Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[6.311] Rechenr vom Internet fern halten

Hi hochmal,

der Paketfilter von Astaro blockt ja erstmal alles und konfigurierte Regeln werden von oben nach unten abgearbeitet bis eine zutrifft und dann werden alle anderen ignoriert. Soviel zur Theorie.

AM Anfang meiner Regel stehen 3 Drops für Internal (Broadcast) und 4x 255. Danach habe ich eine Drop-Regel für eine definierte IP-Adresse angelegt. Weiter unten kommen erst die Regeln für HTTP an Any usw. Allerdings kann das vorgesehene Gerät schön ins Internet spazieren...

Muss ich noch etwas berücksichtigen? Wir haben eine vorgelagerte Firewall und an dieser hängen sowohl unser Default-GW und ein alternatives GW. Evtl. sollte ich den Traffic zu und von diesen blocken?

Hat jemand einen Tipp für mich? Vielen Dank schonmal.
-- 
Mit freundlichen Gruessen

Steffen


This thread was automatically locked due to age.
Parents
  • ist dein http proxy an? dann braucht der client weder pfr noch dns, nicht mal gateway...
    gruss
  • Hi AMros,

    HTTP-Proxy läuft im transparenten Modus. Ergo gibt es PF-Regeln  usw.  Irgendwie verschließt sich mir der richtige Ansatz zur Blockierung...

    MfG, Steffen
  • wenn ein http proxy verfuegbar ist, "steuert" dieser die internet traffic "seiner" protokolle (zumindest http); wenn client http anfragt, handhabt das der proxy - also egal wie viele und welche pfr, client kann "schoen ins internet spazieren" - wenn anders gewuenscht, diesem client die proxy-nutzung verbieten, dann muss er "direkt" ins netz unde den paketfilter fragen...
    gruss
  • Hi,

    sorry, da hab ich das (Online-)Manual trotz mehrmaligen Lesens falsch verstanden. War davon ausgegangen, dass im transparenten Modus nur der Inhalt geprüft wird und für die Kommunikation eine Regel benötigt wird...

    Gibt es da trotzdem eine Möglichkeit, einen Rechner explizit zu blocken? Unser Netz ist ###.

    MfG, Steffen
  • grundsaetzlich ja: du kannst dem rechner die nutzung des proxy verbieten (ihn nicht als zugelassenes netz fuer den http proxy angeben), damit braucht er dann pfr - und da gibt's dann den block...
    problem: da man beim proxy nur zulassen und nicht verbieten kann, heisst einen ausschliessen = alle ausser ihm zulassen, und das koennte etwas aufwaendiger werden...
    g.a.
Reply
  • grundsaetzlich ja: du kannst dem rechner die nutzung des proxy verbieten (ihn nicht als zugelassenes netz fuer den http proxy angeben), damit braucht er dann pfr - und da gibt's dann den block...
    problem: da man beim proxy nur zulassen und nicht verbieten kann, heisst einen ausschliessen = alle ausser ihm zulassen, und das koennte etwas aufwaendiger werden...
    g.a.
Children
  • grundsaetzlich ja: du kannst dem rechner die nutzung des proxy verbieten (ihn nicht als zugelassenes netz fuer den http proxy angeben), damit braucht er dann pfr...


    Lässt sich relativ unkompliziert bewerkstelligen.

    problem: da man beim proxy nur zulassen und nicht verbieten kann, heisst einen ausschliessen = alle ausser ihm zulassen, und das koennte etwas aufwaendiger werden...


    Ich hab den Pc im Proxy in die Skip-List gepackt und eine PFR an der entsprechenden Stelle mit IP -> ANY -> Drop. Passt. Wenn es mehr Rechner werden braucht man sie ja nur gruppieren und dann die Prozedur für die Gruppe anpassen.

    Thanks a lot, Steffen