Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 6808 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

betsimmet IP per Regel komplett sperren

rprengel
Hallo,

meine private astaro soll jetzt auch als Kindesicherung fungieren und den PC des Kindes esrt mal komplett vom Internet trennen.
Das klappt leider nicht.

Ich habe an oberster Stelle einen Paketfilterregel erstellt und die Ip des Rechners gegen any auf blocked eingetragen. Was mache ich falsch?

Danke für Tips


This thread was automatically locked due to age.
  • 0
    bei einem client, der nicht in's internet kann, spielt das kaum eine rolle!
    und alle, die den proxy nach wie vor eingetragen haben, nutzen ihn auch, incl. filtering
  • 0 in reply to AMros
    bei einem client, der nicht in's internet kann, spielt das kaum eine rolle!
    und alle, die den proxy nach wie vor eingetragen haben, nutzen ihn auch, incl. filtering


    Soweit richtig aber ich wollte halt mir einer einfachen Regel erreichen:

    Regel an System ist geblockt
    Regel aus Kind hat Webzugriff

    Im Moment behelfe ich mir mit System von Kind wird aus der Systemliste vom Proxy entfernt oder eingetragen.

    Ich habe dazu einen Featurerequest auf der passenden Seite eingereicht.

    Gruß
  • 0 in reply to rprengel
    wiso arbeitest du nicht mit proxy profilen?

    da stellste kind dann ein auf block all mit der ihm zugewiesenen ip adresse +  packetfilter regel mit block einstellen

    dann klappt weder proxy noch irgend ein packet durch die firewall...

    alternativ kannst du die blocked regel des proxys auch mit nem zeitraum belegen... von xuhr bis yuhr soll regel block greifen, bzw regel allow sein...

    ??
  • 0 in reply to Tigershark
    wiso arbeitest du nicht mit proxy profilen?

    da stellste kind dann ein auf block all mit der ihm zugewiesenen ip adresse +  packetfilter regel mit block einstellen

    dann klappt weder proxy noch irgend ein packet durch die firewall...

    alternativ kannst du die blocked regel des proxys auch mit nem zeitraum belegen... von xuhr bis yuhr soll regel block greifen, bzw regel allow sein...

    ??


    Das habe ich bisher noch nie gemacht. Ich schaue mir das dann.
    Dazu muß ich User definieren dich am Proxy anmnelden?
  • 0 in reply to rprengel
    beim standart und beim transparenten nicht.
  • 0
    Hi rprengel,

    was Du wissen musst: Sobald Du den http proxy aktiviert hast, werden automatische Paketfilterregeln erstellt.
    Automatische Paketfilterregeln innerhalb der ASG sind IMMER stärker als userbasierte Paketfilterregeln, daher musst Du über die erlaubten und verbotenen Netze in den http Proxy Konfigurationen arbeiten. In diese Falle bist Du zuerst getappt.

    Weiterhin zeichnet einen Proxy aus, dass er auf Applikationsebene trennt; also ist auch die Source-IP-Adresse nicht mehr die des PCs Deines Kindes, sondern eben die der ASG. 

    Was Du also machen willst: 
    Time Events definieren und darüber die Proxy-Profile für die (hoffentlich statische) IP Deines Kindes schalten.

    Und bevor Du fragst: nein, der Internetzugriff kann nicht via Zeitbudget, sondern nur mit statisch definierten, sich wöchentlich wiederholenden (oder täglich wiederholenden) Zeitbereichen definiert werden.

    Was also geht:
    - Kind kann von 14-16h surfen, danach nicht mehr
    Was nicht geht: 
    - Kind kann zwischen 13h und 19h für 2 Stunden surfen

    Liebe Grüße
    Christian
  • 0 in reply to christianlouis
    #


    sehr schöne beschreibung von dem was ich gemeint hatte [[;)]]

    Was auch geht:
    - Du Definierst eine Filteraction die alles blockt, richtest im Filter Assignments die blockfilteraction + den timeevent (0:00uhr - 23:59) und im Proxyprofil halt das Filter assignment + (static)hostIP von deinem Kind ; voila, du bekommst es damit glaube ich genauso, wie du es haben wolltest.

    die blockregel würd ich allerdings trotzdem einrichten. Wobei ich mir nicht sicher bin ob das überhaupt nötig ist? (hab irgendwo gelesen dass die astaro eh alles blockt was nicht per filter erlaubt ist?) aber wer möchte schon unkontrolliertes ins netz senden lassen [[;)]]
  • 0 in reply to christianlouis
    Hi rprengel,

    was Du wissen musst: Sobald Du den http proxy aktiviert hast, werden automatische Paketfilterregeln erstellt.
    Automatische Paketfilterregeln innerhalb der ASG sind IMMER stärker als userbasierte Paketfilterregeln, daher musst Du über die erlaubten und verbotenen Netze in den http Proxy Konfigurationen arbeiten. In diese Falle bist Du zuerst getappt.

    Weiterhin zeichnet einen Proxy aus, dass er auf Applikationsebene trennt; also ist auch die Source-IP-Adresse nicht mehr die des PCs Deines Kindes, sondern eben die der ASG. 

    Was Du also machen willst: 
    Time Events definieren und darüber die Proxy-Profile für die (hoffentlich statische) IP Deines Kindes schalten.

    Und bevor Du fragst: nein, der Internetzugriff kann nicht via Zeitbudget, sondern nur mit statisch definierten, sich wöchentlich wiederholenden (oder täglich wiederholenden) Zeitbereichen definiert werden.

    Was also geht:
    - Kind kann von 14-16h surfen, danach nicht mehr
    Was nicht geht: 
    - Kind kann zwischen 13h und 19h für 2 Stunden surfen

    Liebe Grüße
    Christian


    Das werde ich testen.
    Alle Systeme haben fest zugewiesene IPs so das die Konfiguration klappen sollte.