Ausgehende Firewall - Internet "komplett" Sperren

1. offizieller Beitrag

    Hallo,

    ich möchte über die Ausgehende Firewall das Internet Sperren, was eigentlich auch möglich ist.
    Wenn ich jetzt aber einer IP zugriff auf HTTP erlaube und dieser z.B. sich in ICQ einloggt und sich Webradio anhört und diese Rechte ihm dann weg nehme.
    Kann dieser Trotzdem weiter Webradio hören und im ICQ chatten, wie ist es möglich dies zu unterbinden ?

    Wir hatten auf unseren bisherigen LANpartys immer IPCop im einsatz, waren aber ende nicht mehr damit zufrieden.
    Wäre schön wenn mir da jemand helfen könnte :)

    Eigentlich müsste man ja eher den Eingehenden Verkehr Sperren allerdings funktioniert dies auch nicht :(

    Das Problem ist nicht die Regel die dann alles sperrt, sondern die bestehenden Verbindungen.

    Bestehende Sessions bleiben von den Änderungen der Rules ausgenommen, weil die Firewall Stateful Inspection macht. Und solange die Session aktiv ist (Webradio Stream oder ICQ) die Rule nicht greift. Würde der Anwender Webradio beenden und neu starten wird auch die Session neu aufgebaut und die Rules der Firewall überprüft und entsprechend die Verbindung nicht erlaubt.

    Du kannst auf der Konsole der Firewall conntrack -f eingeben. Dann werden alle Connection Tabes gelöscht. Somit muss die Firewall anhand der Verbindungen "neu lernen" und dann werden die Rules auch wieder angewendet.

    Das habe ich mal im Bugtracker bemängelt. Es gibt ja genug Firewalls die das korrekt umsetzen können und bestehende Verbindungen dann auch verbieten. Das wurde dann mit "Zuviel Aufwand" "Performance Gründe" und und und abgetan.

    Endian wird sich schon anstrengen müssen um nicht auf der Strecke zu bleiben....

    Bugs werden sehr lange nicht bearbeitet. Releases kommen viel zu selten. Funktionen (QoS) die schon seit knapp 2 Jahren nicht funktionieren werden nicht in Ordnung gebracht, .... Schade um das gute System....

    Sehr schade das die firewall in dem Bereich nicht überarbeitet wird.
    Durch die Eingabe von conntrack -f bekommen aber alle User/Clients einen disconnect ?

    Hallo Sabine,
    mir geht es nicht darum etwas durchgehend zu sperren.

    Wir brauchen eine Firewall wo wir bestimmte ports für eine ip freigeben .. diese werden aber nur auf anfrage geöffnet und nach einer gewissen Zeit geschlossen. Beim Schließen soll aber der komplette Port für die ip gesperrt werden .. und nicht das man z.b. webradio weiter hören kann

    • Offizieller Beitrag

    Ok,
    das geht leider nicht :(:(

    Wie du schon gemerkt hast läuft der Verkehr weiter bis ihn der User trennt,
    erst bei einem Neustart geht nichts mehr durch.

    Schau mal hier:
    https://www.efw-forum.de/www/forum/view…lit=fanti#p6444

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Zitat

    diese werden aber nur auf anfrage geöffnet und nach einer gewissen Zeit geschlossen

    Auch das war mal ein Wunsch von mir (zeitbasierte Rules). Weil iptables kann das per Default.
    Leider liegt das bei Endian auch schon seit mehr als 1 Jahr auf Halde....

    Hi nochmal ;)

    auch das wäre leider nicht möglich, da andere User das Internet für Turniere benötigen.. einige Spiele setzen vorraus das man eine verbindung ins internet hat, z.B. Starcraft 2 braucht zugriff zum Battlenet .. würden in dem Moment wo ich eine Zwangstrennung durchführe, Leute im Turnier hängen, wären die wohl sehr verärgert ..

    Da werd ich mich wohl bei anderen Firewalls umsehen müssen :(

    Und da bist du dir so sicher ? :)
    Das Problem ist, das ich da bissl Probleme hab mit dem durchsteigen..

    Aber hier ist ja nunmal das Forum für die Endian Firewall und nicht für pfsense ;)+

    edit: sorry für "Off-Topic"

    Aber Pfsense lässt genauso die Session weiter laufen .. es gibt zwar die möglichkeit diese Manuell von Hand zu killen -> zuviel Aufwand
    Gibt es auch eine möglichkeit diese Automatisch killen zu lassen ?
    Habe beide Versionen ausprobiert