Zeitbeschraenkung für einzele User
-
Hallo Heiko,
und danke für die Aufklaerung.
Deine Aktion mit den timebased Rules hab ich
komplett durchgelesen und mittlerweile auch in
die Tat umgesetzt. Funktioniert gut.Alle Achtung dir und den Leuten die sich da ins Zeug gelegt haben.
Aber jetzt erklaer ich nochmal was ich eigentlich moechte.
Ich habs auch schon in schlechtem Englisch unter Packages
gepostet.Also:
Ich moechte mindestens Port 80, 443 von Lan nach Wan sperren.
Das ist auch überhaupt kein Problem. Damit ist eine Nutzung des
Squid unumgänglich. Ich brauch den Proxy zwingend in meiner Infra-
struktur. Trotzdem müssen bei Benutzung des Proxys manche User
zu bestimmten Zeiten an verschiedenen Tage von der Internetnutzung
ausgeschlossen bleiben.Nun ja. Bis jetzt benutze ich die IPCop ebenfalls mit Squid. Bei der Cop
gibt es ein Addon dass sich advanced Proxy nennt. Damit ist genau diese
timebased ACL über die gui möglich.Da ich mich mittlerweile immer mehr mit der PfSense beschäftige und die
auch in vielen Bereichen mehr bietet wäre es schön wenn die PfSense das
auch könnte.Ist das überhaupt nicht möglich oder gehört da dann doch wieder viel
Entwicklungsarbeit rein?gruss hoster… ;)
-
Auf dem LAN-Interface gibt es eine Default-Regel die Standardmässig Traffic vom LAN-subnet nach WAN zulässt.
Wenn du diese Regel entfernst ist alles auf diesem Interface gesperrt und niemand mehr (auch nicht über den Proxy) kommt auf's Internet.
Du kannst nun Regeln hinzufügen die Scheduled sind und dann Traffic für einzelne IP's zulassen.–> Es ist sinnvoller Regeln zu machen die Traffic zu bestimmten Zeiten zulässt, als Regeln zu erstellen die Traffic zu bestimmen Zeiten sperrt, da standardmässig alles immer gesperrt ist.
Für deinen Fall wäre es vielleicht interessant Aliases (Firewall-->Aliases) zu verwenden.
Dort kannst du dann verschiedene Aliases erzeugen die deine Listen von IP's enhalten von deinen Usern.
Die Aliase kannst du in allen Feldern die rot hinterlegt sind verwenden (bei den Firewall-Regel). -
Dank dir für den Hinweis,
aber ich habe dass Gefühl dass sobald ich den Proxyserver
aktiviere die timebased Rules nicht mehr greifen.Hab zum Beispiel versucht (da mein Proxy auf 8080 hört)
ne Regel zu erstellen die Zugriff auf 8080 verbietet aber
ich surf in der Testumgebung trotzdem fröhlich weiter.vielleicht hab ich nen Denkfehler? korrigier mich bitte wenns so ist.
gruss hoster
-
Kommt drauf an wo du die Regel erzeugt hast.
In pfSense werden die Regeln von oben nach unten durchgegangen. Wenn die erste Regel erreicht wird die zutrifft dann wird der Rest nicht mehr beachtet.
Dein Block-Regel müsste also theoretisch an oberster Stelle sein damit sie greift.
Aber wenn du auf dem LAN-Interface eine Regel erstellst die Port 8080 blockt , dann sollte der Proxy auf Port 8080 nicht mehr möglich sein.
Könnte es sein das in deiner Testumgebung ein anderer Weg ausser dem Proxy ins Netz möglich ist? -
bitte schaue in deiner config nach, ob du alle cronitems hast, ansonsten gibt es mit den timebased rules probleme, diagnostics-backup, suche in der xml datei nach "cron".
Ich sperre einfach den zugang auf 3128 (bei mir squid) und das funktioniert wie es soll. Regel ganz nach oben auf dem LAN Tab und dann wird fröhlich geblockt…wie GruensFroeschli bereits gesagt hat.
Fast vergessen: Wenn Du mit schedules arbeitest, dann ist auch und gerade die Reihenfolge sehr wichtig, da folgendes zu beachten ist:
Aus einer PASS Rule wird nach Ablauf der Zeit, eine Blockregel. Aus einer BLOCKREGEL wird eine inaktive und nicht beachtet, siehst Du an in der Spalte "Schedule" an dem ICON....
-
Hallo alle,
und danke für eure Beiträge.
Ich hab den Schedule nochmal geloescht und die Regeln
auf LAN ebenfalls. Habe den Proxyport wie bei Heiko mal
auf 3128 gesetzt und eine einzige Blockrule auf Lan gesetzt.
Tcp –>any-->any-->any usw. Das heisst eigentlich dürfte
jetzt garnichts mehr gehen. Oder?Lass ich nen Portscanner laufen auf die PfSense (Lan seitig)
ist 3128 offen und surfen geht weiterhin....:(
gruss hoster
-
Hallo,
hast Du auch unter System –> Advanced --> Disable webGUI anti-lockout rule einen Haken gesetzt? Mach das bitte, aber denke daran, setze vorher Dein Regelwerk passend, ansonsten könntest Du dich selbst kicken. Also WebGui vom Lan erlauben etc...., dann geht es.
Dann kannst du eine Pass Rule vom "Lan-Subnet" "-TCP- Source Port -> any - Destination LAN Address --> Dest. Port 3128- setzen, und mit einem schedule versehen. Aus dieser wird dann an nach ABlauf der Zeit automatisch eine Blocking Regel....
Bei einem schedule werden die states automatisch gekillt, wenn du ohne arbeitest, schau dir noch die states an, ob da was rumschwirrt
Viel Spaß
Gruß
Heiko -
Hallo Heiko,
werd ich morgen Früh direkt testen und
das Häckchen hab ich bestimmt übersehen.Werd morgen berichten.
danke, hoster ;)
-
Hallo Heiko,
scheint sauber zu laufen aber erklär mir bitte noch
was das Häckchen wirklich bewirkt.Ich versteh das erst mal so dass dann keiner ausser
der in der Rule festgelegten Adressen aufs GUI
zugreifen dürfen, aber was hat das mit dem Regelwerk
zu tuen?Danke für eure Hilfe,
gruss Hoster ;)
-
Schön, dass es geht. Die andere Frage "würde" ich wie folgt beantworten wollen:
pass in quick on rl0 inet from any to 192.168.70.1 keep state label "anti-lockout web rule"
–> wobei rl0 = LAN Interface,
--> wobei 192.168.70.1 = Lan Adresseda SQUID mit dem eingestellten PORT auf der LAN Addresse läuft, geht alles durch
Ich habe auf allen pfsense das Anti lock...ausgestellt, da ich sonst auch z.B. kein ICMP auf die Firewall verhindern kann....
Falls ich mit der Regel falsch liege, möge man mich gerne berichtigen.
Abfragen kannst Du unter --diagnostics-command -- mit pfctl -sa
Viel Spass beim Testen
Gruß
heiko
