Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 3183 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Content-Filter *Bahnhof*

Jofo007
Hallöle,

ich habe folgendes Problem für das mir die Lösung derzeit nicht einfallen will:

Mein Netz sieht derzeit ungefähr so aus:

DSL-Router -> Zwischennetz ->Astaro (Home-Lizenz) -> meine PC's
(Routing und auch der Content-Filter funktionieren Tadellos.)

Nun möchte ich jedoch unterschiedliche Filter-Profile nutzen:
1. Eltern dürfen so gut wie alles (Virenscan und SpyBlocker aktiv)
2. Kinder dürfen nur bestimmte Seiten bzw. Kategorien

Mein derzeitiger Lösungsansatz sieht nun vor, auf dem internen Interface ein zweites Netz zu definieren (einschließlich Routing etc.) und die Kinder-PCs in dieses Netz zu nehmen, damit ich ein entsprechendes Profil funktionierend nutzen kann (leider funktioniert das nur solange wie die Kinder nix mit IPs anfangen können [;)] )
Dies hat leider auch den Nachteil, dass ich zusätzliche Regeln in den Paketfilter bauen muss, damit die Kids auf den "Familien-Drucker" drucken können...

Auch nach mehrfachem Studium der Doku bin ich noch nicht schlauer geworden, daher nun meine Frage: ist es zwingend erforderlich, unterschiedliche Netze zu definieren, damit die o.g. Profile greifen oder gibt es einen anderen Weg?

Bin für jeden einfacheren Weg oder ein Hinweis darauf dankbar!

Grüße

Jürgen


This thread was automatically locked due to age.
Parents
  • 0
    Das geht auch einfacher....
    Wenn du dem Eltern-PC eine feste ip vergibst, dann legst du für diese IP ein Profil mit einer Richtlinie "darf alles" an.
    Nun nimmst du die IP der Kiddies und setzt da noch an, dass die nur auf bestimmte Seiten dürfen. Um das zu stützen, legst du für Eltern und Kinder noch jeweils einen Internetaccess Nutzer an. 
    Diesen Nutzern vergibst du Passwörter und fügst sie in das Szenario mit hinzu. Dann stellst du die Methode von Transparent auf Basic Authentication und verbietest den PCs die Verbindung auf Port 80 in der Firewall.
    Nachdem du das erledigt hast musst auf den PCs noch die Astaro als GW und Proxy eintragen und dann ist es möglich aufs Internet über den Proxy zuzugreifen, aber sonst nicht.

    Falls du mit der Umsetzung Probleme hast, dann kann ich dir das auch in einzelnen Schritten aufschreiben .....

    Grüße

    Schroeder
  • 0 in reply to Schroeder
    Das geht auch einfacher....
    Wenn du dem Eltern-PC eine feste ip vergibst, dann legst du für diese IP ein Profil mit einer Richtlinie "darf alles" an.
    Nun nimmst du die IP der Kiddies und setzt da noch an, dass die nur auf bestimmte Seiten dürfen. Um das zu stützen, legst du für Eltern und Kinder noch jeweils einen Internetaccess Nutzer an. 
    Diesen Nutzern vergibst du Passwörter und fügst sie in das Szenario mit hinzu. Dann stellst du die Methode von Transparent auf Basic Authentication und verbietest den PCs die Verbindung auf Port 80 in der Firewall.
    Nachdem du das erledigt hast musst auf den PCs noch die Astaro als GW und Proxy eintragen und dann ist es möglich aufs Internet über den Proxy zuzugreifen, aber sonst nicht.

    Falls du mit der Umsetzung Probleme hast, dann kann ich dir das auch in einzelnen Schritten aufschreiben .....

    Grüße

    Schroeder


    Hallöle Schröder,

    ich denke das habe ich verstanden, werde es in sehr naher Zukunft ausprobieren, melde mich dann wieder, wenn ich Probleme haben sollte.

    Danke für die Prompte Antwort, hätte ich ja auch alleine drauf kommen können, aber das Handbuch ist an der Stelle nicht wirklich hilfreich, einige Beispiele hätten da mehr gebracht ;-)
    Aber ich will mich nicht beschweren, für andere Software, die sowas unterstützt, hätte ich mehr Geld ausgeben müssen.

