Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3281 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Content Filter: 2 Netzwerke mit unterschiedlichem Contentfilter

onkelnatas
Guten Tag zusammen

Habe einen speziellen Kunden, respektive 2 welche sich einen Astaro 220 HA teilen. In diesem ist eine gemeinsame DMZ und je ein LAN für die 2 Kunden eingerichtet. Der Web-Proxy ist auf Transparent geschaltet und beinhaltet einen gemeinsamen Contentfilter + Virus-Checks.

Nun beginnen sich die Ansprüche der Kunden weiter zu entwickeln:
Sie wünschen sich je einen eigenen Content-Filter.

Da ich jedoch nur gemeinsame Conten-Filter erfassen und per Ausnahme diesen nur komplett auf einen LAN deaktivieren kann, muss nun das Ganze überarbeiten.

Meine Idee:
Astaro in beide AD intergieren (1mal per LDAP, 1mal per Radius).
Profile einrichten mit unterschiedlichen Content-Filtern und den http-Proxy auf "Transparent mit Auth." umschalten.

Könnt ihr mir sagen ob a) diese Lösung konzeptionell richtig ist und b) es evtl. einfach ginge?

Vielen Dank für Eure Mithilfe und Gruss

nataS


This thread was automatically locked due to age.
  • 0
    wesentlich einfacher: proxy profiles - damit kannst du die gesamte filterdefinition an ein netzwerk binden, sollte genau das sein, was du suchst
    gruss
  • 0 in reply to AMros
    wesentlich einfacher: proxy profiles - damit kannst du die gesamte filterdefinition an ein netzwerk binden, sollte genau das sein, was du suchst
    gruss


    Danke für die Antwort. Diese Möglichkeit hab ich auch angeschaut.
    Jedoch kann bei den Filter Assignments kein Netzwerk, sondern nur Benutzer angegeben werden und diese brauch ich ja bei den Proxy-Profilen.

    Gibt es da einen Trick?

    update:
    Hab unterdessen folgendes konfiguriert:
    je 1 Filter Aktion mit den entsprechenden Kategorien + Virusscan
    je 1 Profil mit den entsprechenden Netzwerken, Filter Assignment auf default + Fallback auf das entsprechende Filter
    Unter Web-Sec --> HTTP/S-->Gobal die beiden Netzwerke unter allowed gelöscht

    Im Log hab ich nun folgendes (test via Partner1 cx-server)
    [HTML]SGUW-1 httpproxy[12980]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="IP(intern)" user="" statuscode="301" cached="0" profile="REF_KsawFEQaOG (Profil1)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="177 ms" request="0x883d810" url="http://search.live.com/results.aspx?q=www.google.ch&src=IE-Address" exceptions="" error="" category="145" reputation="trusted" categoryname="Search Engines" [/HTML]

    Leider ruscht er mir immer wieder in die default Regel, obwohl ich die NW unter Global rausgelöscht habe.

    Bin um jeden Input froh...
  • 0 in reply to onkelnatas
    die user im assignment bleiben unbenutzt, also leer; und im profile wird dann das (quell-)netz zugeordnet
  • 0 in reply to AMros
    die user im assignment bleiben unbenutzt, also leer; und im profile wird dann das (quell-)netz zugeordnet


    Tag AMros

    Wie oben im Update beschrieben hab ich dies so gemacht. Jedoch gehen die Requests nicht über das konfigurierte Proxy-Profil , sondern über das default obwohl ich dort das Netzwerk, welches ich im Profil zugewiesen habe gelöscht habe.
  • 0
    wenn man nicht zu ende liest....

    aber: "filter Assignment auf default + Fallback auf das entsprechende Filter" - dann macht "sie" das doch richtig :-)
    muss genau umgekehrt sein - default ist fallback!
  • 0 in reply to AMros
    wenn man nicht zu ende liest....

    aber: "filter Assignment auf default + Fallback auf das entsprechende Filter" - dann macht "sie" das doch richtig :-)
    muss genau umgekehrt sein - default ist fallback!


    Richtig, wenn ich per User suchen würde. Bei Filter Assignments kann ich aber keine User erfassen, da ich keine habe.
    Somit sollte "sie" zuerst den Default probieren, da aber das Netzwerk dort nicht enthalten ist, auf den Fallback gehen. Dies funktioniert jedoch nicht. 
    Probiere ich das ganze ohne das Filter Assigment auf "default content filter profile assignment" geht mir das Profil auf "rot".
  • 0
    Habs gefunden!

    Leeren Filter Assignment dem Proxy-Profil zuweisen und schwupps es geht. Werde das ganze noch testen und dann kurz zusammenfassen.

    Danke!
  • 0
    Hier die Zusammenfassung:

    Um von einem simplen HTTP-Proxy ohne Profile zu einem HTTP-Proxy mit NW-basierenden Profilen zu kommen sind folgende Schritte notwendig:

    1. Content Filter Kategorien für die verschieden Profile unter Web-Security -- HTTP/S --URL Content Filter Categories einrichten.
    2. Unter Web-Security -- HTTP/S Profiles -- Filter Actions für jedes Profil einrichten 
    3. Unter Filter Assignments für jedes Profil ein Filter Assignment konfigurieren (ohne Benutzer, Zeit) und die im Punkt 2 erstellten Filter Actions
    4. Unter Proxy-Profiles die einzelnen Profile erstellen (Netzwerk, Filter-Assignment (Punkt 3) und Fallback-Action)
    5. Um das Ganze zu aktivien können nun die in den Proxy-Profilen aktivierten Netzwerke unter Web-Security -- HTTP/S -- Global -- Allowed networks gelöscht werden.

    Nun könnt ihr das ganze Testen und per Live-Log kontrollieren ob die Zuordnung klappt.
  • 0 in reply to onkelnatas
    das problem mit dem lesen haben wir offenbar beide:

    "die user im assignment bleiben unbenutzt, also leer; und im profile wird dann das (quell-)netz zugeordnet"
  • 0
    War ein harter Tag gestern.... [8-)]