alle Ports von/nach WAN sperren

@ m_vetdoc

Beim "Transparenten Proxy" ist es so, dass sämtlicher Traffic in Richtung Zielport 80 transparent ( also ohne dass auf dem Client der Proxy im Browser eingetragen werden muss ) an den WebProxy der UTM umgeleitet wird.

Der Proxy führt beim Empfang einer HTTP-Anfrage eines Clients einen AV-Scan durch ( wenn aktiviert ) und stellt dann stellvertretend für den Client die HTTP-Anfrage an den angefragten WebServer.

HTTPS-Traffic wird bei deaktiviertem HTTPS-Scan NICHT über den "Transparenten Proxy" geleitet, muss also explizit über eine Firewall-Regel ( Zielport 443 ) erlaubt werden.

Das würdest du übrigens dann im Firewall-LiveLog sehen, die entsprechenden TCP-Pakete würden dann in die Default-Policy laufen und verworfen werden.

Ob die Anfrage tatsächlich an den WebServer gestellt wird hängt natürlich von der Konfiguration des URL-Filters und eventuell konfigurierten Ausnahmen ab.

Wie gesagt, der HTTP-Traffic läuft ausschließlich über den Proxy, ist also dann unabhängig von der Konfiguration des Firewall-Regelwerkes.

Wenn du möchtest, dass ein bestimmter Client außer Windows-Updates keinen Zugriff zum Internet haben soll, dann könntest du ein WebProxy-Profil erstellen und dort ALLE Kategorien sowie nicht kategorisierte Webseiten sperren.

Die standardmäßig eingerichtete Ausnahme für Windows-Updates sollte dafür sorgen, dass der entsprechende Client Windows-Updates beziehen kann.

Voraussetzung dafür, dass das Profil auch wirklich nur für EINEN BESTIMMTEN Client gültig ist,
hängt davon ab, ob man in der Konfiguration des WebProxy-Profils als Quellnetzwerk eine einzelne IP-Adresse an Stelle eines kompletten Netzwerkes eintragen kann.

Da bin ich mir gerade nicht ganz sicher, ob das geht, aber kann man ja schnell nachschauen...

Vom Prinzip her müsste das so funktionieren wie ich es beschrieben habe,
bei Fragen einfach fragen :-).

Übrigens ist das Verhalten, dass du beschrieben hast normal,
du kannst dem Proxy per Firewall-Regel nicht verbieten ins Internet zu kommunizieren.

Gruß, Datax

Hi m_vetdoc

Hallo Leute,
irgendwie seh ich vor lauter Bäumen den Wald nicht mehr und brauch jetzt eure Hilfe. [:@]

Wenn ich unter Firewall die Regel 
195.159.3.50 --> WebSurfing --> Internet IP4
abschalte aber der WebFilter (Transparent) mit 195.159.3.50 noch aktiv ist, hat die IP Zugang zum WAN.

Schalte ich die Firewallregel ein und deaktiviere den WebFilter, ist der WAN-Zugang trotzdem möglich.

Erst wenn ich Firewall und WebFilter abschalte gehts nicht mehr nach draussen.
Ist das Richtig so, dass die Firewall den WebFilter umgeht und der WebFilter die Firewallregeln??

Ja, der Proxy greift vor den Firewallregeln (siehe auch mein Zusatz, kann die Ursache für dein Problem sein). Aber die Regeln werden nicht umgangen.

Betrifft das nur die Ports aus WebSurfing und alle anderen Ports sind für in/out gesperrt?

Wie schon beschrieben, gillt dies nur für HTTP Verkehr und wenn du HTTPS Scanning aktiviert hast, auch für HTTPS.

Ich war der Meinung, dass die Firewallregel immer als Erstes greift und festlegt, welche IP mit welchen Ports nach außen darf bzw. nicht darf. Der WebFilter dann erst die WebInhalte filtert.

Nein, es wird direkt eine Freigabe erstellt, sobald der Proxy aktiviert wird und weitere Steuerung dann über den Proxy. Was ich persönlich sehr gut umgesetzt finde.

Wie muss die UTM denn dann eingestellt werden, wenn eine IP keinen WAN-Zugang haben soll, aber trotzdem die WinUpdates ankommen sollen. Denn Webfilter/Ausnahmen funzt ja dann so nicht.

Du hast im Proxy die Möglichkeit, den transparenten Proxy zu umgehen, dann greifen wieder die Firewallregeln. So kann du einen Host oder eine Gruppe herausnehmen.

