Komplettes Internet sperren

    Ich würde gerne mit Hilfe meiner Endian kontrollieren wer bei mir ins Internet gehen darf. Meine Idee dazu war bei „ausgehender Firewall“ erst mal eine Regel zu erstellen das niemand nach außen darf und dann bestimme MAC Adressen zu erlauben. Leider scheitere ich schon daran das Internet Komplet zu verbieten. Ich habe eine Regel erstellt:

    Quelle -> alle
    Ziel ->Uplink
    Dienst -> alle
    Aktion ->zurückweisen

    Trotz dieser Regel haben alle angeschlossen Clients weiterhin Internet. Ich weis das man das Surfen auch über den Proxy verbieten kann allerdings möchte ich das gesamte Internet verbieten inkl. Pop3, imap und sämtlicher anderer Dienste.
    Was mache ich falsch?

    Vielen dank für eure hilfe

    Hallo,

    in der Endian musst du dafür lediglich die ausgehende Firewall aktivieren und alle Standardregeln deaktivieren. Bei aktivierter ausgehender Firewall ist rauswärts alles verboten, was nicht explizit erlaubt wurde. Dann musst du noch beachten, dass der Proxy Server auf "nicht transparent" steht. Das bedeutet, dass die Clients den Proxyserver in den Einstellungen hinterlegt haben müssen um eine Verbindung aufbauen zu können. Beim Transparent Modus können die Clients ohne Proxy Einstellungen surfen. Wie du schon selbst gesagt hast, wäre es allerdings besser wenn die Clients über den Proxy surfen, da es einfach sicherer ist. Außerdem kannst du nur über den Proxy nach Viren / unerwünschten Inhalten filtern!

    Gruß Matze

    Erstmals vielen Dank für eure Hilfe!!!

    Das Problem was ich nicht erkannt habe war das Surfen (Port 80) bei aktiviertem Proxy anscheinend nicht über die ausgehende Firewall läuft.
    Surfen ist möglich obwohl alles Ausgehende verboten ist. Alles anderen Ports werden geblockt. Wenn man das weiß ist das kein Problem. Einfach
    die MAC Adressen in die Firewall und in den Proxy eintragen.
    Nun habe ich leider das nächste Problem. Ich habe in der ausgehenden Firewall eine Regel erstellt die alles Blockt.
    Folgende Einstellungen:

    Quelle -> alle
    Ziel ->Uplink main
    Dienst -> alle
    Aktion ->zurückweisen

    Außerdem habe ich dann eben noch eine Regel die freigegebenen MACs alles erlaubt. Das Problem ist nur das nach meinem Verständnis auch Rechner die nicht in der Firewall freigegeben sind im
    internen LAN Zugriff auf alles haben müssten. Leider haben sie das nicht. Gibt es noch eine andere Stelle an der ich etwas einstellen muss um die interne Kommunikation zu ermöglichen.

    Hallo Daniel,

    das Surfen geht bei dir automatisch über den Proxy, da er bei dir wahrscheinlich auf "transparent" eingestellt ist. Wenn du ihn auf "nicht transparent" stellst, können nur Clients surfen die den Proxy in dem Webbrowser hinterlegt haben. In dem Webbrowser kannst du dann auch die internen Adressen eingeben für die der Proxy umgangen werden soll z.Bsp. IP-Adresse des Intranet-Servers. Wie gestern schon gesagt, brauchst du keine Regel erstellen, die alles verbietet. Die ausgehende Firewall verbietet automatisch alles, was nicht expliziet erlaubt wurde! Da das Surfen über den Proxy wesentlich sicherer für das gesamte Netzwerk ist, würde ich mit den ausgehenden erlaubten Regeln wirklich sparsam umgehen und versuchen, das meiste über den Proxy laufen zu lassen. Für den Proxy musst du übrigens keine Regel in der ausgehenden Firewall erstellen. Er hat intern automatisch Zugriff. Die User die über den Proxy surfen dürfen gibst du dann in diesem selber frei!

    Gruß Matze!