Fundstück: http://efwsupport.com/index.php?PHP2…g14338#msg14338
Proxy / DNS / Anti-Spyware: Deaktieren
Proxy / HTTP / Cache-Verwaltung: Cache löschen
Danach geht auch google.com wieder.
Erinnerung an mich selbst: Morgen die Anti-Spyware wieder aktivieren und schauen, ob es eine Fehlkonfiguration war oder ob der Fehler weiterhin besteht.
Dito heute morgen hier. Habe es zuerst gemerkt, da die Android-Smartphones sich merkwürdig verhielten, da die einen Connectivity-Check über google.com machen. Hatte gerade befürchtet, mir etwas eingefangen zu haben.
Dachte an den Proxy-Cache, habe den zuerst gelöscht und dann offline gesetzt, hat aber auch nichts genützt. https://www.google.de funktioniert, https://www.google.com nicht.
Hallo zusammen,
ich habe hier ein spezielles Problem, bei dem ich mit meinem Latein am Ende bin und für einen Tipp dankbar wäre. Ich habe hier einen Linux-Server mit einer VirtualBox (VirtualBox). Server und damit auch die VM möchte ich im blauen Netz betreiben, um Zugriffe aus der VM ins grüne Netz zu verbieten. Die VM läuft im Bridged Mode, sowohl Server als auch VM habe eine statische IP-Adresse. Von einem Windows-Arbeitsplatz aus dem grünen Netz soll schließlich auf die VM zugegriffen werden.
ping/ssh von Server (blau) auf VM (blau): klappt (ok)
ping/ssh von VM (blau) auf Server (blau): klappt (ok)
ping/ssh von Windows (grün) auf Server (blau): klappt (ok)
ping/ssh von Windows (grün) auf VM (blau): klappt nicht (???) 
Es gibt keine Firewall-Regel, die den Zugriff von grün auf blau unterdrücken könnte (Windows auf Server klappt ja auch).
Ich sehe im Firewall-Log nichts, was auf ein filtern von Paketen Richtung Paketen hinweisen würde - oder ich sehe diese einfach nicht.
Hänge ich den Host und die VM in die grüne Zone (statische IP-Adressen entsprechend angepasst), funktioniert alles problemlos.
Ich frage mich, ob das nun eher eine Konfigurationssache in der Endian Firewall ist, oder ob das ein Problem von VirtualBox und seinen virtuellen Netzwerkkarten ist? 
Frohes neues Jahr allerseits!
Folgende Situation: Am Internet hängt erst eine FritzBox, dahinter die Endian-Firewall mit Rot+Grün+Blau+Orange. Rot, Grün und Blau werden bereits genutzt. Feste IP-Adresse ist vorhanden, FritzBox kann nicht weggelassen werden (ist halt so). Orange wird bisher nicht genutzt, aber nun möchte ich einen Webserver von außen erreichbar machen. Lösung: Portfreigabe in der FritzBox einrichten, Portfreigabe in der EFW einrichten: läuft, alles prima.
Andererseits kam mir spätestens beim Einrichten der (zunächst vergessenen) Portfreigabe in der FritzBox der Gedanke, warum ich diesen Webserver denn überhaupt an die EFW/Orange anschließen sollte und nicht gleich als Exposed Host an der FritzBox?
| a) | "Böses Internet" | --> FritzBox | --> EFW (Orange) | --> Webserver |
| b) | "Böses Internet" | --> FritzBox | --> EFW --> Webserver |
Meine Fragen gehen in Richtung Sicherheit, sprich für den Fall "Was wäre wenn der Webserver irgendwie gehackt würde?". Wenn der direkt an der FritzBox hinge, wäre er ja aus Sicht der EFW im roten Teil sprich außerhalb. Wenn er aber an Orange hinge, wäre er ja bereits in der DMZ hinter der EFW.
Frage: Welche Vor- und Nachteile bringt es aus Eurer Sicht mit, den Server direkt an der FritzBox zu betreiben (b), welche Vor- und Nachteile den Server in der DMZ/Orange zu betreiben (a)?
Ich hoffe, Ihr habe verstanden, worauf ich hinaus will. Herzlichen Dank!
Seit zwei Jahren läuft die EFW Community Edition auf einem HP ProLiant MicroServer Gen8, in dem nur eine kleine HDD (für reichlich Proxy-Cache) und eine zusätzliche PCIe-LAN-Karte gesteckt habe, um vier Netzwerk-Schnittstellen für Rot/Grün/Blau/Orange nutzen zu können. Benötigt so um die 20 Watt, er langweilt sich die meiste Zeit.
