem client die proxy-nutzung verbieten, dann muss er "direkt" ins netz unde den paketfilter fragen...
    gruss


    Hallo,

    wie kann ich dem Client die Proxy-Nutzung verbieten ? 
    Wir haben ASG 7.011 im Einsatz, under Proxy läuft im Standard-Modus.

    Besten Dank
    Marcus
  • indem du es ihm nicht erlaubst ;-)
    im ernst: der http proxy funktioniert nur fuer die "Allowed networks" - wenn er da nicht drin steht, ist's verboten...
    gruss andre
  • Hallo Andre,

    das hat geklappt besten Dank.
    Wenn ich dich aber schon mal an der Strippe habe, die nächsten Fragen.

    Bei meinen Lizenzen sind einige IP's " in scope " die eigenlich mit der Firewall nichts zu tun haben z.B. Drucker und AccessPoints. Die Gateways dieser Geräte zeigen auf eine IP ins Nirvana.

    wie kann ich diese Geräte aussperren damit sie keine Lizenz belegen ?

    Marcus
  • hallo marcus,
    gezaehlt werden geraete, die "durch" die astaro kommunizieren - also z.b. auch nutzer des astaro-eigenen dhcp-servers ?!?
    ansonsten kein DGW oder localhost - alles andere kann zum "suchen" der "nirvana"-adresse fuehren; und wo such' ich was, was nicht lokales subnetz ist? - richtig, auf der astaro, und die zaehlt mich dann...
    g.a.