dertowa
Goto Top

Cloudflare und pfsense?

Hallo zusammen,
vielleicht kann mich jemand erleuchten.

Ich habe hier ein kleines Projekt für eine Schule.
Zuvor eingerichtet war:
Schüler-PCs waren per hosts-Datei vom Internet abgeschnitten, also nur drei benötigte Seiten mit ihren IPs waren eingetragen.

Das hat lange gut funktioniert, bis die zentrale Schulverwaltung beschlossen hat "die Welt besser zu machen".
Leider hat man nicht beim Hintergrundsystem angefangen - um erstmal Silverlight abzulösen.
Es gab also mit der hosts-Datei Probleme die Seite zu erreichen und nach erster Diagnose nun einen IP-Range um die Seite anzusteuern.

Der Versuch die Freigaben über die Kindersicherung der vorhandenen Fritz!Box zu lösen funktionierte nicht, die PCs haben die Box dermaßen bombardiert, dass von der gar nichts mehr zurückkam.

Also war die Idee geboren die PCs hinter einer kleinen pfsense zu verschanzen und über Aliase nur die erlaubten Seiten einzutragen.
Dies klappt grundlegend, bei der Analyse der Freigaben fand ich dann Hinweise auf Cloudflare und erweiterte die zugelassenen Bereiche um deren IP-Ranges: https://www.cloudflare.com/ips/
Hinzu kamen die offiziell benötigten IP-Adressen der Hintergrundserver und die öffentlichen DNS Adressen.

Leider fehlt in bestechender Regelmäßigkeit (meist im IE11 - der wegen Silverlight benötigt wird), das Loginfenster auf der Seite: https://www.los.de/lrs-software
Mal ist es da, mal nicht, mal verschwindet es wenn man die Seite aktualisiert, mal lädt die Seite ewig bis es erscheint oder eben nicht erscheint.
Der Zustand ist nicht konsistent, laut der zentralen Entwicklung sind die Restriktionen "zu streng" und es läge an den "ständig wechselnden IPs".
Ändern könne man das nicht, da alles funktioniert wenn man das Internet vollständig geöffnet hat.

Das Logging der pfsense gibt leider auch nicht viel Aufschluss, zu meist wird mit dem Hintergrundserver der Seite kommuniziert und dann kommt spontan von dort einfach keine Antwort mehr an den Client zurück.

Hat schon mal jemand solch phänomenales Konstrukt gehabt?
Sinnvolle Alternativen um jeglichen Traffic zu blocken?

Die PCs sind leider alle uralt, ist zwar schon Windows 10 drauf, aber die sind sehr schnell mit ihren alten HDDs mit allem überfordert was das offene Internet so mit ihnen veranstaltet. face-big-smile

Grüße
ToWa

Content-Key: 4723065349

Url: https://administrator.de/contentid/4723065349

Printed on: January 31, 2023 at 21:01 o'clock

Member: Dani
Dani Nov 22, 2022 at 17:45:36 (UTC)
Goto Top
Moin,
mir ist nach zwei Stunden immer noch nicht klar, was du mit der pfSense (und mit Cloudflare) erreichen möchtest. Evtl. liest du deinen Text selbst nochmals und fragst dich anschließend, ob du es verstehst. face-wink


Gruß,
Dani
Member: Gentooist
Gentooist Nov 22, 2022 updated at 18:09:34 (UTC)
Goto Top
Also für mich klingt das nach einem Klassenzimmer, dessen Rechner nur auf die Webseiten zugreifen dürfen, die in einer zentral gepflegten Whitelist aufgeführt sind. Alles andere soll verhindert werden, und ist damit geblockt.

Eine einfache Lösung dafür ist z.B. lokal Pi-Hole aufsetzen und das entsprechend konfigurieren. Dann nur noch in allen Clients den Pi-Hole fest als DNS-Server eintragen, fertig.

pfSense kann das natürlich auch, und noch viel mehr. Das Prinzip ist aber in pfSense dasselbe.

Das Problem an dem Ansatz ist nur, dass moderne Webseiten oft so viele externe Abhängigkeiten haben, dass man sich mit sowas das kaputt schießt.