Ich hatte einen Gedankenfehler: mein Fileserver braucht doch gar nicht zusätzlich ans grüne Netz angeschlossen werden, eine Schnittstelle für Blau reicht doch, an die Samba-Freigabe / den FTP-Server / youname it komme ich aus dem grünen Netz doch sowieso dran, der Weg steht ja standardmäßig offen.
Wenn ich mir keinen Direktzugriff für mein Smartphone ins grüne Netz bohren will, dann stelle ich meine kleine Zwischenstation ins blaue Netz, lade vom Smartphone dorthin hoch und lade aus dem grünen Netz von dort herunter.
Natürlich kann dann dort auch statt Samba oder FTP-Server auch eine Nextcloud laufen, klar.
(Edit: Und natürlich könnte ich auch die Fotos direkt vom Smartphone herunterladen)
Zustand: Endian Firewall Commuinity 3.3.0, vier Schnittstellen: Rot, Grün, Blau, Orange. An Blau hängt ein Access-Point und liefert Gäste-WLAN für mobile Geräte.
Nun besteht bei einer vertrauenswürdigen Person (mir) gelegentlich der Bedarf, Fotos vom Android-Smartphone direkt per SMB auf einen Fileserver im grünen Netz zu kopieren. Blau -> Grün wird ja aus guten Gründen geblockt, und ich mag hier auch keine Löcher bohren und Erlaubnis-Firewallregeln nur für (m)eine MAC-Adresse erzeugen.
Meine Idee: Ich habe hier noch einen unbenutzten, schnarchlangsamen Atom-Rechner mit zwei Schnittstellen herumliegen, der für Samba ausreichen würde. Diesen würde ich an eth0 an Blau und eth1 an Grün hängen und als Fileserver-Gateway verwenden wollen, sprich aus dem Gäste-WLAN kann ich dort etwas hinkopieren und aus Grün kann ich es dort abholen.
Frage: Ist das eher so "Klar, kann man so machen" oder eher so "Ach herrjeh, kann man so machen, aber warum machst Du es denn nicht einfach auf diese Weise...?"
Danke im Voraus für einen Tipp!
Wenn jemand den transparenten Proxy umgehen möchte, dann blockt in die Firewall - dort lasse ich (wenn überhaupt) nur HTTPS/443 nach draußen durch.
Das mit den MAC-Adressen ist eine guter Vorschlag, dank der Möglichkeit eine "Anmerkung" in "Ausgehende Firewallkonfiguration" kann man sich auch merken, um welches Gerät es geht. Bei den Proxy-Zugriffsrichtlinien gibt es solch ein Feld leider nicht.
Niemand hier oder niemand eine Meinung?
Moin Forum!
Ich möchte eine veraltete Firewall-Appliance durch Endian 3.2.2 ersetzen und dabei folgende Voraussetzungen umsetzen: Rein soll nichts, raus soll aber auch so gut wie nichts, jedenfalls nichts was ich nicht ausdrücklich erlaube. Ich denke, ich habe einen Weg gefunden, bin mir aber als Neuling in Sachen Firewalls unsicher, ob das alles so schlau ist.
Ausganssituation: Etwa drei Dutzend Netzwerkgeräte, von denen lediglich ein Dutzend "nach draußen" gelangen darf. Dieses Dutzend soll per HTTP/HTTPS surfen dürfen, zwei Rechner davon sollen auch noch E-Mailen dürfen. Die Mehrheit der Geräte besteht aus Linux-Servern, die regelmäßig Ihre Updates herunterladen, die ich über einen transparenten Proxy cachen möchte.
So habe ich das umgesetzt bzw. folgendes habe ich nach der Standard-Installation mit RED+GREEN verändert:
In diesem Moment kommt also niemand mehr raus (außer mit DNS und PING).
Für die Rechner, die auf das Internet zugreifen dürfen, habe ich
Funktioniert, der Aufwand hält sich in Grenzen (eine neue IP muss an zwei Stellen eingetragen werden), an den Clients muss nichts konfiguriert werden. Aber ist das auch so, wie "man das so macht"? 
Oder gibt es einen eleganteren Weg? Eure Meinung dazu würde mich interessieren.
Danke! 
