Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Zeitbeschraenkung für einzele User

    Scheduled Pinned Locked Moved Deutsch
    14 Posts 3 Posters 6.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hoster
      last edited by

      Hallo Forum,

      gibt es mit der Pfsense die Möglichkeit bestimmte User
      oder Ip Adressen an bestimmten Tagen zu bestimmten
      Zeiten zu blocken?

      gruss hoster ;)

      1 Reply Last reply Reply Quote 0
      • GruensFroeschliG
        GruensFroeschli
        last edited by

        ja.
        suche im forum mal nach "scheduled rules"

        hier der thread in dem dieses feature entstanden ist:
        http://forum.pfsense.org/index.php/topic,3969.0.html

        We do what we must, because we can.

        Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

        1 Reply Last reply Reply Quote 0
        • H
          hoster
          last edited by

          dank dir fuer den Tip.

          ich wuehle schon, aber geht sowas
          vielleicht ueber proxy acl´s?

          gruss hoster. :)

          1 Reply Last reply Reply Quote 0
          • H
            heiko
            last edited by

            die timed based rules sind sehr gut dafür geeignet, SSH ports nachts zu sperren, internet verbieten,….etc...., läuft wunderbar, solltest Du unter Firewall --> Schedules finden.

            Über Proxy acl´s mit dem Squid Package, ja da kannst Du Seiten und auch User sperren, aber nicht zeitbasiert, wenn Du das meinst

            Gruß
            Heiko

            1 Reply Last reply Reply Quote 0
            • H
              hoster
              last edited by

              Hallo Heiko,

              und danke für die Aufklaerung.
              Deine Aktion mit den timebased Rules hab ich
              komplett durchgelesen und mittlerweile auch in
              die Tat umgesetzt. Funktioniert gut.

              Alle Achtung dir und den Leuten die sich da ins Zeug gelegt haben.

              Aber jetzt erklaer ich nochmal was ich eigentlich moechte.
              Ich habs auch schon in schlechtem Englisch unter Packages
              gepostet.

              Also:

              Ich moechte mindestens Port 80, 443 von Lan nach Wan sperren.
              Das ist auch überhaupt kein Problem. Damit ist eine Nutzung des
              Squid unumgänglich. Ich brauch den Proxy zwingend in meiner Infra-
              struktur. Trotzdem müssen bei Benutzung des Proxys manche User
              zu bestimmten Zeiten an verschiedenen Tage von der Internetnutzung
              ausgeschlossen bleiben.

              Nun ja. Bis jetzt benutze ich die IPCop ebenfalls mit Squid. Bei der Cop
              gibt es ein Addon dass sich advanced Proxy nennt. Damit ist genau diese
              timebased ACL  über die gui möglich.

              Da ich mich mittlerweile immer mehr mit der PfSense beschäftige und die
              auch in vielen Bereichen mehr bietet wäre es schön wenn die PfSense das
              auch könnte.

              Ist das überhaupt nicht möglich oder gehört da dann doch wieder viel
              Entwicklungsarbeit rein?

              gruss hoster… ;)

              1 Reply Last reply Reply Quote 0
              • GruensFroeschliG
                GruensFroeschli
                last edited by

                Auf dem LAN-Interface gibt es eine Default-Regel die Standardmässig Traffic vom LAN-subnet nach WAN zulässt.
                Wenn du diese Regel entfernst ist alles auf diesem Interface gesperrt und niemand mehr (auch nicht über den Proxy) kommt auf's Internet.
                Du kannst nun Regeln hinzufügen die Scheduled sind und dann Traffic für einzelne IP's zulassen.

                –> Es ist sinnvoller Regeln zu machen die Traffic zu bestimmten Zeiten zulässt, als Regeln zu erstellen die Traffic zu bestimmen Zeiten sperrt, da standardmässig alles immer gesperrt ist.

                Für deinen Fall wäre es vielleicht interessant Aliases (Firewall-->Aliases) zu verwenden.
                Dort kannst du dann verschiedene Aliases erzeugen die deine Listen von IP's enhalten von deinen Usern.
                Die Aliase kannst du in allen Feldern die rot hinterlegt sind verwenden (bei den Firewall-Regel).

                We do what we must, because we can.

                Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

                1 Reply Last reply Reply Quote 0
                • H
                  hoster
                  last edited by

                  Dank dir für den Hinweis,

                  aber ich habe dass Gefühl dass sobald ich den Proxyserver
                  aktiviere die timebased Rules nicht mehr greifen.

