Ausgehenden Verkehr bei transparentem Proxy beschränken

    Moin Forum!

    Ich möchte eine veraltete Firewall-Appliance durch Endian 3.2.2 ersetzen und dabei folgende Voraussetzungen umsetzen: Rein soll nichts, raus soll aber auch so gut wie nichts, jedenfalls nichts was ich nicht ausdrücklich erlaube. Ich denke, ich habe einen Weg gefunden, bin mir aber als Neuling in Sachen Firewalls unsicher, ob das alles so schlau ist.

    Ausganssituation: Etwa drei Dutzend Netzwerkgeräte, von denen lediglich ein Dutzend "nach draußen" gelangen darf. Dieses Dutzend soll per HTTP/HTTPS surfen dürfen, zwei Rechner davon sollen auch noch E-Mailen dürfen. Die Mehrheit der Geräte besteht aus Linux-Servern, die regelmäßig Ihre Updates herunterladen, die ich über einen transparenten Proxy cachen möchte.

    So habe ich das umgesetzt bzw. folgendes habe ich nach der Standard-Installation mit RED+GREEN verändert:

    • In "Firewall/Ausgehender Datenverkehr" habe (bis auf "allow DNS" und "allow PING") alle grünen Haken entfernt sprich alle Regeln, die ausgehenden Verkehr für HTTP(S), FTP und E-Mail-Protokolle zulassen, deaktiviert.
    • In "Proxy/Konfiguration" habe ich den HTTP Proxy aktiviert, auf "transparent" geändert, beim Cache ein wenig aufgebohrt (auf 32768 MB = 32 GB Zwischenspeicher und 131072 KB = 128 MB maximale Objektgröße).
    • In "Proxy/Zugriffsrichtlinien" habe ich für Quelle "GREEN" und Ziel "ALLE" den "Zugriff verweigert"

    In diesem Moment kommt also niemand mehr raus (außer mit DNS und PING).

    Für die Rechner, die auf das Internet zugreifen dürfen, habe ich

    • (für HTTP) unter "Proxy/Zugriffsrichtlinien" an erster Position eine Zugriffsrichtlinie hinzugefügt, die der/den IP-Adresse(n) ungefilterten Zugriff auf Ziel "ALLE" erlaubt.
    • (für HTTPS) unter "Firewall/Ausgehender Datenverkehr" an erster Position eine Firewallregel hinzugefügt, die der/den IP-Adresse(n) Zugriff auf TCP/443 erlaubt. Analog an weiteren Positionen Zugriffserlaubnisse für E-Mail-Protokolle für die entsprechenden IP-Adressen.

    Funktioniert, der Aufwand hält sich in Grenzen (eine neue IP muss an zwei Stellen eingetragen werden), an den Clients muss nichts konfiguriert werden. Aber ist das auch so, wie "man das so macht"? ?( Oder gibt es einen eleganteren Weg? Eure Meinung dazu würde mich interessieren.

    Danke! :)

    Ich kenne auch keinen anderen Weg - handhabe das auch so ähnlich wie du.
    Lediglich benutze ich dazu nicht die mir zu leicht zu änderden Endgeräte IP`s sondern die MAC Adressen der Endgeräte.
    Aber ablaufmäßig ist das ja kein Unterschied.

    Und wenn jemand an deinen Rechnern trotzdem raus will kann er ja einen externen Proxy im Browser eintragen. Dann müßte doch der transparente Proxy umgangen werden - oder?

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    Wenn jemand den transparenten Proxy umgehen möchte, dann blockt in die Firewall - dort lasse ich (wenn überhaupt) nur HTTPS/443 nach draußen durch.

    Das mit den MAC-Adressen ist eine guter Vorschlag, dank der Möglichkeit eine "Anmerkung" in "Ausgehende Firewallkonfiguration" kann man sich auch merken, um welches Gerät es geht. Bei den Proxy-Zugriffsrichtlinien gibt es solch ein Feld leider nicht.