Alternativ kann man in PiHole als auch Pfsense spezielle Blocklisten reinladen, die die bekanntesten nicht jugendfreien Webseiten blocken.
Member: dertowa
dertowa Nov 22, 2022 at 18:29:52 (UTC)
Goto Top
Salut,
ja, es ist alles ein wenig wirr, aber genauso sieht es bei mir im Kopf aktuell aus. face-big-smile

Gentooist hat das schon genau richtig erfasst.
Das Konstrukt, was aber eben nur an dieser einen Stelle (dem Loginfenster) nicht funktioniert schaut so aus (hier mal von meinem virtuellen Testsystem):

bildchen

Entsprechend sind nur die zugeordneten Seiten Firewall -> Aliases erlaubt, der Rest steht auf HOLD.
Grundsätzlich klappt das super, bspw. sind darin die Seiten dict.cc oder rechtschreibtest.de enthalten, das läuft.
Die Hauptseite www.los.de funktioniert ebenfalls tadellos.

Es hakt eben nur an dem Loginfenster, was von einem (mir bekannten und freigegebenen) Backgroundserver abgerufen werden müsste.

@Gentooist
Jap, die Blocklisten kenne ich pfBlockerNG bspw. nutze ich selbst.
Es ist aber zumindest in meiner bisherigen Theorie deutlich einfacher 3 Seiten freizugeben, anstatt alles zu blocken was einem irgendwie einfällt. face-sad

Grüße
Member: aqui
aqui Nov 23, 2022 updated at 12:27:42 (UTC)
Goto Top
Dein Regelwerk ist auch etwas unlogisch...
Richtig ist das du mit Aliases arbeitest was das Management vereinfacht. Das kannst du übrigens auch für die Ports machen was das Regelwerk dann noch übersichtlicher macht.
Völlig unlogisch sind aber 4 Regeln in dem gesamten Port Regelwerk.
Es gelten ja immer 3 Grundregeln:
  • Regelwerk wirkt nur inbound
  • Es besteht ein explicit deny (Alles was nicht erlaubt ist ist explizit verboten)
  • First match wins (Positiver Hit im Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird)

Demnach sind folgende Auffälligkeiten da zu sehen:
  • Regel 4 ist völliger Quatsch, denn interner Traffic aus dem lokalen LAN landet niemals bei einem Router oder Firewall! Wozu auch, denn er muss ja nicht in andere IP Netze. Für den Traffic ist die FW niemals involviert. Diese Regel ist also Blödsinn, da komplett überflüssig weil es niemals diesen Traffic gibt am lokalen LAN Port und kann entfallen.
  • Die Dritte von unten blockiert allen Traffic. Aber das ist die eh systemspezifische explicit Deny Regel (s.o.). Ist also auch komplett überflüssig und kann entfallen.
  • Die letzten beiden Regeln darunter erlauben dann eh alles aus dem Intranet überall hin für das Intranet. Da fragt man sich wozu dann die oberen Regeln gut sind diese Scheunentor Regeln das so oder so auch alles erlauben?
Ein sauberes Whitelist Regelwerk sieht anders aus...

Die 2 letzten Regeln führen das gesamte Regelwerk dann so oder so ad absurdum denn dann würde auch eine schlichte "Allow IPv4/v6 Intranet nach Any" auf diesem Interface reichen.
Bzw. da die gesamte Blocking Regel noch davor steht könnte man auch diese 3 letzten Regeln komplett löschen da sie sinnfrei sind.
Relevant sind lediglich die ersten 6 Regeln die überflüssige Regel des internen Traffics schon weggedacht.

Wenn es sich, wie der Kollege @gentoist oben beschreibt, um eine sinnvolle Whitelist handeln soll, dann ist es das obige Regelwerk in der Form natürlich nicht!

