Verständnisfrage zu einer Firewallkonfiguration

Es gibt 6 Antworten in diesem Thema, welches 3.113 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo,


    in Kürze sollen wir im Rahmen der Umstellung auf Glasfaser ein USG Pro bekommen. Wir betreiben ein Netzwerk mit einem Schulfilter (auch bei sog. Erwachsenen recht nützlich :winking_face: ) als Proxy. Für die PC in der Domäne und die per MDM konfigurierten IPads funktioniert das alles gut. Nun sollen aber noch "private" Geräte als BYOD ins WLan eingebunden werden. Denen kann ich ja den Proxy nicht automatisch übermitteln. Also möchte ich wie folgt vorgehen.

    Ich öffne im USG Pro die Firewalleinstellungen. Dort erstelle ich eine Gruppe "Proxyzwang", die den IP Bereich des DHCP abdeckt. Bei den Firewallregeln "Lan eingehend" erstelle ich eine Regel die der Gruppe "Proxyzwang" das surfen untersagt. Also alles auf den Ports 80 und 443 (und eventuell bei Bedarf noch weitere) verwerfen.


    Der Gedanke dahinter ist, dass die Geräte mit den vom DHCP Server übermittelten Gateway nicht surfen können. Nur bei Verwendung des Proxy kommt man ins (dann gefilterte) Internet. Geräte mit fester IP (Server u.s.w.) haben für Updates und ähnliches ungehinderten Zugang zum Internet.


    Meine Erfahrungen mit Proxys sind beschränkt und viel vom seinerzeit gelernten ist etwas eingestaubt. Sieht das nach einer brauchbaren, sauberen Konfiguration aus oder gibt es bessere Ideen?


    Den Nachteil das die Benutzer von Windows und Android Geräten den Proxy manuell ein- oder ausschalten müssen sehe ich. Eine Lösung dafür habe ich nicht, bin aber für Vorschläge dankbar.


    Danke fürs lesen!

    Barney_Gumble


    Hi!


    Dein Ziel ist für mich eine Herausforderung.

    Aber durchaus interessant und (so wie ich das sehe) nützlich für zukünftige Optimierungen von Anwendungsnetzwerken.


    Deshalb suche ich nach Möglichkeiten in Deinem Kontext.

    Meine Erfahrungen mit Proxys sind bisher auch begrenzt, aber das Potential dieser Anwendung reizt mich.


    Der ein oder andere Experte hier, wird sicher etwas beitragen können.


    Ich werde Dich an meinen zukünftigen Erkenntnissen teilhaben lassen und bitte Dich ebenso zu verfahren.


    Gruß!

    Hallo,


    Der Glasfaseranschluss ist immer noch nicht da. Aber das USG Pro. Das hängt im Moment hinter einem DSL Modem. So, wie ich das beschrieben habe, funktioniert das wirklich. Die Clients können zwar den Proxy abschalten. Aber dann können sie nicht mehr surfen. Die Firewallregel verhindert das. Alles, was nicht über die in der Regel genannten Ports läuft, ist davon nicht betroffen. Ein Nachteil ist dabei, dass Windows die Proxyeinstellungen nicht separat für jedes Netzwerk speichert. Die Benutzer bekommen zwar vom DHCP eine IP zugewiesen. Aber die Proxyeinstellungen müssen manuell konfiguriert werden. In meinem Fall ist das leicht zu verschmerzen. Es sind weniger als 5 Windows Geräte die das betrifft. Der Hauptteil sind IPads und Macbooks. Und die können die Proxyeinstellungen für jedes Netzwerk separat speichern.

    Du könntest DAS hier lesen als Einstieg für weitere Recherchen.


    In Kürze:

    Über bestimmte DNS Eintrage (oder auch über DHCP Optionen) ruft der client seine Gültigen Proxy Einstellungen automatisch ab.

    Die Einstellungen beinhalten dann Proxy und ggf. Ausnahmen fürs Lokale / Interne Lan.

    ( was soweit geht das kann Du für einzelne Sub Domains entscheiden kannst ob Proxy oder nicht)

    Hallo,


    Zuerst mal Danke für die Antwort. Das ist natürlich richtig. Ich hatte das auch konfiguriert. Es gibt hier im Forum sogar einen Thread dazu. Nur hatten einige Geräte dann Schwierigkeiten im Heimnetzwerk ohne Proxy. Und weil ich mir eher die Haare anzünde und das Feuer mit einem Hammer lösche als mir für die privaten WLan oder Endgeräte der Kollegen die Verantwortung zuschieben zu lassen, wird der Proxy in den Einstellungen ein und ausgeschaltet. Das klappt super. Mein Bedarf an: "Seit sie hier vor zwei Jahren was am WLan gemacht haben, sieht meine Lieblingsschriftart im Word so komisch aus." ist endgültig gedeckt.


