transparenter proxy filter keinen Inhalt

flomow · July 8, 2011 at 10:41 PM

Hi,
ich habe ein Problem:

habe für das Grüne Netzwerk einen nicht-Transparenten Proxy angelegt mit nutzerbasierten auth + Inhaltsfilter.
Das funktioniert sehr gut!

Zusätzlich wollte ich nun für BLAU einen transparenten Proxy anlegen nur mit Inhaltsfilter. Auch wenn ich das gleiche Profil content2 wie beim GREEN nutze filtert der proxy gar nix (auch nicht in der blacklist explizit angegebene domains).

Was mache ich falsch?
(Im GREEN ist die firewall auf port 80, 443 zu, in BLUE offen - ist das richtig so?)

Danke flomow

Sabine · July 9, 2011 at 12:10 PM Official Post

Moin,
wenn du den Port 80 auf hast nehmen die Clients natürlich nicht den Transparenten Proxy sonder gehen gleich auf Port 80 raus.
Also erstmal Port 80 und 443 zu und dann noch mal testen.

Gruß Sabine

flomow · July 10, 2011 at 1:42 PM

Hi Sabine,
danke für Deine Antwort.
Das klappt aber leider gar nicht. Ich dachte (und denke) der Sinn, den proxy auf transparent zu stellen, wäre, die ports 80 & 443 offen lassen zu können, da sich der transparente proxy genau dort mit "reinhängt". sonst ist der proxy ja eben NICHt transparent (wie zum Beispiel im GREEN auf 8080).

Viele Grüße, florian

Sabine · July 10, 2011 at 9:03 PM Official Post

Hallo,
warum sollte jemand über deinen Proxy gehen und sich deinen Restriktionen unterwerfen wenn er auch auf Port 80 raus kann. Ich würde immer nur die Ports öffnen die du brauchst.
Die Contentfilter hat nicht funktioniert weil die Clients auf Port 80 raus sind.
Hast du im Browser der Client mal versucht auf „ Automatische Erkennnung „ umzustellen ?
Hast du mal versucht für das Blaue Netz einen eigenen Contentfilter.
Hast du für die Interne Zone Regeln erstellt ?
Kann das leider hier zur Zeit nicht testen, weil ich hier in meine Kiste keine dritte Netzwerkkarte einbauen kann

Gruß Sabine

flomow · July 11, 2011 at 2:34 PM

Hey,
danke für die Antwort.

Habe das ganze nochmal neu installiert und aus irgendeinem Grund klappt es jetzt.

Nochmal zu dem Proxy-Modus transparent (wikipedia):

Quote

Ein „Transparenter Proxy“ besteht grundsätzlich aus zwei Komponenten. Zunächst werden am Router die gewünschten Ports der Protokolle abgegriffen (beispielsweise über Iptables unter Einsatz eines Redirects) und dann an einen Proxy weitergeleitet. Für den Anwender ist die Verbindung über einen transparenten Proxy in der Benutzung nicht von einer direkten Verbindung über den Router zu unterscheiden. Das Vorhandensein eines transparenten Proxys bietet daher den Nutzen, dass eine Konfiguration der Proxyeinstellungen am einzelnen PC unterbleiben kann

Die Ports 80 & 443 bleiben offen und der Proxy schaltet sich automatisch und unsichtbar drauf (hat mittlerweile fast jeder Internetprovider). Authetifizierung ist dann natürlich nicht so einfach möglich.....

Grüsse, Flomow

Sabine · July 12, 2011 at 8:08 AM Official Post

Moin,
das ist Richtig, aber alle möglichen Programme gehen dann auf den offenen Ports raus.
Von Skype über Fileshering bis zu Trojaner und Programmen die gerne ständig nach Hause telefonieren und vieles mehr.

Gruß Sabine

mfrank · December 16, 2011 at 10:46 AM

Hy,

habe im mom eine alten Rechner zum Testen der Firewall aufgestzt. Nutze an dem nur Rot und Grün mit 1 Rechner an grün
Standard Inhaltsfilter bearbeitet auf die gewünschten Einstellungen (Pornografie, Drogen, Gewalt und zus. per Blacklist http://www.pxxn.com (nur hier die "x" in Liste natürlich Ori Name der Domain) und Proxy auf Transparent.
Client steht auf Einstellungen autom. Erkennen.
Komme weiterhin auf http://www.pxxn.com drauf.
Muß ich nun in Firewall den Port 80 und 443 sperren damit Proxy greift ? Ist doch eigentlich nicht Sinn und Zweck des Transparenten Proxi.

Sabine · December 16, 2011 at 10:58 AM Official Post

Ich würde den Port 80 und 443 auf jeden Fall sperren !
Es gibt ja auch noch andere Programme die den Port 80 und 443 lieben !

mfrank · December 16, 2011 at 11:10 AM

Hallo Sabine,

das ging ja mal wieder suprerschnell !

Bin gerade dabei das umzustellen und den Proxy zu testen.
Wie schon gesagt das ist erstmal nur ein Testsystem um mich in die EFW einzuarbeiten da ich immer noch mit der HW-Suche beschäftigt bin.

Gebe gleich bescheid ob es dann klappt

mfrank · December 16, 2011 at 11:18 AM

So...
in FW Regel 1und1 deaktiviert
Internet geht
http://www.pxxn.com geht auch... :nerv:

was mache ich nur falsch ?

ffischer · December 16, 2011 at 11:35 AM Official Post

moin,
wie hast du bei Blacklist die Domain eingetragen?

http://www.pxxn.com
oder
http://www.pxxn.com
oder
pxxn.com

korrekt ist "pxxn.com"
Damit wird die kompette Domain gesperrt.

Sabine · December 16, 2011 at 11:35 AM Official Post

Hast du unter Zugriffsrichtlinien den Inhaltsfilter auch aktiviert ?

mfrank · December 16, 2011 at 11:42 AM

Eingetragen als http://www.pxxn.com

ist aktiviert

ffischer · December 16, 2011 at 11:47 AM Official Post

mach mal das www. weg.
steht was in den Protokollen?
werden überhaupt seiten rausgefiltert?

mfrank · December 16, 2011 at 11:51 AM

Habe gerade Firewallrener nochmal komplett neu gebootet und jetzt gehts....

Danke für die schnelle und kompetente Hilfe

Sabine · December 16, 2011 at 1:49 PM Official Post

Das www musst du immer weglassen !

Also:
.
wer-kennt-wen.de
studivz.net
bild.de

mfrank · December 16, 2011 at 2:40 PM

Werde ich mir merken.

Geht jetzt übrigens auch ohne seperaten eintrag in BL und läuft auch transparent ohne geblocken Port 80 und 443.

Scheinbar wurde Einstellung nicht sauber gespeichert, hat wohl nen Neustart gebraucht...warum auch immer.

Sabine · December 16, 2011 at 2:57 PM Official Post

Ich würde trotzdem alle Ports die du nicht brauchst zumachen ! !
Insbesondere Port 80 und 443 !
Sonst macht die Firewall ja gar keinen Sinn !!

mfrank · December 16, 2011 at 4:08 PM

Das ist logisch, hab auch wieder zu gemacht, hatte mich nur interresiert ob der Proxy/Inhaltsfilter auch funktioniert wenn Port 80 auf ist.

Ne Firewall mit allen Ports offen mach kein Sinn,