IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 21.10.2017, 23:01

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 10 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Port 80 sperren
BeitragVerfasst: 16.05.2017, 11:23 
Offline
Constable
Themenstarter
Constable

Registriert: 03.08.2005
Beiträge: 31
Wohnort: Engelskirchen
Hallo,
Ich habe in den Firewallregeln zuerst eine Regel erstellt die jeden Verkehr blockiert. Danach habe ich die Ports die benötigt werden über eine
eigene Regel wieder freigegeben. Das funktioniert auch alles super.

Jetzt ist mir aufgefallen das Port 80 immer funktioniert, auch wenn ich Ihn NICHT über eine eigene Regel freigebe.
Ist das so gewollt oder warum greift die "deny all" Regel von Grün auf Rot nicht ?


Gruß Christian


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 16.05.2017, 21:56 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1035
Wohnort: an der Oder
Hast du den Proxy aktiviert?

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 17.05.2017, 09:25 
Online
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 788
sauerländer hat geschrieben:
Hallo,
Ich habe in den Firewallregeln zuerst eine Regel erstellt die jeden Verkehr blockiert.
siehe Standardeinstellung für die Firewall ...muss man nix selebr erstellen
Zitat:

Danach habe ich die Ports die benötigt werden über eine
eigene Regel wieder freigegeben. Das funktioniert auch alles super.

Jetzt ist mir aufgefallen das Port 80 immer funktioniert, auch wenn ich Ihn NICHT über eine eigene Regel freigebe.
Ist das so gewollt oder warum greift die "deny all" Regel von Grün auf Rot nicht ?

Gruß Christian

Könnte es sein (??) das du diesen Weg gar nicht benutzt ? sondern auf die "dumme Idee" gekommen bist, stattdessen einen Proxy zu verwenden ? (den "eingebauten" Squid)

Fred


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 17.05.2017, 09:50 
Offline
Constable
Themenstarter
Constable

Registriert: 03.08.2005
Beiträge: 31
Wohnort: Engelskirchen
Genau das habe ich gemacht ! Ich verwende den Web-Proxy (transparent, auf Port 8080) und habe auf allen Netzwerkrechner den IPCOP als Proxy im Browser eingetragen.
Der Hintergrund ist, das ich HTTPs Seiten filtern möchte (Was auch super funktioniert).

Jetzt habe ich auch gesehen das genau an dieser Stelle in den erweiterten Optionen der Port 80 als erlaubt eingetragen ist !

Aber warum ist die Idee "dumm" :denk: ?


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 17.05.2017, 13:19 
Offline
Inspector
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 96
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
sauerländer hat geschrieben:
Genau das habe ich gemacht ! Ich verwende den Web-Proxy (transparent, auf Port 8080) und habe auf allen Netzwerkrechner den IPCOP als Proxy im Browser eingetragen.
Der Hintergrund ist, das ich HTTPs Seiten filtern möchte (Was auch super funktioniert).

So ganz 'transparent' scheint der Proxy doch nicht zu laufen, wenn Du die Proxydaten bei den Clients eintragen musst.
Wenn Du den IPCop auch als DHCP-Server betreibst, kannst Du mittels WPAD diese Daten automatisch an die Clients verteilen.

sauerländer hat geschrieben:
Jetzt habe ich auch gesehen das genau an dieser Stelle in den erweiterten Optionen der Port 80 als erlaubt eingetragen ist !

Aber warum ist die Idee "dumm" :denk: ?

Der Proxydienst macht eine Art NAT, d.h. er packt sich alle Pakete, die auf dem Standardport 80 kommen und leitet sie zu seinem internen Port z.B. 8080 weiter. Die Pakete werden vor der Weiterleitung nach den eingestellten Proxyregeln 'behandelt'.

Wenn der Proxy transparent läuft, dann siehst Du diese Regel in den Firewalleinstellungen (leider) nicht.
Das gleiche Problem habe ich mit dem squid in pfSense.

Zur Thematik HTTPS über squid hier noch ein empfehlenswerter Link: http://wiki.squid-cache.org/Features/HTTPS

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 17.05.2017, 14:29 
Offline
Constable
Themenstarter
Constable

Registriert: 03.08.2005
Beiträge: 31
Wohnort: Engelskirchen
Der Proxy läuft schon transparent, aber ich zwinge durch die manuell eingetragenen Proxy Einstellungen im Browser alle HTTPS Anfragen durch den URL Filter wo diese mit der Shalla Blacklist verglichen werden. So fliegen auch die ganzen Facebooks und Co sicher raus.....


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 17.05.2017, 15:52 
Offline
Inspector
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 96
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
sauerländer hat geschrieben:
Der Proxy läuft schon transparent, aber ich zwinge durch die manuell eingetragenen Proxy Einstellungen im Browser alle HTTPS Anfragen durch den URL Filter wo diese mit der Shalla Blacklist verglichen werden. So fliegen auch die ganzen Facebooks und Co sicher raus.....

Wenn Du die Proxydaten bei den Clients einträgst, dann handelt es sich eben nicht um einen transparenten Modus.
Dieser bedeutet, dass der squid ohne jegliche Einträge in den Clients den gesamten Verkehr von Port 80 auf sich leitet.
HTTPS-Traffic (Port 445) läiuft leider am transpartenten squid vorbei.
Erscheinen Blockmeldungen auf deinen Clients, wenn https-Seiten aufgerufen werden?

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 18.05.2017, 08:52 
Offline
Constable
Themenstarter
Constable

Registriert: 03.08.2005
Beiträge: 31
Wohnort: Engelskirchen
Die Blockmeldung (vom COP) erscheint nicht, aber die Anfrage der HTTPS Seite läuft ins Leere. Und es laufen auch nur die HTTS Anfragen ins Leere, die in der
Shalla Blacklist stehen.

Irgendwie hab ich das Gefühl diese (zwar funktionierende) Lösung zur Filterung von HTTPS Seiten Lösung ist schei......


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 18.05.2017, 13:03 
Offline
Inspector
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 96
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
sauerländer hat geschrieben:
Die Blockmeldung (vom COP) erscheint nicht, aber die Anfrage der HTTPS Seite läuft ins Leere. Und es laufen auch nur die HTTS Anfragen ins Leere, die in der
Shalla Blacklist stehen.

Irgendwie hab ich das Gefühl diese (zwar funktionierende) Lösung zur Filterung von HTTPS Seiten Lösung ist schei......


Wenn die squid-Fehlermeldung nicht erscheint, ist es wahrscheinlich die Firewall, welche die Weiterleitung der Pakete blockt.

Du solltest die Logdateien überprüfen.
Und zwar von squid, squidguard und der Firewall.
Ggf. musst Du das Logging für diesen Zweck einschalten.

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
 Betreff des Beitrags: Re: Port 80 sperren
BeitragVerfasst: 18.05.2017, 14:27 
Online
Chief Superintendent
Chief Superintendent

Registriert: 09.06.2006
Beiträge: 788
Hallo,
du hast nicht verraten - was für eine Regel du erstellt hast (für welche CHAIN).

Und " von ROT auf GRÜN" sowieso nicht ... ! Wie kommt einer bloss auf die komische Idee FORWARD ( ROT <--> GREEN ) zu blocken ?... wenn er den Kram stattdessen erst mal zum Proxy schickt.. also völliger anderer Paketweg.

Fred


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 10 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de