    Mein primäres Problem war auch nicht den Proxy einzustellen. Das wird für die "eigenen" Geräte über Gruppenrichtlinien oder MDM erledigt. Es ging darum, dass man nicht durch deaktivieren des Proxyeintrages direkt, also ohne den filternden Proxy, im Netz surfen kann. Bei den Geräten in der Domäne ist das Ändern der Proxyeinstellungen ja über die Gruppenrichtlinien zu verhindern. Bei IOS Geräten bietet das MDM diese Möglichkeit nicht. Android Geräte sind fast alle privat werden von unserm MDM überhaupt nicht erfasst.


    Für die drei oder vier Windows Notebooks die nicht durch Gruppenrichtlinien gesteuert werden können, mache ich keinen großen Aufwand. Zu den Gründen nur soviel. Windows 10 Home heißt nicht umsonst so. Und vielleicht dämmert beim zehnten Mal "Mist! ich muss ja den Proxy umschalten wenn ich ins Netz will." Der Gedanke "Vielleicht hat es ja einen Grund, das die IT Fritzen mit so viel Nachdruck Windows 10 Pro und aktuelle Android Versionen empfehlen.

    Was hier sonst noch so an Handys, Tablets, Uhren und sonstigem IOS oder Android Geraffel rumfliegt, kann sich die Einstellungen pro Verbindung merken.


    Ich kann also im Proxy einstellen das "tabulose_thailändische_transvestiten.xxx" nicht aufgerufen werden kann. Aber wenn der Benutzer den Proxy deaktiviert, kann er die Seite trotzdem aufrufen. Und erstaunlicherweise finden selbst Leute, die "Prozent" für eine irische Fluggesellschaft halten, diesen Eintrag in wenigen Sekunden.


    Mit den genannten Einstellungen kann man zwar immer noch den Proxy deaktivieren. Aber man kann dann nicht mehr surfen.


    Es gibt natürlich noch andere Möglichkeiten das zu erreichen. Aber für unser Umfeld funktioniert es so wie gewünscht.

    So langsam dämmerst mir aber nur langsam das vorab gesagt :smiling_face:


    ein paar Lose Stichpunkte ohne Reihenfolge oder Wertung also eher BrainStrom Charakter:


    BYOD ist die Pest will der alte IT Mensch eigentlich nicht. Aber 2021 sind nicht

    die 90er. Deswegen würde ich BOYD immer in einen eignes WLAN/Netz/Vlan Sperren

    und diesem über die Firewall zugriff auf die nötigen Internen Systeme geben.


    evt. kommt Zwangproxy in Frage (in einfachsten fall ist der Proxy das Gateway, Im

    erweiterten Falle HTTP + HTTPS + X auf den Proxy umgebogen über Nat und Portweiterleitungen.

    Da braucht dann keiner was einstellen denn der verkehr wie eh über den Proxy Geleitet


    Jeder sollte über den Proxy rausmüssen (auch das normale Server Gedöns und KO)

    direkter Internet Zugang ist RAUS eher selten nötig.

    Über Proxy regeln würde ich dann einstellen das XY und Z dann alles dürfen und der Rest dann

    halt nicht auf die Thailändische SheMale Seiten...


    Das Proxy Autodiscovery Protocol sorgt aber auch dafür das die Geräte den Proxy benutzen

    und wenn sie woanders sind dann halt nicht weil da dann nicht DEINE Einstellungen geladen werden.


    Wenn deine „Leudde“ den Proxy Harken in einer Sekunde entfernen können um Thei Essen zu bestellen

    dann bekommen sie es auch hin wenn die Gateway IP zu ändern um den „guten weg“ zu benutzen.


    Es gibt halt viele Wege..

    Zitat von Barney_Gumble

    Ich kann also im Proxy einstellen das "tabulose_thailändische_transvestiten.xxx" nicht aufgerufen werden kann. Aber wenn der Benutzer den Proxy deaktiviert, kann er die Seite trotzdem aufrufen. Und erstaunlicherweise finden selbst Leute, die "Prozent" für eine irische Fluggesellschaft halten, diesen Eintrag in wenigen Sekunden.

    Das kannst du nur verhindern, indem du einen Zwangs-Proxy im Netz hast.


    Bei uns in der Firma ist das so geregelt, wer ins Internet will, muss immer über den Proxy und davon gibt es zwei:

    Der eine ist komplett Richtung Internet freigeschaltet, allerdings muss man sich an diesem dann per AD-Benutzer authorisieren, der zweite ist ohne Benutzeranmeldung, hat dafür aber nur Freischaltungen auf eine Liste von Domains.


    Der PRoxy ist gleichzeitig auch die Internetfirewall.


    Allerdinsg wird man da mit Unif-Geräten nichts reissen können, die hab sowas nicht im Program.