Ist es nicht besser bei den Firewallregeln anstatt "Internet IP4" "Uplink Primary Addresses" einzustellen? Worin ist hier der Unterschied?

Nein, Internet IPv4 bezieht sich auf das aktive Standardgateway ins WAN. Also ist das schon korrekt (bitte nicht "ANY" nehmen).
Wenn du den Verkehr steuern willst, dann musst du es über Maskerating machen, oder bei mehreren WAN Ports über Multipathing.
Dazu gibt es auch einige Feature Requests, da ist der Wunsch, dies direkt über den Proxy auswählen zu können.


Kleiner Zusatz:
Wenn du erlaubten Firewallverkehr blockst, sind Verbindungen noch aktiv und bei nichtnutzung werden die dann aus dieser Tabelle entfernt und erst danach sind die wirklich geblockt.
Es kann also sein, dass direkt nach dem blocken noch Verkehr funktioniert, allerdings für eine gewisse Zeit. Also entweder Conntrackt Table manuell löschen, UTM neu starten, oder warten.

Nice greetings

Vielen Dank für die Antwort an Datax_87 und an GuyFawkes.

Antwort kommt später von mir.

HTTPS-Traffic wird bei deaktiviertem HTTPS-Scan NICHT über den "Transparenten Proxy" geleitet, muss also explizit über eine Firewall-Regel ( Zielport 443 ) erlaubt werden.

Wenn ich aber HTTPS im Webfilter aktiviere, bekomme ich oftmals eine Fehlermeldung im Browser und der Inhalt kann nicht dargestellt werden. HTTPS-Verkehr hab ich noch nicht vernünftig über den Webfilter hinbekommen und deshalb immer die Option deaktiviert.

Wie gesagt, der HTTP-Traffic läuft ausschließlich über den Proxy, ist also dann unabhängig von der Konfiguration des Firewall-Regelwerkes.

OK, verstanden, bilde mir aber ein, dass das in der 8er Version noch nicht so war.

Wenn du möchtest, dass ein bestimmter Client außer Windows-Updates keinen Zugriff zum Internet haben soll, dann könntest du ein WebProxy-Profil erstellen und dort ALLE Kategorien sowie nicht kategorisierte Webseiten sperren.

Die standardmäßig eingerichtete Ausnahme für Windows-Updates sollte dafür sorgen, dass der entsprechende Client Windows-Updates beziehen kann.

Voraussetzung dafür, dass das Profil auch wirklich nur für EINEN BESTIMMTEN Client gültig ist,
hängt davon ab, ob man in der Konfiguration des WebProxy-Profils als Quellnetzwerk eine einzelne IP-Adresse an Stelle eines kompletten Netzwerkes eintragen kann.

Wenn ich mit Profile arbeite, muss ich aber auch eine Authentifizierung machen oder nicht? Denn spätestens bei der Filterzuweisung geht es nicht nach IP-Adresse - sondern nach Benutzername.
Das Auth. egal ob per Browser oder SAA wollte ich mir ersparen und die ganze Zuweisungen bzw. Einschränkungen auf IP-Basis machen. Ein DC oder ähnliches läuft hier nicht in den Netzen.
Browserauth. läuft nach xMin. ab und muss dann erneuert werden. SAA geht nur mit Win oder OSX. Keine Möglichkeit für TV oder HTPC. Dann läuft hier noch WLAN und ein Hotspot, da bekomm ich die Auth. schon gar nicht hin.

Am liebsten wäre mir es, wenn ich dann Profile auf IP-Basis anlegen könnte.

Übrigens ist das Verhalten, dass du beschrieben hast normal,
du kannst dem Proxy per Firewall-Regel nicht verbieten ins Internet zu kommunizieren.

Versteh ich das Richtig, dass wenn WebProtection aktiv ist laufen die Firewall-Regeln für die Ports 80, 8080 und 3128 in Leere. Regeln für 443 greifen aber in der Firewall?

HTTPS-Traffic wird bei deaktiviertem HTTPS-Scan NICHT über den "Transparenten Proxy" geleitet, muss also explizit über eine Firewall-Regel ( Zielport 443 ) erlaubt werden.

Wenn ich aber HTTPS im Webfilter aktiviere, bekomme ich oftmals eine Fehlermeldung im Browser und der Inhalt kann nicht dargestellt werden. HTTPS-Verkehr hab ich noch nicht vernünftig über den Webfilter hinbekommen und deshalb immer die Option deaktiviert.