Im Falle des TO das man den genauen Traffic Flow auf den Silverlight Server nicht kennt würde man doch idealerweise immer strategisch vorgehen und sich diesen Traffic entweder über die Paket Capture Funktion der Firewall im Diagnostics Menü selber oder mit einem Test Client PC und darauf aktivem Wireshark im Intranet Segment einmal genau anzusehen.
Im Paket Capture filtert man dann einfach nur auf die Client IP. In beiden Fällen erhält man einen sehr genauen Paket Trace der explizit die externen abgefragten IP Adressen und die verwendeten Ports des Login Prozesses (und auch allem anderen) anzeigt.
Damit hat man dann wiederum eine sehr genaue Blaupause für ein sauber funktionierendes Regelwerk an der Firewall.
Versteht man deine Intention des Regelwerkes richtig ist das obige eher große Frickelei als das es das richtig umsetzt was du vorhast.
Member: dertowa
dertowa Nov 23, 2022 updated at 14:16:42 (UTC)
Goto Top
Schon richtig, das Regelwerk ist ja auch eher aus der Verzweiflung des Anmeldefensters entstanden. face-wink
Die letzten beiden Regeln sind eben da, um den Block einfach aufheben zu können, um zu sehen ob es dann ohne Beschränkung läuft.

Wie bereits geschrieben habe ich mir den Traffic mit der Diagnostic über die Firewall vom Client angesehen, das Ergebnis ist nicht aussagekräftig.
Bedeutet, es wird mit keinen unbekannten IPs kommuniziert, aber von eben diesen kommt irgendwann keine Antwort mehr.
Das kann zur Einblendung des Login-Fensters sein, oder aber auch im Silverlight-System selbst.

Wireshark spuckt leider ebensowenig etwas aus, denn wenn keine Antwort kommt, dann kommt keine Antwort. face-sad

Wie gesagt, die Zentrale begründet das mit verschleierten und wechselnden IPs über Cloudflare was ich nicht nachvollziehen kann.

P.S.: Noch dazu existieren so lustige Effekte wie:
Auf identischem System funktioniert das Loginfenster bspw. im Edge problemlos, im IE11 ist es nicht da.
Genauso kann es mal andersrum sein oder es ist in beiden nicht da.
Ohne Änderungen an der Firewall sind die Ergebnisse nie konstant, kann heute klappen und morgen sieht die Welt wieder ganz anders aus.
Member: aqui
aqui Nov 24, 2022 updated at 08:46:25 (UTC)
Goto Top
Wireshark spuckt leider ebensowenig etwas aus, denn wenn keine Antwort kommt
Deshalb sniffert man ja auch einmal ohne Filter um zu sehen wie ein kompletter Login Prozess aussieht.
Mit Filter sniffert man dann am PC selber und auch parallel am WAN Port der FW per Paket Capture und vergleicht um mal zu sehen WAS denn gesendet wird und was überhaupt durchkommt und was nicht.
Wie gesagt...immer strategisch vorgehen! ­čśë
Member: dertowa
dertowa Nov 27, 2022 at 11:10:59 (UTC)
Goto Top
Zitat von @aqui:

Deshalb sniffert man...

Wird mir auch nichts anderes übrig bleiben, denn die Alternative "einfach alle Kategorien über die Shallaliste mit pfBlockerNG zu blocken" ist mittlerweile ja vollständig tot.
Die Shallaliste gibt es nicht mehr, wird zwar von pfBlockerNG noch angeboten, aber Daten gibt es dazu keine mehr, da die Seite nicht mehr existent ist. face-sad
Member: Dani
Dani Nov 27, 2022 updated at 12:15:09 (UTC)
Goto Top
Moin,
blöde Frage: Wenn es um Jugenschutz und Filter geht, warum greifst du nicht auf Produkte ala JusProgDNS zurück? Gerade wenn es um Einhaltung der FSK Freigaben gibt, eines der besten Produkte die ich bis dato gesehen habe. Das schöne ist, dass du über das Kundenmenü noch weitere Einstellungen (z.B. Whitelist) vornehmen kannst. Je nachdem wie du es anstellst, kann auch dort Lehrkräfte Internetseiten freischalten, die (temporär) benötigt werden.

Alles andere wird dir früher oder später immer wieder auf die Füße fallen, Zeit und Nerven kosten. Hab schon öfters mit pfSense/OpnSense, Barracuda, etc. gespielt und im Langzeit Test wieder verworfen. Zumal sich heute Abhängigkeiten bei Internetseiten schneller ändern als du reagieren kannst. Und das sage ich dir als ehrenamtlicher ITler für ein paar Schulen.


