Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 4187 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebProxy nur für bestimmten IP-Bereich?

tr2D5nAzB2vF
Hallo,

ich setze privat eine UTM 9.2 Home als VM ein.
Es ist doch standardmäßig so, wenn ich die WebProtection aktiviere, könnten alle Netzgeräte im jeweiligen LAN-Bereich auf das Internet zugreifen - jeweils über den transparenten Proxy laufend.

Nun würde ich das gerne einschränken: Per HTTP auf das Internet zugreifen soll nur mein DHCP-Bereich dürfen - alle anderen Hosts (die statisch sind und die ich etwas einschränken möchte) sollen erstmal geblockt werden.

Ich vermute das der richtige Weg wäre, ein neues Webfilterprofil anzulegen. Dort kann ich "zulässige Endpoint-Gruppen" definieren - bisher existiert hier nur die Gruppe "Default". Wenn ich auf das + gehe, um eine Gruppe hinzuzufügen, erklärt mir die UTM jedoch, dass dafür kein Formular existiert.

Wo kann ich diese Gruppen anlegen? Ist das überhaupt der "richtige" Weg?

Danke!


This thread was automatically locked due to age.
  • 0
    Hallo,

    die Endpoint-Gruppen haben nichts mit dem reinen Surfen für den DHCP-Bereich zu tun. Diese sind für die Endpoint-Security Agents nötig zwecks URL-Filterung.

    Ich glaube du kannst einen IP-Range (= DHCP-Range) definieren, welchen du dann in die Liste der erlaubten Proxy-Netze hineinnehmen kannst. Der Rest ist geblockt.
  • 0
    Ich habe einen IP-Adressbereich definiert; jedoch lässt sich dieser nicht unter Web Protection auf das Feld "Zugelassene Netzwerke" ziehen :/
  • 0
    hi,

    das ist mit IP Adressbereichen so leider nicht möglich. Das einzige was du machen kannst ist eine Netzwerkgruppe anlegen in die du die einzelnen IP Adressen einzeln aufführst (dazu muss aber für jede IP ein Objekt bestehen) oder aber du splittest dein Netz in Teilnetze auf. Z.B. wenn dein DHCP Bereich 192.168.0.129 - 192.168.0.158 ist, kannst du ein Teilnetzobjekt anlegen 192.168.0.128/27.

    Warum man keinen IP Adressbereich dort anlegen oder reinziehen kann weiß nur Sophos selber.

    vg
    mod
  • 0
    Hm, okay - für 60 Objekte ist mir das ein wenig zu viel gemuddel.
    Wenn der WebProxy aktiviert ist, dürfen ja alle Clients im angegebenen Netz via Port 80 über den Proxy raus.
    Wäre es da nicht ein einfacher Workaround, wenn ich den Zugriff via HTTP/HTTPS für die Netzbereiche außerhalb der DHCP-Range via Firewall-Regel blocke?
  • 0 in reply to tr2D5nAzB2vF
    Das wird mit der PF-Regel nichts bringen, da der Proxy vorher greift.
    Kannst du das Netz splitten (entweder via SNM oder einfacher mit zweitem Interface oder VLAN, wenn der Switch mitspielt)?

    Wenn die UTM als VM (VMWare/Hyper-V/ProxMox) läuft, kannst du ja einfachst ein zusätzliches Interface generieren und via VLAN splitten.
  • 0
    Es gibt vielleicht einen Workaround. Glaube der wird von Sophos aber nicht empfohlen.
    Im WebProxy funktioniert er aber glaube ich. Sollte aber nirgendwo anders benutzt werden.

    Erstell Eine Netzwerkgruppe. In die Gruppe packst du deinen Bereich. Und den packst du dann in den Proxy. 

    Andere Möglichkeit die mir einfällt wäre das komplette interne Netz zu benutzen und über die Funktion Quellhosts/-Netze ausnehmen dann einfach wieder alle anderen Geräte die nicht im DHCP Bereich liegen vom Proxy ausnehmen (Haken für HTTP Verkehr zulassen ggfls. rausnehmen)
  • 0
    Da ich vermute, dass aufgrund der Beschreibung der Web Proxy im transparenten Modus betrieben wird, kann man auch die IPs / den auszuschliessenden Netzwerkrange einfach in die Transparent Source Skiplist reinnehmen, und den "Allow traffic for..." Haken bei dem Feature entfernen. Danach kannst Du für diesen Range normal mit Firewallregeln arbeiten (bzw. deren Webverkehr blocken).

    Aber den o.g. Ansatz mit dem separaten Proxy Profil finde ich trotzdem schicker...

    Funktionieren sollten aber beide Wege.
Unfiltered HTML