Beim Surfen Astaro umgehen

wenn du den Proxy abstellst, können die clients immernoch surfen?
wenn nein-->überprüf mal ob du die clients nicht in der transparent list hast, und ob deine proxy filter in na falschen reihenfolge stehen(oder dort die clients falsch eingetragen?)



oder trägst du nur den Proxy bei den clients raus und bemerkst das sie trotzdem noch surfen können?
-->versuch mal ob es nachdem du ne filterregel auf port 80 (http) geblockt hast, immernoch ist(auch die priorität beachten!!! ich weiß ja nicht wieviele regeln du drin hast, obs übersichtlich ist oder nicht.. ).

source: your lan
service: http
destination:any
action: block

Hallo Tigershark,
ich habe als Modus "Standard" eingestellt.
Bei den Benutzerregeln ist auch kein Fehler drin.
Ich werde deinen Tip mit der Block-Regel versuchen.
Mir ist aber noch aufgefallen, dass unter

Web Security / HTTP / Advanced
unter MISC Settings noch der Dienst "HTTP" drin steht. Ich werde diesen auch noch löschen vielleicht lag es ja daran.

Und ja es ist so, dass wenn die Clients den Proxyeinstellungen im IE rausmachen können sie trotzdem surfen.

Web Security / HTTP / Advanced
unter MISC Settings noch der Dienst "HTTP" drin steht. Ich werde diesen auch noch löschen vielleicht lag es ja daran.

nein daran wird dies nicht liegen.
Siehe Dokumentation:

Allowed Target Services: In the Allowed Target Services box you can select the target services the HTTP proxy should be allowed to access. The default setting consists of target services (ports) that are usually safe to connect to and which are typically used by browsers, namely HTTP (port 80), HTTPS (port 443), FTP (port 21), LDAP (port 389), LDAP-SSL (port 636), HTTP Proxy (port 8080), Astaro Spam Release (ports 3840–4840), and Astaro WebAdmin (port 4444).

Network:192.168.0.0/24
Gateway(Astaro):192.168.0.1
DNS:192.168.0.2


Client Einstellungen:
Proxy:192.168.0.1:8080 (bei Standardeinstellungen)
Client IP:192.168.0.x
DNS/Gateway siehe oben.

Jede verbindung die nicht über den Proxy geht, wird per Filterregel in der ASG gesteuert.

Wenn du nun den Proxy abstellst, die leute aber trotzdem noch surfen können, dann liegt dies an der Filterregel, in denen du IRGENDWO any services oder HTTP(80) für das Netz/Client freigegeben hast.

Ich hatte heute beim einrichten eins OPEN VPN SSL Clients ein änliches Problem:
User machte eine DSL Einwahl, verbindet sich mit dem Firmennetz und konnte an dem Proxy Server vorbeisurfen obwohl der Proxy im IE eingetragen war. Wenn dies bei dir auch zutrifft, teile ich dir gerne die Lösung mit. Andernfalls(Der Client befindet sich bereits in dem Netzwerk) überprüf bitte deine Filterregeln.

Hi Tigershark,

ja genau. So ähnlich sind meine Clienteinstellungen.

Filterregel? Ähm da stehe ich etwas auf dem Schlauch. Du meinst nicht die Paketfilter oder? Wo stehen diese Regeln dann die du meinst?
Im Paketfilter steht aber die Regel drin 
Source: Internal
Service: Web Surfing
Destination: Any

Und in dem Service "Web surfing" ist auch HTTP drin enthalten. Liegt es daran?

Ja es ist wirklich so, macht jemand den Proxyhacken raus kann er immer noch surfen.
Ist leider böses Sicherheitsriskio.

SebaT,

Du sagt es doch selber. Mit der Regel:

Source: Internal
Service: Web Surfing
Destination: Any

ist Websurfen (http) von Intern nach Überall hin erlaubt.

Deaktiviere diese Regel.

ok, dann werde ich heute Abend mal aus dem Service "Web Surfing" HTTP raus machen und testen. Bin gespannt. 
Danke für die Tipps. Darauf wäre ich jetzt nicht gekommen.

Grüße

Warum willst Du http aus websurfing herausnehmen?

Deaktiviere die Packet Filter Rule und die Leute sind gezwungen über den Proxy zu gehen (mit all den gewünschten Protokollen http, https, usw.).

Du hast Standard Mode, so geht auch https.

OT: Du kannst in den GPO auch das Ändern der Einstellungen (jedenfalls des IE) verbieten. Ein Benutzer kann dann da nichts mehr ändern. Ist aber trotzdem sicherheitstechnologisch suboptimal.

Ich will vermeiden, dass sich die User am Proxy vorbeimogeln. Aber sie sollen surfen können. 
Klar kann ich auch eine "Drop" oder "Reject" Regl für HTTP machen. Aber ich denke so funktioniert es ganz gut. Klar funktioniert noch HTTPS. Aber es gibt weniger "schlimme" Seiten mit HTTPS als HTTP.

Hi, die Idee ist auch nicht schlecht. Aber was passiert, dann mit Laptop User die per UMTS oder Home-Office machen? Da ist es dann wieder zu aufwenig eine eigene OU zu machen. Dann lieber so. Trotzdem recht schnell gemacht.
Grüße

Hallo SebaT,

ich verstehe Dich nicht.

Gerade, wenn sich niemand am Proxy vorbeischleichen soll, ist es am einfachsten, die Regel für Websurfing nach Any zu deaktivieren oder zu löschen. Dann geht nichts mehr ausser Proxy, egal woher der User kommt.

Du brauchst keine Drop- oder Reject-Regel für http. Solange Du nicht irgendwo http (ev. in einer Gruppe versteckt, wie bei Websurfing) ausdrücklich erlaubt hast, geht nichts.

Grundsätzlich ist alles blockiert, was nicht erlaubt ist.

Hallo SebaT,

ich verstehe Dich nicht.

Gerade, wenn sich niemand am Proxy vorbeischleichen soll, ist es am einfachsten, die Regel für Websurfing nach Any zu deaktivieren oder zu löschen. Dann geht nichts mehr ausser Proxy, egal woher der User kommt.

Du brauchst keine Drop- oder Reject-Regel für http. Solange Du nicht irgendwo http (ev. in einer Gruppe versteckt, wie bei Websurfing) ausdrücklich erlaubt hast, geht nichts.

Grundsätzlich ist alles blockiert, was nicht erlaubt ist.