Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Content-Filter *Bahnhof*

Hallöle,

ich habe folgendes Problem für das mir die Lösung derzeit nicht einfallen will:

Mein Netz sieht derzeit ungefähr so aus:

DSL-Router -> Zwischennetz ->Astaro (Home-Lizenz) -> meine PC's
(Routing und auch der Content-Filter funktionieren Tadellos.)

Nun möchte ich jedoch unterschiedliche Filter-Profile nutzen:
1. Eltern dürfen so gut wie alles (Virenscan und SpyBlocker aktiv)
2. Kinder dürfen nur bestimmte Seiten bzw. Kategorien

Mein derzeitiger Lösungsansatz sieht nun vor, auf dem internen Interface ein zweites Netz zu definieren (einschließlich Routing etc.) und die Kinder-PCs in dieses Netz zu nehmen, damit ich ein entsprechendes Profil funktionierend nutzen kann (leider funktioniert das nur solange wie die Kinder nix mit IPs anfangen können [;)] )
Dies hat leider auch den Nachteil, dass ich zusätzliche Regeln in den Paketfilter bauen muss, damit die Kids auf den "Familien-Drucker" drucken können...

Auch nach mehrfachem Studium der Doku bin ich noch nicht schlauer geworden, daher nun meine Frage: ist es zwingend erforderlich, unterschiedliche Netze zu definieren, damit die o.g. Profile greifen oder gibt es einen anderen Weg?

Bin für jeden einfacheren Weg oder ein Hinweis darauf dankbar!

Grüße

Jürgen


This thread was automatically locked due to age.
Parents
  • Das geht auch einfacher....
    Wenn du dem Eltern-PC eine feste ip vergibst, dann legst du für diese IP ein Profil mit einer Richtlinie "darf alles" an.
    Nun nimmst du die IP der Kiddies und setzt da noch an, dass die nur auf bestimmte Seiten dürfen. Um das zu stützen, legst du für Eltern und Kinder noch jeweils einen Internetaccess Nutzer an. 
    Diesen Nutzern vergibst du Passwörter und fügst sie in das Szenario mit hinzu. Dann stellst du die Methode von Transparent auf Basic Authentication und verbietest den PCs die Verbindung auf Port 80 in der Firewall.
    Nachdem du das erledigt hast musst auf den PCs noch die Astaro als GW und Proxy eintragen und dann ist es möglich aufs Internet über den Proxy zuzugreifen, aber sonst nicht.

    Falls du mit der Umsetzung Probleme hast, dann kann ich dir das auch in einzelnen Schritten aufschreiben .....

    Grüße

    Schroeder
Reply
  • Das geht auch einfacher....
    Wenn du dem Eltern-PC eine feste ip vergibst, dann legst du für diese IP ein Profil mit einer Richtlinie "darf alles" an.
    Nun nimmst du die IP der Kiddies und setzt da noch an, dass die nur auf bestimmte Seiten dürfen. Um das zu stützen, legst du für Eltern und Kinder noch jeweils einen Internetaccess Nutzer an. 
    Diesen Nutzern vergibst du Passwörter und fügst sie in das Szenario mit hinzu. Dann stellst du die Methode von Transparent auf Basic Authentication und verbietest den PCs die Verbindung auf Port 80 in der Firewall.
    Nachdem du das erledigt hast musst auf den PCs noch die Astaro als GW und Proxy eintragen und dann ist es möglich aufs Internet über den Proxy zuzugreifen, aber sonst nicht.

    Falls du mit der Umsetzung Probleme hast, dann kann ich dir das auch in einzelnen Schritten aufschreiben .....

    Grüße

    Schroeder
Children
  • Das geht auch einfacher....
    Wenn du dem Eltern-PC eine feste ip vergibst, dann legst du für diese IP ein Profil mit einer Richtlinie "darf alles" an.
    Nun nimmst du die IP der Kiddies und setzt da noch an, dass die nur auf bestimmte Seiten dürfen. Um das zu stützen, legst du für Eltern und Kinder noch jeweils einen Internetaccess Nutzer an. 
    Diesen Nutzern vergibst du Passwörter und fügst sie in das Szenario mit hinzu. Dann stellst du die Methode von Transparent auf Basic Authentication und verbietest den PCs die Verbindung auf Port 80 in der Firewall.
    Nachdem du das erledigt hast musst auf den PCs noch die Astaro als GW und Proxy eintragen und dann ist es möglich aufs Internet über den Proxy zuzugreifen, aber sonst nicht.

    Falls du mit der Umsetzung Probleme hast, dann kann ich dir das auch in einzelnen Schritten aufschreiben .....

    Grüße

    Schroeder


    Hallöle Schröder,

    ich denke das habe ich verstanden, werde es in sehr naher Zukunft ausprobieren, melde mich dann wieder, wenn ich Probleme haben sollte.

