backara
Goto Top

IPFire - Web-Proxy - URL-Filter bei https keine Access denied Seite

Hallo Forum,

ich habe ein Problem mit IPFire oder mit meinem Verständnis.
Da ich das nicht einschätzen kann und mich dumm und dusselig suche frage ich einfach mal.

Ich teste gerade IPFire mit Web-Proxy und URL-Filter in meiner Testumgebung.

Konfiguration:
Ich habe im Web-Proxy weitestgehend die Vorkonfiguration belassen.
Aktiviert auf Green und Transparent auf Green (beides aktiv)
Sprache der Fehlermeldungen: de
Design der Fehlermeldungen: IPFire
URL-Filter (aktiv)
Protolkoll (aktiv)

URL-Filter habe ich das Automatische Blacklist-update aktiviert und von Univ. Toulouse geholt und socialnet gesetzt.
Zusätzliche Sperrseiteneinstrellungen sind nicht aktiviert
Erweiterte Einstellungen Protokoll aktiviert

Auf dem Client sind im Browser die Proxyeinstellungen gesetzt.

Nun zum Problem
Rufe ich im Browser die 0.0.0.0 auf bekomme ich die Fehlerseite von IPFire angezeigt (FEHLER - Zugriff verweigert)
Rufe ich im Browser http://www.facebook.de auf bekomme ich korrekt die Access denied Seite angezeigt, die ich noch konfigurieren könnte.
Rufe ich https://www.facebook.com bekomme ich eine vom Browser generierte Fehlerseite angezeigt.

Und genau dieses Verhalten kann ich mir nicht erklären. Die Sperrung der Seite wird ja durch die Blacklist veranlasst, egal ob http oder https.
Warum wird einmal eine Message durch IPFire zurück gegeben und das andere Mal nicht?

Ich will das Ganze im Firmennetz umsetzen. Wenn nun nicht klar ist ob die Seite durch die Blacklist gesperrt ist oder der Anwender die URL falsch eingegeben hat ist das für den Anwender nicht zielführend und mein Telefon steht nicht mehr still.

Bisher habe ich noch kein HOWTO dazu gefunden bzw. in den Videos mit Anleitungen geht niemand darauf ein.

Entweder wissen alle warum das so ist oder es interessiert keinen.

Mir ist klar, dass die Verbindung durch https vom Client zum Webserver verschlüsselt ist, jedoch entscheidet ja der Web-Proxy mit dem URL-Filter und der Blacklist ob der Client die Seite die er im Browser eingeben hat sehen darf oder nicht.

Also wo ist des Pudel Kern versteckt?

Gruß Andreas

Content-ID: 665783

Url: https://administrator.de/contentid/665783

Printed on: October 6, 2024 at 16:10 o'clock

Snagless
Snagless Apr 15, 2021 updated at 15:02:40 (UTC)
Goto Top
Hallo,

kannst Du mal rgendwie deine Proxy-Konfiguration / Advanced Web Proxy ins Forum stellen. Und die URL-Filter-Konfig vom SquidClamav

Wir haben das Ding in einigen Hotspots am laufen, vorallem wegen dem Update-Accelerator im Advanced Proxy. Ich mag ihn und ich hasse ihn;=) Alle paar Jahre müssen wird den neu aufsetzten, da er keine Updates mehr verarbeiten will.

Bei mir kommt bei .DE ein Zertifikatsfehler weil da wird ja nur umgeleitet und das SSL Zertifikat ist auf vieles aber nicht auf .DE ausgestellt.
backara
backara Apr 16, 2021 at 08:41:42 (UTC)
Goto Top
Hallo Snagless,

SquidClamav hab ich nicht installiert (soll aber genau wie ClamAV)
Die Konfigs sind wie gesagt Standard (wie installiert).
Ich habe IPFire jetzt nochmal neu installiert und minimal konfiguriert und diesmal auch die Blacklist nicht aktiviert sondern nur die Domains gesperrt Gleiches Ergebnis HTTPS zeigt keine Fehlerseite die von IPFire kommt.

Standard Installation dann :
Aktiviert auf Green
URL-Filter (aktiv)

im URL-Filter nur Angepasste Blacklist, Domains eingetragen und aktiviert

Was ich noch gemacht habe aber oben im Eingangspost vergessen zu schreiben, damit der Internetverkehr auch über den Proxy läuft, habe ich 3 Firewall Regeln angelegt, so wie in Anleitungsvideos zu sehen)

Firewallregeln:
1. ICMP (Alle Typen ICMP) von GRÜN nach ROT ACCEPT
2. TCP von GRÜN nach ROT: DNS (TCP) ACCEPT
3. ALLE von GRÜN nach ROT DROP

Gruß Andreas
backara
backara Apr 16, 2021 updated at 10:40:54 (UTC)
Goto Top
Ich habe noch was gefunden, was zur Klärung dienlich sein könnte.

https://www.pcwelt.de/ratgeber/Mit-Squid-als-Proxy-Server-schneller-im-Netzwerk-surfen-5896242.html

<Auszug aus der Seite>Squid (auch) als SSL-Proxy nutzen - so geht's

... Ein Proxyserver leitet in der Standardkonfiguration HTTPS-Verbindungen einfach an den Webserver weiter. Er sieht zwar, welche URLs ein Benutzer aufruft, den Inhalt der Seiten kann er jedoch aufgrund der Verschlüsselung nicht speichern. Um das zu ermöglichen, muss der Proxy die Seiten entschlüsseln ...</Auszug aus der Seite>

Der Web-Proxy erkennt also welche Domain aufgerufen wird, auch bei https.
An dieser Stelle greift ja nun offensichtlich auch die Blacklist. Für mein Verständnis ist an dieser Stelle der Inhalt der Seite erstmal egal und entschlüsseln braucht er die Seite nicht für die Blacklist nach Domain oder URL denn die Information welche Seite besucht werden soll ist ja bekannt genau wie bei der http Seite auch.

Entweder ich raffe es nicht oder ich muss tatsächlich noch etwas über die Konsole konfigurieren was ich über die GUI nicht erreiche.

Gruß Andreas