Ausgehende Firewall - Internet "komplett" Sperren

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Ausgehende Firewall - Internet "komplett" Sperren

      Hallo,

      ich möchte über die Ausgehende Firewall das Internet Sperren, was eigentlich auch möglich ist.
      Wenn ich jetzt aber einer IP zugriff auf HTTP erlaube und dieser z.B. sich in ICQ einloggt und sich Webradio anhört und diese Rechte ihm dann weg nehme.
      Kann dieser Trotzdem weiter Webradio hören und im ICQ chatten, wie ist es möglich dies zu unterbinden ?

      Wir hatten auf unseren bisherigen LANpartys immer IPCop im einsatz, waren aber ende nicht mehr damit zufrieden.
      Wäre schön wenn mir da jemand helfen könnte :)

      Eigentlich müsste man ja eher den Eingehenden Verkehr Sperren allerdings funktioniert dies auch nicht :(
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      Das Problem ist nicht die Regel die dann alles sperrt, sondern die bestehenden Verbindungen.

      Bestehende Sessions bleiben von den Änderungen der Rules ausgenommen, weil die Firewall Stateful Inspection macht. Und solange die Session aktiv ist (Webradio Stream oder ICQ) die Rule nicht greift. Würde der Anwender Webradio beenden und neu starten wird auch die Session neu aufgebaut und die Rules der Firewall überprüft und entsprechend die Verbindung nicht erlaubt.

      Du kannst auf der Konsole der Firewall conntrack -f eingeben. Dann werden alle Connection Tabes gelöscht. Somit muss die Firewall anhand der Verbindungen "neu lernen" und dann werden die Rules auch wieder angewendet.

      Das habe ich mal im Bugtracker bemängelt. Es gibt ja genug Firewalls die das korrekt umsetzen können und bestehende Verbindungen dann auch verbieten. Das wurde dann mit "Zuviel Aufwand" "Performance Gründe" und und und abgetan.

      Endian wird sich schon anstrengen müssen um nicht auf der Strecke zu bleiben....

      Bugs werden sehr lange nicht bearbeitet. Releases kommen viel zu selten. Funktionen (QoS) die schon seit knapp 2 Jahren nicht funktionieren werden nicht in Ordnung gebracht, .... Schade um das gute System....

      Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      Hallo,
      wenn du unter Proxy / Zugriffsregeln als letzte Regel einer " Zugriff verweigert " mit MIME Typen machst
      (application/x-skype ) geht kein Skype mehr durch.

      Gruß Sabine
      Bilder
      • MIME Typen.jpg

        60,87 kB, 784×284, 463 mal angesehen
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.2
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      Hallo Sabine,
      mir geht es nicht darum etwas durchgehend zu sperren.

      Wir brauchen eine Firewall wo wir bestimmte ports für eine ip freigeben .. diese werden aber nur auf anfrage geöffnet und nach einer gewissen Zeit geschlossen. Beim Schließen soll aber der komplette Port für die ip gesperrt werden .. und nicht das man z.b. webradio weiter hören kann
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      Ok,
      das geht leider nicht :( :(

      Wie du schon gemerkt hast läuft der Verkehr weiter bis ihn der User trennt,
      erst bei einem Neustart geht nichts mehr durch.

      Schau mal hier:
      efw-forum.de/www/forum/viewtop…&p=6444&hilit=fanti#p6444

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.2
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      diese werden aber nur auf anfrage geöffnet und nach einer gewissen Zeit geschlossen


      Auch das war mal ein Wunsch von mir (zeitbasierte Rules). Weil iptables kann das per Default.
      Leider liegt das bei Endian auch schon seit mehr als 1 Jahr auf Halde....

      Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      Hi nochmal ;)

      auch das wäre leider nicht möglich, da andere User das Internet für Turniere benötigen.. einige Spiele setzen vorraus das man eine verbindung ins internet hat, z.B. Starcraft 2 braucht zugriff zum Battlenet .. würden in dem Moment wo ich eine Zwangstrennung durchführe, Leute im Turnier hängen, wären die wohl sehr verärgert ..

      Da werd ich mich wohl bei anderen Firewalls umsehen müssen :(
    • Re: Ausgehende Firewall - Internet "komplett" Sperren

      Und da bist du dir so sicher ? :)
      Das Problem ist, das ich da bissl Probleme hab mit dem durchsteigen..

      Aber hier ist ja nunmal das Forum für die Endian Firewall und nicht für pfsense ;)+

      edit: sorry für "Off-Topic"

      Aber Pfsense lässt genauso die Session weiter laufen .. es gibt zwar die möglichkeit diese Manuell von Hand zu killen -> zuviel Aufwand
      Gibt es auch eine möglichkeit diese Automatisch killen zu lassen ?
      Habe beide Versionen ausprobiert