Gruß,
Dani

P.S. Was hat das Ganzem it Cloudflare zu tun?
Member: aqui
aqui Nov 27, 2022 at 14:15:41 (UTC)
Goto Top
Produkte ala JusProgDNS zurück?
Oder zumindestens einen DNS Filter mit Safe Browsing und App Filter wie Adguard:
https://github.com/AdguardTeam/AdGuardHome
https://broadbandforum.co/threads/installing-adguard-home-on-pfsense.205 ...
Member: dertowa
dertowa Nov 27, 2022 updated at 16:02:59 (UTC)
Goto Top
Es geht nicht um irgendeinen Schutz, es geht darum alles zu blocken und nur das zuzulassen was benötigt wird, das sind eben seit Jahren nur 3 Seiten, ganz früher war mal alles offline - das existiert noch in einer DOS-Box. face-big-smile
Es soll sich also nichts frei aktualisieren, es soll nichts verfügbar sein...
Achso, super wäre auch wenn es nichts kostet, wir kennen die widrigen wirtschaftlichen Zeiten in denen wir aktuell leben. Wenn zum Erhalt des Überlebens an Luxus und Bildung gespart wird.

Ich geh mal swiffern, ehhh sniffern...

@Dani
JusProgDNS schau ich mir aber mal an, da gibt es für Schulen auch Sondertarife.
Mit Cloudflare hat das insoweit was zu tun, als das es vorher wunderbar lief, bis die Server hinter die "Fassade" gezogen sind.

Edit: Die IP-Liste wächst und wächst.
Spannend ist, es funktioniert alles, es kommen keine Fehler im Wireshark, dann kann man folgende Optionen anbringen:
  • Browserwechsel
  • Systemneustart
  • Browsercache leeren
Nach irgendeiner dieser Aktionen kann man davon ausgehen, dass es anschließend wieder nicht mehr geht und Wireshark neue fehlgeschlagene Verbindungen anführt.
...ein Fass ohne Boden...
Mal sehen ob sich aus der Sammlung Netzwerkblöcke ergeben die benötigt werden, mal sehen ob das von Dauer ist.
Member: Dani
Solution Dani Nov 27, 2022 updated at 16:18:03 (UTC)
Goto Top
Moin,
Es geht nicht um irgendeinen Schutz, es geht darum alles zu blocken und nur das zuzulassen was benötigt wird, das sind eben seit Jahren nur 3 Seiten, ganz früher war mal alles offline - das existiert noch in einer DOS-Box. face-big-smile
Gut, jetzt habe ich es auch verstanden. Nächstes Mal gleich so in die Frage schreiben. face-wink

In diesen Fall wirst du wohl oder übel auf Application Control zurückgreifen müssen. Weil eigentlich fast jeder Hansel inzwischen ein CDN am Start hat. Für OpnSense gibt es eine Erweiterung von Zenarmor (Referenz). Ob diese auch für pfSense gibt und funktioniert, weiß ich nicht.

Eigene Applikation für jeweils die drei Seiten einrichten und diese Whitelisten. Alles andere sperren - fertig.


Gruß,
Dani
Member: dertowa
dertowa Nov 27, 2022 updated at 17:00:53 (UTC)
Goto Top
Zitat von @Dani:
In diesen Fall wirst du wohl oder übel auf Application Control zurückgreifen müssen. Weil eigentlich fast jeder Hansel inzwischen ein CDN am Start hat.

Salut,
richtig, aber grundsätzlich dürfte hier nur Cloudflare ein CDN haben und die Adressen sind hinterlegt aus deren Quelle.
Dennoch ist Theorie und Praxis wohl wieder um einiges auseinander, ich habe jetzt mal zwei Testclients mit Wireshark durch und die angesteuerte IP Liste ist nun im Gesamten (ohne die von der Schulzentrale genannten "benötigten" IPs):

face-big-smile
Damit laufen die beiden aktuell, da wie oben geschrieben der Zustand aber nicht konsistent ist, naja...