    Danke für die Prompte Antwort, hätte ich ja auch alleine drauf kommen können, aber das Handbuch ist an der Stelle nicht wirklich hilfreich, einige Beispiele hätten da mehr gebracht ;-)
    Aber ich will mich nicht beschweren, für andere Software, die sowas unterstützt, hätte ich mehr Geld ausgeben müssen.

    Grüße
    Jürgen
  • Falls du die Authentifizierung nutzt kannst du direkt ein Profil auf den Usernamen anlegen, dann kommt es auch nicht drauf an, von welchem PC aus gesurft wird und die IP-umstellung nützt den kidds auch nix ;-)

    Medic
  • Jap, das stimmt, ich hatte die IP nur Extra mit erwähnt, weil es dann zwei Hürden sind (Passwort + IP-Adresse herusfinden).

    Grüße

    Schroeder
  • Hallöle,

    erstmal vielen Dank für die prompte Antwort!

    Leider werde ich frühestens am Wochenende wieder dazu kommen, das ganze mal in der Praxis zu testen (oder gibt es eine fertige Astaro in VMware, damit ich das im VMware-Player testen kann?).
    Denke aber, das mein Problem darin bestand, dem Paketfilter nicht zu sagen, dass der Traffic ins Web verboten ist. 
    Also nochmals vielen Dank und ich werde hier meine Ergebnisse veröffentlichen ;-)

    Grüße
    Jürgen
  • hatte doch noch etwas Zeit heute...

    Hallöle,

    habe nun folgendes eingerichtet:

    Filter Actions:
    Kind
    Mode: Whitelist
    Aloowed SP Categories:  "IT, Information etc"
    AV: Dual Scan

    Eltern
    Mode: Blacklist
    Blocked SP categories: "Drugs, Weapons,  etc"
    AV: Dual Scan

    Filter Assignments
    Kiddies
    User: Kind1
    always
    Filter Action: Kind

    Parents
    User: Mama, Papa
    always
    Filter Action: Eltern

    Prooxy Profiles
    1. Eltern1
    User authentication enabled
    Source networks: Internal (Network)
    Filter Assigments: Parents
    Fallback action: Default content filter action

    2. Kiddies
    User authentication enabled
    Source networks: Internal (Network)
    Filter Assigments: Kiddies
    Fallback action: Default content filter action

    Proxy steht auf Basic User authetification und im Paketfilter ist Websurfing auf reject gesetzt,
    Contentfilter steht komplett auf Rot (alles geblockt), Nutzer sind angelegt und alles sollte schön sein, oder?

    Wenn ich nun in das Livelog schaue, werden die unterschiedlichen Nutzer
    erkannt, aber es werden immer die strengen Regeln angewandt.... 

    ich versteh es nicht!
    Wo mache ich den Denkfehler?

    Grüße
    Jürgen
  • Also korrigiert mich wenn ich falsch liege aber diese Regel
    Proxy steht auf Basic User authetification und im Paketfilter ist Websurfing auf reject gesetzt

    ist ein wenig unglücklich gewählt oder?

    Ist der Service "Web Surfing" nicht mit HTTP, HTTP Proxy, etc. definiert?
    Das hieße ja, dass Du alles verbietest, HTTP und auch den Proxy oder hast Du den auf nen anderen Port geswitcht?
  • Das hieße ja, dass Du alles verbietest, HTTP und auch den Proxy oder hast Du den auf nen anderen Port geswitcht?

    ...dann würde es auch in der default Einstellung nicht funktionieren [;)]
    Die ASG internen Rules ziehen vor den Paketfilter Rules.
  • Da habe dann auch ich wieder was Neues gelernt ^^
    Ich muss wohl aber zugeben, dass die Filterregeln bei mir zwar funktionieren aber das ich den vollen Funktionsumfang auch noch nicht probiert, geschweige denn verstanden habe [:P]
  • ..von Transparent auf Basic Authentication und verbietest den PCs die Verbindung auf Port 80 in der Firewall.

    Grüße

    Schroeder


    Ah jetzt ja!
    Wer lesen kann ist klar im Vorteil...
    Also meine genannte Konfiguration sollte funktionieren, sofern ich dann websurfing wieder aktiviere und nur den Port 80 zumache.
    Danke, man lernt wirklich nie aus... [:D]

    Grüße
    Jürgen
  • So, kurzer Bericht:
    Nachdem ich heute Abend nochmals etwas Zeit investiert habe, funktioniert es fast so,
    wie ich es mir vorstelle.
    Die Betonung liegt auf fast, weil der Contentfilter in recht eigenartigen Categorien gruppiert ist. Was fehlt ist eine Kategorie mit der man kindgerechte Inhalte entsprechend freischalten kann.
    Aber vielleicht wird das ja noch.
    Dank Eurer Hilfe habe ich es jedoch nun soweit hinbekommen, dass es funktioniert,
    das Feintuning werde ich dann wohl über die zu erlaubenden URLs vornehmen.
    Euch nochmals meinen Dank!

    Grüße Jürgen