    Grüße
    Jürgen
  • 0 in reply to Jofo007
    Falls du die Authentifizierung nutzt kannst du direkt ein Profil auf den Usernamen anlegen, dann kommt es auch nicht drauf an, von welchem PC aus gesurft wird und die IP-umstellung nützt den kidds auch nix ;-)

    Medic
  • 0 in reply to medic
    Jap, das stimmt, ich hatte die IP nur Extra mit erwähnt, weil es dann zwei Hürden sind (Passwort + IP-Adresse herusfinden).

    Grüße

    Schroeder
  • 0 in reply to Schroeder
    Hallöle,

    erstmal vielen Dank für die prompte Antwort!

    Leider werde ich frühestens am Wochenende wieder dazu kommen, das ganze mal in der Praxis zu testen (oder gibt es eine fertige Astaro in VMware, damit ich das im VMware-Player testen kann?).
    Denke aber, das mein Problem darin bestand, dem Paketfilter nicht zu sagen, dass der Traffic ins Web verboten ist. 
    Also nochmals vielen Dank und ich werde hier meine Ergebnisse veröffentlichen ;-)

    Grüße
    Jürgen
  • 0 in reply to Jofo007
    hatte doch noch etwas Zeit heute...

    Hallöle,

    habe nun folgendes eingerichtet:

    Filter Actions:
    Kind
    Mode: Whitelist
    Aloowed SP Categories:  "IT, Information etc"
    AV: Dual Scan

    Eltern
    Mode: Blacklist
    Blocked SP categories: "Drugs, Weapons,  etc"
    AV: Dual Scan

    Filter Assignments
    Kiddies
    User: Kind1
    always
    Filter Action: Kind

    Parents
    User: Mama, Papa
    always
    Filter Action: Eltern

    Prooxy Profiles
    1. Eltern1
    User authentication enabled
    Source networks: Internal (Network)
    Filter Assigments: Parents
    Fallback action: Default content filter action

    2. Kiddies
    User authentication enabled
    Source networks: Internal (Network)
    Filter Assigments: Kiddies
    Fallback action: Default content filter action

    Proxy steht auf Basic User authetification und im Paketfilter ist Websurfing auf reject gesetzt,
    Contentfilter steht komplett auf Rot (alles geblockt), Nutzer sind angelegt und alles sollte schön sein, oder?

    Wenn ich nun in das Livelog schaue, werden die unterschiedlichen Nutzer
    erkannt, aber es werden immer die strengen Regeln angewandt.... 

    ich versteh es nicht!
    Wo mache ich den Denkfehler?

    Grüße
    Jürgen
  • 0 in reply to Jofo007
    Also korrigiert mich wenn ich falsch liege aber diese Regel
    Proxy steht auf Basic User authetification und im Paketfilter ist Websurfing auf reject gesetzt

    ist ein wenig unglücklich gewählt oder?

    Ist der Service "Web Surfing" nicht mit HTTP, HTTP Proxy, etc. definiert?
    Das hieße ja, dass Du alles verbietest, HTTP und auch den Proxy oder hast Du den auf nen anderen Port geswitcht?
  • 0 in reply to Corain
    Das hieße ja, dass Du alles verbietest, HTTP und auch den Proxy oder hast Du den auf nen anderen Port geswitcht?

    ...dann würde es auch in der default Einstellung nicht funktionieren [;)]
    Die ASG internen Rules ziehen vor den Paketfilter Rules.
Reply
  • 0 in reply to Corain
    Das hieße ja, dass Du alles verbietest, HTTP und auch den Proxy oder hast Du den auf nen anderen Port geswitcht?

    ...dann würde es auch in der default Einstellung nicht funktionieren [;)]
    Die ASG internen Rules ziehen vor den Paketfilter Rules.
Children
  • 0 in reply to ClausP
    Da habe dann auch ich wieder was Neues gelernt ^^
    Ich muss wohl aber zugeben, dass die Filterregeln bei mir zwar funktionieren aber das ich den vollen Funktionsumfang auch noch nicht probiert, geschweige denn verstanden habe [:P]
Unfiltered HTML