Posts by hgdrn

    Seit zwei Jahren läuft die EFW Community Edition auf einem HP ProLiant MicroServer Gen8, in dem nur eine kleine HDD (für reichlich Proxy-Cache) und eine zusätzliche PCIe-LAN-Karte gesteckt habe, um vier Netzwerk-Schnittstellen für Rot/Grün/Blau/Orange nutzen zu können. Benötigt so um die 20 Watt, er langweilt sich die meiste Zeit.

    Ich hatte einen Gedankenfehler: mein Fileserver braucht doch gar nicht zusätzlich ans grüne Netz angeschlossen werden, eine Schnittstelle für Blau reicht doch, an die Samba-Freigabe / den FTP-Server / youname it komme ich aus dem grünen Netz doch sowieso dran, der Weg steht ja standardmäßig offen.


    Wenn ich mir keinen Direktzugriff für mein Smartphone ins grüne Netz bohren will, dann stelle ich meine kleine Zwischenstation ins blaue Netz, lade vom Smartphone dorthin hoch und lade aus dem grünen Netz von dort herunter.


    Natürlich kann dann dort auch statt Samba oder FTP-Server auch eine Nextcloud laufen, klar.


    (Edit: Und natürlich könnte ich auch die Fotos direkt vom Smartphone herunterladen)

    Zustand: Endian Firewall Commuinity 3.3.0, vier Schnittstellen: Rot, Grün, Blau, Orange. An Blau hängt ein Access-Point und liefert Gäste-WLAN für mobile Geräte.


    Nun besteht bei einer vertrauenswürdigen Person (mir) gelegentlich der Bedarf, Fotos vom Android-Smartphone direkt per SMB auf einen Fileserver im grünen Netz zu kopieren. Blau -> Grün wird ja aus guten Gründen geblockt, und ich mag hier auch keine Löcher bohren und Erlaubnis-Firewallregeln nur für (m)eine MAC-Adresse erzeugen.


    Meine Idee: Ich habe hier noch einen unbenutzten, schnarchlangsamen Atom-Rechner mit zwei Schnittstellen herumliegen, der für Samba ausreichen würde. Diesen würde ich an eth0 an Blau und eth1 an Grün hängen und als Fileserver-Gateway verwenden wollen, sprich aus dem Gäste-WLAN kann ich dort etwas hinkopieren und aus Grün kann ich es dort abholen.


    Frage: Ist das eher so "Klar, kann man so machen" oder eher so "Ach herrjeh, kann man so machen, aber warum machst Du es denn nicht einfach auf diese Weise...?"


    Danke im Voraus für einen Tipp!

    Wenn jemand den transparenten Proxy umgehen möchte, dann blockt in die Firewall - dort lasse ich (wenn überhaupt) nur HTTPS/443 nach draußen durch.


    Das mit den MAC-Adressen ist eine guter Vorschlag, dank der Möglichkeit eine "Anmerkung" in "Ausgehende Firewallkonfiguration" kann man sich auch merken, um welches Gerät es geht. Bei den Proxy-Zugriffsrichtlinien gibt es solch ein Feld leider nicht.

    Moin Forum!


    Ich möchte eine veraltete Firewall-Appliance durch Endian 3.2.2 ersetzen und dabei folgende Voraussetzungen umsetzen: Rein soll nichts, raus soll aber auch so gut wie nichts, jedenfalls nichts was ich nicht ausdrücklich erlaube. Ich denke, ich habe einen Weg gefunden, bin mir aber als Neuling in Sachen Firewalls unsicher, ob das alles so schlau ist.


    Ausganssituation: Etwa drei Dutzend Netzwerkgeräte, von denen lediglich ein Dutzend "nach draußen" gelangen darf. Dieses Dutzend soll per HTTP/HTTPS surfen dürfen, zwei Rechner davon sollen auch noch E-Mailen dürfen. Die Mehrheit der Geräte besteht aus Linux-Servern, die regelmäßig Ihre Updates herunterladen, die ich über einen transparenten Proxy cachen möchte.


    So habe ich das umgesetzt bzw. folgendes habe ich nach der Standard-Installation mit RED+GREEN verändert:

    • In "Firewall/Ausgehender Datenverkehr" habe (bis auf "allow DNS" und "allow PING") alle grünen Haken entfernt sprich alle Regeln, die ausgehenden Verkehr für HTTP(S), FTP und E-Mail-Protokolle zulassen, deaktiviert.
    • In "Proxy/Konfiguration" habe ich den HTTP Proxy aktiviert, auf "transparent" geändert, beim Cache ein wenig aufgebohrt (auf 32768 MB = 32 GB Zwischenspeicher und 131072 KB = 128 MB maximale Objektgröße).
    • In "Proxy/Zugriffsrichtlinien" habe ich für Quelle "GREEN" und Ziel "ALLE" den "Zugriff verweigert"

    In diesem Moment kommt also niemand mehr raus (außer mit DNS und PING).


    Für die Rechner, die auf das Internet zugreifen dürfen, habe ich

    • (für HTTP) unter "Proxy/Zugriffsrichtlinien" an erster Position eine Zugriffsrichtlinie hinzugefügt, die der/den IP-Adresse(n) ungefilterten Zugriff auf Ziel "ALLE" erlaubt.
    • (für HTTPS) unter "Firewall/Ausgehender Datenverkehr" an erster Position eine Firewallregel hinzugefügt, die der/den IP-Adresse(n) Zugriff auf TCP/443 erlaubt. Analog an weiteren Positionen Zugriffserlaubnisse für E-Mail-Protokolle für die entsprechenden IP-Adressen.

    Funktioniert, der Aufwand hält sich in Grenzen (eine neue IP muss an zwei Stellen eingetragen werden), an den Clients muss nichts konfiguriert werden. Aber ist das auch so, wie "man das so macht"? ?( Oder gibt es einen eleganteren Weg? Eure Meinung dazu würde mich interessieren.


    Danke! :)