Die Application Guard Erweiterung klingt spannend, das schau ich mir mal an. face-smile
Die pfsense kann ich auch recht unkompliziert gegen eine OpenSense austauschen.

Danke soweit.

Gruß
ToWa
Member: dertowa
dertowa Nov 27, 2022 updated at 21:30:44 (UTC)
Goto Top
Zitat von @Dani:
Für OpnSense gibt es eine > Eigene Applikation für jeweils die drei Seiten einrichten und diese Whitelisten. Alles andere sperren - fertig.

Hallo Dani,

ich hab mich mal bei der opnsense durchgeschlagen und mich an Zenarmor versucht.
Ist ebenfalls sehr spannend, im Edge klappt die Freigabe der Hauptseite, das Login-Fenster fehlt hier ebenfalls wie bei der pfsense.
Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
...ist natürlich blödsinnig denn ohne Einschränkungen läuft die Seite. face-sad

Muss ich noch mal genauer beleuchten.
Member: Dani
Dani Nov 27, 2022 updated at 21:36:23 (UTC)
Goto Top
Moin,
Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
du machst Witze, oder?! Der Internet Explorer 11 seit 15.06.2022 End of Life und gehört damit auf den Systemen verbannt (Deaktivieren und Aktivieren von Internet Explorer unter Windows). Und sag jetzt bitte nicht, dass einer der drei erlaubten Webseiten nur mit dem Internet Explorer 11 funktionieren.

Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
Die Fehler ist bei Verwendung von Application Control "gewollt". Die Meldung erhalten wir auch bei Palo Alto und Barracuda Firewalls ebenfalls nur im Internet Explorer. Poste doch sicherheitshalber noch einen Screenshot der Meldung.


Gruß,
Dani
Member: dertowa
dertowa Nov 28, 2022 updated at 14:21:04 (UTC)
Goto Top
Zitat von @Dani:

Der IE11 vermeldet Probleme mit der sicheren Verbindung und verweist auf die TLS-Einstellungen.
du machst Witze, oder?! Der Internet Explorer 11 seit 15.06.2022 End of Life und gehört damit auf den Systemen
Gruß,
Dani

Salut,
nein, ich mache keine Witze, siehe Eingangsposting:
Leider fehlt in bestechender Regelmäßigkeit (meist im IE11 - der wegen Silverlight benötigt wird), das Loginfenster auf der Seite: https://www.los.de/lrs-software

Ist so, muss so, geht nicht anders. face-big-smile
Grüße

P.S.: Von der Schulverwaltung wird der IE-Modus des Edge empfohlen, der hat aber selbige Probleme. face-smile
Member: Dani
Dani Nov 28, 2022 at 14:20:56 (UTC)
Goto Top
Moin,
Ist so, muss so, geht nicht anders. face-big-smile
ist evtl. der IE 11 Modus des Edges eine Alternative? Weil spätestens nächstes Jahr, wirst du ein Problem mehr haben?!
Dem Hersteller würde ich mal auf die Füße treten. Zur Not mit der DSGVO Druck aufbauen. Da bewegt sich auf einmal vieles. Wenn's gar nicht anders geht die Behörden ins Boot holen... kostet zwar Haar aber ist irgendwie auch immer lustig. face-wink


Gruß,
Dani
Member: dertowa
dertowa Nov 28, 2022 at 14:26:10 (UTC)
Goto Top
Zitat von @Dani:

ist evtl. der IE 11 Modus des Edges eine Alternative?

Gruß,
Dani

Siehe oben, bei der pfsense machte der IE-Modus des Edge 1:1 das, was der IE selbst auch machte.
Also im Zweifel nix.
Ob das mit der OPNsense anders ist muss ich mal ausprobieren, das wird heut aber nix mehr.

Grundlegend ist das alles ein ziemliches Gewirr aus neu und alt.
Man nehme einfach mal das was man hat, packe dies hinter ein CDN bei Cloudflare und dann fröhlich weiter basteln mit IE11, Silverlight, hier und da bisschen was neues machen, ach geht nicht, ja schade, einfach Internet öffnen...