Wie gesagt, der HTTP-Traffic läuft ausschließlich über den Proxy, ist also dann unabhängig von der Konfiguration des Firewall-Regelwerkes.

OK, verstanden, bilde mir aber ein, dass das in der 8er Version noch nicht so war.

Wenn du möchtest, dass ein bestimmter Client außer Windows-Updates keinen Zugriff zum Internet haben soll, dann könntest du ein WebProxy-Profil erstellen und dort ALLE Kategorien sowie nicht kategorisierte Webseiten sperren.

Die standardmäßig eingerichtete Ausnahme für Windows-Updates sollte dafür sorgen, dass der entsprechende Client Windows-Updates beziehen kann.

Voraussetzung dafür, dass das Profil auch wirklich nur für EINEN BESTIMMTEN Client gültig ist,
hängt davon ab, ob man in der Konfiguration des WebProxy-Profils als Quellnetzwerk eine einzelne IP-Adresse an Stelle eines kompletten Netzwerkes eintragen kann.

Wenn ich mit Profile arbeite, muss ich aber auch eine Authentifizierung machen oder nicht? Denn spätestens bei der Filterzuweisung geht es nicht nach IP-Adresse - sondern nach Benutzername.
Das Auth. egal ob per Browser oder SAA wollte ich mir ersparen und die ganze Zuweisungen bzw. Einschränkungen auf IP-Basis machen. Ein DC oder ähnliches läuft hier nicht in den Netzen.
Browserauth. läuft nach xMin. ab und muss dann erneuert werden. SAA geht nur mit Win oder OSX. Keine Möglichkeit für TV oder HTPC. Dann läuft hier noch WLAN und ein Hotspot, da bekomm ich die Auth. schon gar nicht hin.

Am liebsten wäre mir es, wenn ich dann Profile auf IP-Basis anlegen könnte.

Übrigens ist das Verhalten, dass du beschrieben hast normal,
du kannst dem Proxy per Firewall-Regel nicht verbieten ins Internet zu kommunizieren.

Versteh ich das Richtig, dass wenn WebProtection aktiv ist laufen die Firewall-Regeln für die Ports 80, 8080 und 3128 in Leere. Regeln für 443 greifen aber in der Firewall?

Wie schon beschrieben, gillt dies nur für HTTP Verkehr und wenn du HTTPS Scanning aktiviert hast, auch für HTTPS.

Wie ich oben schon geschrieben habe, funzt das mit aktiviertem HTTPS bei mir nicht richtig. Keine Ahnung warum?? Vorschläge??

Nein, es wird direkt eine Freigabe erstellt, sobald der Proxy aktiviert wird und weitere Steuerung dann über den Proxy. Was ich persönlich sehr gut umgesetzt finde.

Die Freigabe ist aber über den WebAdmin nicht zu sehen oder?

Du hast im Proxy die Möglichkeit, den transparenten Proxy zu umgehen, dann greifen wieder die Firewallregeln. So kann du einen Host oder eine Gruppe herausnehmen.

Aber wie bitte? ohne transparenten Proxy aber rein Hostbezogen.

Nein, Internet IPv4 bezieht sich auf das aktive Standardgateway ins WAN. Also ist das schon korrekt (bitte nicht "ANY" nehmen).
Wenn du den Verkehr steuern willst, dann musst du es über Maskerating machen, oder bei mehreren WAN Ports über Multipathing.
Dazu gibt es auch einige Feature Requests, da ist der Wunsch, dies direkt über den Proxy auswählen zu können.

Ich hab 2 WAN Eingänge und falls einer mal offline ist, soll der Zweite einspringen. Den Verkehr will und muss ich nicht getrennt steuern.
Nicht über ANY zu gehen ist klar, für was ist dann aber "Uplink Primary Addresses".

Kleiner Zusatz:
Wenn du erlaubten Firewallverkehr blockst, sind Verbindungen noch aktiv und bei nichtnutzung werden die dann aus dieser Tabelle entfernt und erst danach sind die wirklich geblockt.
Es kann also sein, dass direkt nach dem blocken noch Verkehr funktioniert, allerdings für eine gewisse Zeit. Also entweder Conntrackt Table manuell löschen, UTM neu starten, oder warten.

Erster Satz kann ich nur bestätigen, hab ich schon bemerkt. [:(]
Wo find ich die Conntrackt Table, weil jedemal UTM neu starten macht keinen Sinn?