Verkehr für Gäste ausgehend untersagen



  • Servus,

    ich mach mir grad Gedanken, wie ich den ausgehenden Verkehr für Gäste am Besten einschränken kann. Zum Einen mach ich einfach alle Ports dicht, mit Ausnahme HTTP/S, Mail und VPN.Parallel überlege ich, ob sich P2P-Traffic nicht irgendwie abfangen lässt. Bietet Squid vielleicht eine solche Funktionalität?

    Vielen Dank :-)

    Gruß



  • Hallo,

    squid im zusammenspiel mit squidguard oder squid + dansguardian könnte dir als filter helfen, urls oder webseiteninhalte mit diversen schlagworten zu sperren.



  • Servus,

    ich interpretiere deine Antwort so, als könnte / sollte ich URLs von z.B. Trackern herausfiltern. Das könnte ja schwierig werden  ;D  Wie machen das denn die Betreiber von HotSpots?



  • @tpf:

    Servus,

    ich interpretiere deine Antwort so, als könnte / sollte ich URLs von z.B. Trackern herausfiltern. Das könnte ja schwierig werden  ;D  Wie machen das denn die Betreiber von HotSpots?

    Es ist beinahe unmöglich, eine "Blacklist" zu führen, die sämtliche "unerwünschten" Seiten herausfiltert. Gerade wenn Port 80 und 443 offen sind, kann jemand seinen Verkehr zu einem Proxy tunneln und dann wieder sämtliche Torrents laden.

    Für SquidGuard gibt es vordefinierte Blacklists, die regelmässig aktualisiert werden.
    http://www.shallalist.de/

    Diese Listen enthalten verschiedene Kategorieren - du kannst diese nach dem Import in SquidGuard selektieren. Vermutlich hält das einen Großteil der Nutzer ab, aber du wirst damit nicht alle "fangen" können.
    Andererseits kannst du dir ja den Perso von den Leuten geben lassen, denen du einen Voucher austeilst, dann mit Lightsquid den traffic mit loggen und in einem Rechtsfall dann eben auf die Person verweisen, die diese Seite aufgerufen hat. Das mit loggen solltest du aber bekannt geben.

    Eine andere Möglichkeit wäre, dass du in Squid zum Beispiel verschiedene Dateiendungen blockierst, also die typischen .torrent .dlc. rsdf bzw. deren download so stark herab setzt, dass sich niemand den neusten Kinohit mit 1kb/s herunterladen wird.

    Layer7 Filter sind ebenfalls schön, funktionieren aber leider nicht mit Torrent, weil das Torrent-Protokol teilweise verschlüsselt ist und nicht erkannt wird.

    :)



  • Cool, da sind gute Ansätze dabei. Ich denke, damit kann ich was anfangen  :D

    Layer 7: Das war mein erster Gedanke. Baut aber einer einen Teredo-IPv6-Tunnel auf, ist Feierabend. Dann kann ich nix mehr machen…

    Gruß,
    Thorsten



  • @tpf:

    (…)
    Layer 7: Das war mein erster Gedanke. Baut aber einer einen Teredo-IPv6-Tunnel auf, ist Feierabend. Dann kann ich nix mehr machen...
    (...)

    Das hab ich ja gemeint :-)



  • So,
    ich bin mit meinen Gedanken etwas weiter. Grundsätzlich werde ich alle unbenötigten Ports schließen. Squid wird mit einer Blacklist inhaltlich filtern. CaptivePortal wird mit Vouchers den jeweiligen Benutzer mitloggen. Wenn jemand dann einen Teredo-Tunnel aufbaut -> dann solls wohl so sein. Der Tunnel geht ja an einen anderen Endpunkt auf der Welt und ist so eigentlich auch nicht direkt zum Anschlussinhaber zu verfolgen, wenn nicht gerade die Logs des Providers weitergegeben werden.

    Für die Vouchers suche ich noch ein praktikables System. Ich habe gelesen, dass das FreeRADIUS-Paket eigentlich Dialupadmin dabei hat. Das habe ich im pfS-Paket nicht gleich gefunden.

    Das Anlegen von Vouchers in der pfS ist ja etwas umständlich für "normale" Anwender. Gibts da etwa eine einfache PHP-Erweiterung für die pfS?



  • Hi,

    Squidguard filtert nur die URLs, also nicht den Inhalt einer Webseite.
    Dansguardian filtert dagegen inhaltlich, also kommt auf einer webseite mehr als 5x das wort "torrent" vor, dann wirds geblockt.
    Das nur zur Verdeutlichung.

    Das freeradius2 Paket bzw. freeradius2 bietet "out of the box" kein dialupadmin. Im pfsense paket wäre es vermutlich unsinn, da man dort ja ein eigenes GUI hat. Zum nachinstallieren hilft dir evtl. diese Seite weiter:
    http://wiki.freeradius.org/Dialup-admin#Installation

    Ein anderes Voucher System als das, was in der pfsense integriert ist, gobt es nicht, zumindest nicht als Paket. Bestimmt haben andere Leute da etwas eigenes programmiert. Die Konfiguration von Vouchers ist jetzt aber auch nicht sonderlich schwer - weiterhin solltest du dir mal unter SYSTEM -> User manager das Ganze anschauen. Dort kannst du bestimmten usern z.B. nur erlauben, dass diese auf die Voucher Erstellungs-Page kommen, sonst an der pfSense aber nichts verändern können. Evtl. bringt dich das irgendwie weiter.

    PS: Squid im transparenten Modus filtert lediglich http traffic
    Squid im non-transparent Modus filtert http und https, erfordert aber, dass jeder Client/Browser die Proxy Einstellungen gespeichert hat. WPAD ist ein Schlagwort, wie man dies automatisch konfigurieren kann.
    Entsprechend dem gewählten Modus kann squidguard und dansguardian natürlich auch nur filtern.

    Einen torrent client, welcher bereits installiert ist, welcher auch bereits den torrent geladen hat und nun lediglich downloaden möchte, kannst du mit squid, squidguard, dansguardian eh nicht blocken, da der Verkehr über andere Protokolle als http und https stattfindet.
    Du kannst mit squid lediglich verhindern, dass sich jemand auf die seite torrent.xyz begibt und dort film.torrent herunterlädt.

    Evtl. schaust du nochmal nach den Tarffic Shaper Funktionen - priorisieren von http, https. dns Verkehr und regulieren von "sonstigem" Verkehr.


Log in to reply