Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1474 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP basiert oder portbasierte Zuordnung bei URL-Filterung + Zeitüberschreitungsproblem

JamesWood
Guten Tag liebe Community,

mich plagen zur Zeit 2 Probleme. 
Kurz vorweg, ich nutze ASG V8 auf einer eigenen Appliance mit 1GB Ram und ca. 1,8Ghz CPU-Speed. 
_____

1. Es gibt Nutzer die zwar eine URL Filterung möchten, jedoch eine nicht so strenge, wie andere. 
Wie ist das am geschicktesten zu lösen? Ich habe noch 1 Port frei, da könnte ich quasi noch eine Interne Verbindung zulassen. Also eine für die härtere URL-Filterung und eine für die weichere. Oder funtktioniert das auch IP-basiert? Ist es überhaupt möglich, dann die jeweilige Interne Verbindung seperat zu konfigurieren?


2. Ich mache eine Dauer-Ping auf beispielsweise heise online - IT-News, c't, iX, Technology Review, Telepolis dann kommt es nach vllt. 100 Pingabfragen zu mindesten 2-3 Zeitüberschreitungen. Wie lässt sich das erklären? Auch beim surfen kommt ab und zu eine Zeitüberschreitung. Mit Aktualisieren der Seite klappt es dann auch meistens, trotzdem unangenehm für den User. Was würde dafür abhilfe verschaffen?


Ich bedanke mich für die Antworten!


This thread was automatically locked due to age.
  • 0
    Hallo !

    Zu 1: du kannst IP basiert bzw auch userbasiert (mit Authentizierung) verschiedene Richtlinien durchsetzen. Hier gilt auch wie bei den Paketfilter Regeln, dass die erste passende Richtlinie (also z.b. IP Adresse oder Benutzer) durchgesetzt wird und alle folgenden Richtlinien nicht weiter abgearbeitet werden


    Zu 2: dazu müsste man mehr über dein Netz bzw die Inet Anbindung wissen. DSL Anschluss? Direkt am Modem? Router dazwischen?
  • 0 in reply to x-tec
    zu 1.:  Und wie stelle ich das an? Ich will eigentlich nur einen Benutzer für die Appliance haben und das soll der Administrator sein. 
    Wie mache ich das mit der IP-basierten Regelung? 
    Einfach bei "Allowed Networks --> Create New --> Interface (Internal) --> IP-Adresse (hier einmal für hart bzw. weiche Regelung)
    So?

    Muss ich dann die default-Einstellung rauslöschen (Internal Network)?


    zu 2.: An der FW hängt direkt der Router mit Uplink-Balancing (also 2 Externe Anschlüsse, falls eine ausfällt) Und ja ist DSL-Anschluss. Ohne FW klappt das ohne Zeitüberschreitungen. Auch am Switch kann es nicht liegen. Der hält den Dauerping aus.
  • 0
    So der neueste Stand ist jetzt das ich das hinbekommen habe mit den HTTP/S-Profilen und deren Filterzuweisungen. 
    Ein Problem gibt es aber noch. Und zwar bei der Authentifizierung:

    Der Transparenzmodus mit Authentifizierung klappt tadellos, genauso wie die Einfache Benutzerauthentifizierung. Bei beiden muss ich den Proxy im Web-Browser einfügen. 
    Ich möchte aber den Standardmodus verwenden, dabei ist der Port 8080 als default gesetzt. Wenn ich das aber mache kommt der Fehler: 
    Fehler: Proxy-Server verweigert die Verbindung


    Was ist da faul?
  • 0 in reply to JamesWood
    Die IP deiner Maschine nicht in der Liste erlaubter Netzwerke?

    Zum ping: die Pinglaufzeit ist aber nicht zu hoch oder? also nicht dass hier ein Netzwerkkabel ne Macke hat...
  • 0 in reply to x-tec
    Hmm vllt. habe ich ja schon was grundlegendes falsch gemacht.

    Welche IP müsste ich denn im Browser eingeben, doch eigentlich die der Firewall und nicht meines Clients oder? Und dann wohl den Port 8080




    Nun hab ich nochmal den Transparenzmodus versucht, da kann ich kaum Seiten öffnen, die meisten enthalten den Fehler:

    The requested content is not allowed  aber keine genaue Fehlerbeschreibung bzw. ein Hinweis auf die Filteraktion, was normalerweise üblich wär...

    Also meine Client-Adresse steht in den erlaubten Netzwerken



    zum Ping: Nein der ist nicht zu hoch, der ist normal...
  • 0 in reply to JamesWood
    Content not allowed heisst, dass du auf seiten surfst die nicht erlaubt sind ;-)


    gehe zu "WebSecurity" -> "HTTP/S" -> "URL Filtering" und schalte dort den Radio Button auf "Allow...."

    und mache alle Häcken unten raus,  dann solltest du zwar den Proxy nutzen aber noch ohne Filtering...
  • 0 in reply to x-tec
    Nein ist nicht die Ursache... hab es so gemacht wie du sagtest, das gleiche Problem...  Irgendwie liegt das mit den Authentifizierungen zusammen. Frag mich nicht... wenn ich auf Transparenzmodus bei HTTP/S Profile gehe folgt dann bei fast jeder Seite dieser Error mit Content not allowed


    EDIT: ohoo... hab da was gefunden... nur die HTTPS-Verbindungen gehen beim Transparenzmodus... egal ob HTTPS Scannen gesetzt oder nicht... sehr eigenartig.. BUG?


    EDIT 2:Ahh ok, weil HTTPS nicht gescannt wird, komm ich da durch [:D] Das erklärt einiges... Trotzdem komm ich krieg ich keinen HTTP Verkehr mehr aufgebaut mit dem transparenten Proxy...

    EDIT 3: Was ich nicht verstehe ist, warum der transparente Proxy mit Authentifizierung so tadellos funktioniert aber alles andere nicht.
  • 0 in reply to JamesWood
    So der neueste Stand ist jetzt das ich das hinbekommen habe mit den HTTP/S-Profilen und deren Filterzuweisungen. 
    Ein Problem gibt es aber noch. Und zwar bei der Authentifizierung:

    Der Transparenzmodus mit Authentifizierung klappt tadellos, genauso wie die Einfache Benutzerauthentifizierung. Bei beiden muss ich den Proxy im Web-Browser einfügen. 
    Ich möchte aber den Standardmodus verwenden, dabei ist der Port 8080 als default gesetzt. Wenn ich das aber mache kommt der Fehler: 
    Fehler: Proxy-Server verweigert die Verbindung

    Was ist da faul?


    Hört sich für mich so an, also ob du in deinem proxy Profile den Modus immer noch auf "transparent with authentication" gestellt hast, den proxy aber trotzdem im Browser direkt ansprichst, ihn also eben NICHT transparent benutzt.
    Und das tut (natürlich) so nicht.