IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 22.10.2017, 13:48

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Proxy und Firewalleinstellungen
BeitragVerfasst: 17.10.2014, 10:12 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 96
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
Ich möchte, dass grundsätzlich alle Rechner im meinem grünen Netzwerk den Proxyserver benutzen, bei dem Anwender sich lokal authentisieren muss ("Proxypflicht").
Die Proxy-Einstellungen werden in den Browsern der jeweiligen Rechnern eingetragen. Alle Rechner erhalten vom IPCop-DHCP eine Adresse; das Standardgateway ist wie üblich die grüne Netzwerkkarte des IPCop.

Gelegentlich muss aber einem bestimmten Rechner erlaubt werden, den Proxy zu umgehen, ohne dass die Proxypflicht für alle anderen Rechner aufgehoben wird.

Die Grund-Konfiguration meiner Firewall ist:
GRÜN: geschlossen
ROT: geschlossen

Bei den Firewallregeln 'Zugriff auf IPCop' sind für das grüne Netzwerk offen:
- dhcp
- http
- ntp
- proxy
- dns

Wenn ich nun bei 'Ausgehender Traffic' diesem einen Rechner (IP) erlaube, alle Ziele und alle Dienste zu nutzen ('Ziel' --> Any), dann können plötzlich alle anderen Rechner im Netz den Proxy umgehen, vorausgesetzt deren Einstellung im Browser wird entsprechend angepasst ('Kein Proxy').
Das gleiche passiert, wenn dem Rechner der Zugriff nur auf einen bestimmten Dienst erlaubt wird, wie z.B. 'Ziel' --> Any : http'.

Woran liegt das und wie kann ich diese Symptomatik verhindern?

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
 Betreff des Beitrags: Re: Proxy und Firewalleinstellungen
BeitragVerfasst: 17.10.2014, 10:39 
Offline
Thread-Maintainer
Thread-Maintainer
Benutzeravatar

Registriert: 22.09.2006
Beiträge: 309
Hallo blumi,

zum einen ist mir aufgefallen das du bei Zugriff auf IPCop http mit angegeben hast. Warum?
Zu deinem Problem würde ich aus dem Bauch herraus sagen das es noch eine zweite Regel gibt,
in der http für Grün freigegeben wird. Evtl. ist der Port in eine Dienstgruppe mit reingerutscht.
Ansonsten würde ich deine Zugriff auf IPCop Regel deaktivieren und die Richtlinie für Grün von Geschlossen auf Halb offen stellen.
Kommt auf gleiche raus. Nur das keine ungewollten Ports mit in die Dienstgruppe rutschen können.

MfG
kaschuppke

_________________
Wer Zeit findet darf Sie behalten

Bild Bild Bild Bild


Nach oben
   
 Betreff des Beitrags: Re: Proxy und Firewalleinstellungen
BeitragVerfasst: 17.10.2014, 11:18 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 96
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
kaschuppke hat geschrieben:
...
zum einen ist mir aufgefallen das du bei Zugriff auf IPCop http mit angegeben hast. Warum?
Zu deinem Problem würde ich aus dem Bauch herraus sagen das es noch eine zweite Regel gibt,
in der http für Grün freigegeben wird.
...

Ich habe den Fehler gefunden!

Der freigegebene Rechner wurde per IP definiert.
Dabei habe ich die Netzwerkmaske leider falsch gesetzt (255.255.255.0 statt 255.255.255.255).
Damit ist das ganze grüne Netzwerk mit 'durchgerutscht'.
Gefunden habe ich das dann über Status -> iptables -> FW_Outgoing
Dort stand dann ganz oben die ACCEPT-Regel für alle Protokolle im gesamten grünen Netz.
Vielleicht ist es ungefährlicher, statt einer IP die MAC-Adresse des Rechners zu verwenden ...

Der http-Dienst auf dem IPCop benötige ich, weil der Webserver des IPCop auf Port 81 die wpad.dat Datei für die automatisierte Proxyeinstellung bei der IP-Vergabe per DHCP mitliefert.

Danke für die Anregung!

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
 Betreff des Beitrags: Re: Proxy und Firewalleinstellungen
BeitragVerfasst: 17.10.2014, 11:22 
Offline
Thread-Maintainer
Thread-Maintainer
Benutzeravatar

Registriert: 22.09.2006
Beiträge: 309
Da ist das Wochenende ja gerettet. 8-)

MfG
kaschuppke

_________________
Wer Zeit findet darf Sie behalten

Bild Bild Bild Bild


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de