Internet blockieren - mit Ausnahmen



  • Servus,
    ich suche gerade nach eine praktikablen Lösung für eine Anforderung. Geblockt werden soll im Prinzip jeder Webseitenaufruf nach außen. Wenn jetzt einer auf IP verbindent - mei, dann ists halt so. Funkionieren müssen aber z.B. Java-Updates, Windows-Updates (kein WSUS), Teamviewer und Updates eines Softwareherstellers. Auch Wikipedia soll frei sein.

    Einen Proxy zu installieren erscheint mir zwar möglich, aber nicht unbedingt sinnvoll. Ein erster Gedanke geht in Richtung pfBlocker-NG, bei dem ich alle *.tld blockiere und per Ausnahme dann server.teamviewer.com und update.software.hersteller.de erlaube.

    Wie würdet Ihr das machen?

    Grüße



  • Ist eigentlich recht einfach. Du erstelle eine Host Alias Gruppe und eine für die benötigten Ports. Danach erstellst du eine Block Firewallregel mit den Ziel Negieren und den zuvor angelegen Host und Port Aliase.



  • Servus,
    danke für die an sich gute Idee. Mir ist es damit nur leider nicht gelungeln z.B. *.wikipedia.de oder *.teamviewer.com freizugeben. Ich muss also schon alle Subdomains kennen und das könnte schwierig werden.



  • Hallo,

    ich fürchte, da wird es keine anderen Möglichkeiten geben. Ich kenne kein System, das auf Anfrage sämtliche Subdomains bzw. deren IPs einer bestimmten Domain zurückgibt.

    Ein Proxy macht das den eben auf der Schicht 7, indem er den Hostheader des HTTP Protokolls analysiert. Da kommt aber pfBlockerNG nicht hin.

    Also entweder musst du dir die IP-Adressen oder Hostnamen besorgen, tlw. findet man solche für bestimmte Ziele auch im Internet (oft ohne Garantie auf Richtigkeit), oder du stellst dir die Listen selbst zusammen, oder du setzt einen Proxy ein.
    Von Microsoft habe ich schon mal eine solche List im Netz gesehen und Wikipedia dürfte an einem Standort nicht allzu viele verschiedene IPs verwenden.

    Grüße



  • Wie mein Vorredner schon sagt, das ist die Aufgabe eines Proxys, nicht einer Firewall.



  • Ich versuche den Proxy halt zu vermeiden, da ich den Proxy für HTTPS nicht mehr transparent betreiben kann.

    Aber wenns nicht anders geht...



  • @tpf
    Du scheinst diese Antworten nicht wahrhaben zu wollen, nachdem heute einen Post von dir zum selben Thema in der pfBlockerNG Sektion aufgetaucht ist.

    Weiß nicht, ob du da ein Antwort bekommst, aber jimp hat eben in einem anderen Thread einem User mit dem gleichen Anliegen geantwortet:
    https://forum.netgate.com/topic/133209/wildcard-in-hostname/2

    Demnach hat auch er keine Lösung.



  • @viragomann said in Internet blockieren - mit Ausnahmen:

    @tpf
    Du scheinst diese Antworten nicht wahrhaben zu wollen, nachdem heute einen Post von dir zum selben Thema in der pfBlockerNG Sektion aufgetaucht ist.

    Weiß nicht, ob du da ein Antwort bekommst, aber jimp hat eben in einem anderen Thread einem User mit dem gleichen Anliegen geantwortet:
    https://forum.netgate.com/topic/133209/wildcard-in-hostname/2

    Demnach hat auch er keine Lösung.

    Es geht weniger darum, etwas nicht wahrhaben zu wollen. Durch gezieltes Fragen erhält man aber ggf. Antworten, die weiter bringen. Ich bin sicherlich nicht der Erste, der eine solche Anforderung hat ;-)

    Ich habe mich heute mal an SquidGuard versucht. Allerdings funktioniert das mit den Regeln allow/deny nicht richtig. Kann ich für eine ACL nämlich nicht setzen (wird einfach nicht zur Auswahl gegeben).



  • @tpf
    War eher scherzhaft gemeint. Wollte nur helfen.

    Bei Proxy bin aber ohnehin draußen, (noch) keine Erfahrung.



  • @viragomann said in Internet blockieren - mit Ausnahmen:

    Bei Proxy bin aber ohnehin draußen, (noch) keine Erfahrung.

    Dann sind wir quasi schon zu zweit :D