                  Hab zum Beispiel versucht (da mein Proxy auf 8080 hört)
                  ne Regel zu erstellen die Zugriff auf 8080 verbietet aber
                  ich surf in der Testumgebung trotzdem fröhlich weiter.

                  vielleicht hab ich nen Denkfehler? korrigier mich bitte wenns so ist.

                  gruss hoster

                  1 Reply Last reply Reply Quote 0
                  • GruensFroeschliG
                    GruensFroeschli
                    last edited by

                    Kommt drauf an wo du die Regel erzeugt hast.
                    In pfSense werden die Regeln von oben nach unten durchgegangen. Wenn die erste Regel erreicht wird die zutrifft dann wird der Rest nicht mehr beachtet.
                    Dein Block-Regel müsste also theoretisch an oberster Stelle sein damit sie greift.
                    Aber wenn du auf dem LAN-Interface eine Regel erstellst die Port 8080 blockt , dann sollte der Proxy auf Port 8080 nicht mehr möglich sein.
                    Könnte es sein das in deiner Testumgebung ein anderer Weg ausser dem Proxy ins Netz möglich ist?

                    We do what we must, because we can.

                    Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

                    1 Reply Last reply Reply Quote 0
                    • H
                      heiko
                      last edited by

                      bitte schaue in deiner config nach, ob du alle cronitems hast, ansonsten gibt es mit den timebased rules probleme, diagnostics-backup, suche in der xml datei nach "cron".

                      Ich sperre einfach den zugang auf 3128 (bei mir squid) und das funktioniert wie es soll. Regel ganz nach oben auf dem LAN Tab und dann wird fröhlich geblockt…wie GruensFroeschli bereits gesagt hat.

                      Fast vergessen: Wenn Du mit schedules arbeitest, dann ist auch und gerade die Reihenfolge sehr wichtig, da folgendes zu beachten ist:

                      Aus einer PASS Rule wird nach Ablauf der Zeit, eine Blockregel. Aus einer BLOCKREGEL wird eine inaktive und nicht beachtet, siehst Du an in der Spalte "Schedule" an dem ICON....

                      1 Reply Last reply Reply Quote 0
                      • H
                        hoster
                        last edited by

                        Hallo alle,

                        und danke für eure Beiträge.

                        Ich hab den Schedule nochmal geloescht und die Regeln
                        auf LAN ebenfalls. Habe den Proxyport wie bei Heiko mal
                        auf 3128 gesetzt und eine einzige Blockrule auf Lan gesetzt.
                        Tcp –>any-->any-->any usw. Das heisst eigentlich dürfte
                        jetzt garnichts mehr gehen. Oder?

                        Lass ich nen Portscanner laufen auf die PfSense (Lan seitig)
                        ist 3128 offen und surfen geht weiterhin....

                        :(

                        gruss hoster

                        1 Reply Last reply Reply Quote 0
                        • H
                          heiko
                          last edited by

                          Hallo,

                          hast Du auch unter System –> Advanced --> Disable webGUI anti-lockout rule einen Haken gesetzt? Mach das bitte, aber denke daran, setze vorher Dein Regelwerk passend, ansonsten könntest Du dich selbst kicken. Also WebGui vom Lan erlauben etc...., dann geht es.

                          Dann kannst du eine Pass Rule vom "Lan-Subnet" "-TCP- Source Port -> any - Destination LAN Address --> Dest. Port 3128- setzen, und mit einem schedule versehen. Aus dieser wird dann an nach ABlauf der Zeit automatisch eine Blocking Regel....

                          Bei einem schedule werden die states automatisch gekillt, wenn du ohne arbeitest, schau dir noch die states an, ob da was rumschwirrt

                          Viel Spaß

                          Gruß
                          Heiko

                          1 Reply Last reply Reply Quote 0
                          • H
                            hoster
                            last edited by

                            Hallo Heiko,

                            werd ich morgen Früh direkt testen und
                            das Häckchen hab ich bestimmt übersehen.

                            Werd morgen berichten.

                            danke, hoster ;)

                            1 Reply Last reply Reply Quote 0
                            • H
                              hoster
                              last edited by

                              Hallo Heiko,

                              scheint sauber zu laufen aber erklär mir bitte noch
                              was das Häckchen wirklich bewirkt.

                              Ich versteh das erst mal so dass dann keiner ausser
                              der in der Rule festgelegten Adressen aufs GUI
                              zugreifen dürfen, aber was hat das mit dem Regelwerk
                              zu  tuen?

                              Danke für eure Hilfe,

                              gruss Hoster ;)

                              1 Reply Last reply Reply Quote 0
                              • H
                                heiko
                                last edited by

                                Schön, dass es geht. Die andere Frage "würde" ich wie folgt beantworten wollen:

                                pass in quick on rl0 inet from any to 192.168.70.1 keep state label "anti-lockout web rule"

                                –> wobei rl0 = LAN Interface,
                                --> wobei 192.168.70.1 = Lan Adresse

                                da SQUID mit dem eingestellten PORT auf  der LAN Addresse läuft, geht alles durch

                                Ich habe auf allen pfsense das Anti lock...ausgestellt, da ich sonst auch z.B. kein ICMP auf die Firewall verhindern kann....

                                Falls ich mit der Regel falsch liege, möge man mich gerne berichtigen.

                                Abfragen kannst Du unter --diagnostics-command -- mit pfctl -sa

                                Viel Spass beim Testen

                                Gruß
                                heiko

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.