Die "Schulleitung" möchte keinen Druck auf die Zentrale ausüben, aber es geht allen angeschlossenen Schulen so, alles ärgert sich, alles "wuselt" irgendwie drumherum.
Ist eben echt nervig.
Member: dertowa
dertowa Nov 28, 2022 updated at 22:08:27 (UTC)
Goto Top
So doch noch mal einen kurzen Blick geworfen.
Mit der OPNsense noch mal alles geblockt und explizit in der Whitelist die nötigen Domains freigegeben.
Selbiges "Problem" mit dem Loginfenster, welches einfach fehlt:
login
Die kann also leider nicht direkt etwas besser oder schlechter als die pfsense.
Schön ist, dass Zenarmor in den APP Kontrollen Cloudservices wie Cloudflare listet, genauso wie Infrastructure Services.

Spannend ist, dass das Fenster kommt, wenn ich in den APP Kontrollen alles erlaube, also begebe ich mich nun mal an die Fleißarbeit zu schauen bei welcher Kategorie es aussteigt...

P.S.: Irgendetwas ist in "Secure Web Browsing" was das Laden verhindert. face-big-smile
OK damit könnte es etwas werden.
Member: Dani
Dani Nov 28, 2022 updated at 22:01:10 (UTC)
Goto Top
Moin,
bau dir doch einfach eine Custom App. Einmal mit den Entwickler Tools die verschiedenen URLs protokollieren und diese URLs anschließend ind er CustomApplication hinzufügen, freigeben und fertig.

Die "Schulleitung" möchte keinen Druck auf die Zentrale ausüben, aber es geht allen angeschlossenen Schulen so, alles ärgert sich, alles "wuselt" irgendwie drumherum.
Du hast ein großes Herz! Ich wäre da - Ehrenamt hin oder her - nicht zimperlich. Meine Zeit ist schließlich kostbar.


Gruß,
Dani
Member: dertowa
dertowa Nov 28, 2022 updated at 22:14:37 (UTC)
Goto Top
Zitat von @Dani:
bau dir doch einfach eine Custom App. Einmal mit den Entwickler Tools die verschiedenen URLs protokollieren
Die URLs in den Entwicklertools habe ich laaaange alle durch, das hilft leider gar nichts. face-sad

Du hast ein großes Herz! Ich wäre da - Ehrenamt hin oder her - nicht zimperlich. Meine Zeit ist schließlich kostbar.
Du, meine auch (zwar nicht sooo sonderlich wenn man das nur nebenher macht), ehrenamtlich mache ich das auch nicht, allerdings ist es eben eine überschaubare schulische Einrichtung und da muss man auch mal "fünfe gerade sein lassen" und mir macht das ja auch Spaß. face-big-smile

Wie oben editiert, es hängt wohl mit der Rubrik "Secure Web Browsing" zusammen, aber ich denke damit lässt sich leben. Ach und "Online Utility" darf man auch nicht sperren, hmm vielleicht ist es doch noch nicht konsistent...
Member: Dani
Dani Nov 29, 2022 updated at 07:55:01 (UTC)
Goto Top
Moin,
Die URLs in den Entwicklertools habe ich laaaange alle durch, das hilft leider gar nichts. face-sad
damit wir uns nicht missverstehen: Aus allen URLs, die aufgelistet werden, eine CustomApplication bauen und freigeben. Müsste auch in einem der beiden Links beschrieben/erläutert werden?! Mir fehlt bloß aktuell die Zeit es nachzubauen.


Gruß,
Dani
Member: dertowa
dertowa Nov 29, 2022 at 13:03:32 (UTC)
Goto Top
Zitat von @Dani:
damit wir uns nicht missverstehen: Aus allen URLs, die aufgelistet werden, eine CustomApplication bauen und freigeben.
Salut,
habe ich bei der OPNsense nicht weiter verfolgt, da ich die URL-Freigaben über die Aliase bei der pfsense bereits durch hatte und das hat nichts gebracht. face-wink
Stecken wir mal nicht zuuu viel Zeit in veraltete Strukturen.

Wichtig ist, dass es offensichtlich läuft und das sowohl im IE11 als auch im IE-Mode des Edge (sofern die noch lange mit Silverlight kämpfen).
Grüße