Vorstellung neues Mitglied und Frage für eine Regeländerung über eine sep. Seite



  • Hallo
    Das ist mein erster Thread in diesem Forum. Ich will die Gelegenheit nutzen um mich vorzustellen.
    Mein Name ist Stefan. Ich bin 43 Jahre und von Beruf Fachpraxislehrer für angewandte Informatik.
    Habe ca. 20 Jahre IT Erfahrung auf dem Buckel, größtenteils in der freien Wirtschaft. Nun unterrichte ich an einer Berufsbildenden Schule. Im Unterricht beschäftige ich mich viel mit Routern. Bisher haben wir viel mit dem IPCOP gearbeitet.

    Der pfsense fand mein Interesse weil er doch sehr viel mächtiger und vielseitiger ist.
    Als erste Maßnahme möchte ich den Router mit VLAN Switch im PC Labor einsetzen.

    Folgende Aufgaben soll pfsense übernehmen
    Internetzugang für 20 Arbeitsplätze über ein schulinternes Netzwerk WAN IP per DHCP
    Jeder Arbeitsplatz ein eigener seperater Netzwerkbereich (VLAN)
    Firewall Regel für gezielten gesteuerten Netzzugriff nach aussen und unter den VLANS

    Soweit alles noch einfach.  Das bekomme ich alleine hin.

    Was mir fehlt, ist eine Beeinflussung der FW Regeln für das jeweilige Vlan ohne dafür auf die GUI der pfsense zu müssen. Ich hatte sowas beim IPCop und dem Addon Advanced Proxy (Claaasroom Ed.)
    Da war es auf einer separaten Webseite möglich sich zu authentifizieren und dann auf Basis der MAC bzw. IP den jeweiligen Zugang zu sperren. Ich vermute das wird über IP Tables im IPCOP realisiert.
    Hat jemand eine Idee wie sowas bei pfsense zu machen ist? Hat das vielleicht schon mal jemand realisiert?
    Für jede Hilfe wäre ich dankbar

    Gruß Stefan



  • Was genau meinst du mit:

    "Beeinflussung der FW Regeln für das jeweilige Vlan ohne dafür auf die GUI der pfsense zu müssen" ?

    "Da war es auf einer separaten Webseite möglich sich zu authentifizieren und dann auf Basis der MAC bzw. IP den jeweiligen Zugang zu sperren."

    Willst du die rules von der Konsole her bearbeiten?
    Das GUI ist ja genau da um die Regeln zu bearbeiten ;)
    Oder meinst du, dass du nicht jedem User Zugang auf die ganze pfSense erlauben willst?
    Dazu könntest du zusätzliche User erzeugen (geht erst mit version 2.0) die jeweils unterschiedliche Rechte haben.

    Zu was genau willst du den Zugang erlauben/sperren?
    Das tönt für mich nach dem Captive Portal auf dem man sich authentifizieren muss, um Zugriff aufs internet zu erhalten.



  • okay ich verstehe ich habe meine vorstellungen nicht genau beschrieben.

    ich möchte 20 einzelne bereiche jeweils an und ausknipsen können wenn ich als lehrer der meinung bin das dort dinge geschehen die nicht zum unterricht gehören. diese lösung möchte ich auch für meine kollegen bieten aber sie möglichst nicht auf die gui vom router lassen. eine einfache admin seite auf der sie internet/netzwerk erlauben oder sperren können. buttons grün/rot für die jeweiligen vlans.
    beispiel:seperate adminseite im intranet mit zwei buttons die jeweils ein script anstossen um eine firewall regel zum öffnen oder schliessen des jeweiligen bereiches durchführen. sozusagen eine dau-lehrer variante. es sollen möglichst wenige zugriff auf die gui des routers haben.

    Gruß Stefan



  • Sowas gibt es per se nicht.

    Was genau willst du alles blocken?
    Nur das Internet, oder das lokale Netzwerk mit?

    Wenn es nur um das Internet geht, könntest du ein Captive Portal einrichten, bei dem man sich authentifizieren muss.
    Das Captive Portal kann so eingestellt werden, dass es jede Minute überprüft, ob der aktuelle Client noch zugelassen ist.
    Somit könntest du für "DAU-Lehrer" eine Seite zur Verfügung stellen auf der lediglich Clients erzeugt/gelöscht/aktiviert/deaktiviert werden können.

    Das befindet sich jedoch ebenfalls auf der pfSense.
    Du müsstest neue User für das GUI erzeugen welche nur lese/schreib Zugriff auf die Bearbeitungsseite der Clients haben.

    Wenn es ebenfalls um das lokale Netzwerk geht, wird es komplizierter und kann nicht nur mit der pfSense alleine durchgesetzt werden.



  • ich beabsichtige damit ihnen einfach nur z.b. die port 80 regel zum wan hin an oder aus zu schalten

    folgendes scenario
    ich beginne die stunde internet soll b<y default="" erstmal="" gesperrt="" sein…="" beprechung="" der="" inhalte="" stunde="" und="" erteilung="" eines="" arbeitsauftrages ="" für="" eine="" internet="" recherche="" bis="" zu="" einer="" festgesetzten="" zeit="" dann="" sperren.<br="">wir haben ein ad worin jeder schueler einen eignen Account hat. neue Accouts müssten nichtmal angelegt werden Gruppen (klassen/Kurse) ebenfalls.</y>


Locked