IPFire - Web-Proxy - URL-Filter bei https keine Access denied Seite

Mitglied: backara

backara (Level 1) - Jetzt verbinden

15.04.2021 um 16:10 Uhr, 533 Aufrufe, 3 Kommentare

Hallo Forum,

ich habe ein Problem mit IPFire oder mit meinem Verständnis.
Da ich das nicht einschätzen kann und mich dumm und dusselig suche frage ich einfach mal.

Ich teste gerade IPFire mit Web-Proxy und URL-Filter in meiner Testumgebung.

Konfiguration:
Ich habe im Web-Proxy weitestgehend die Vorkonfiguration belassen.
Aktiviert auf Green und Transparent auf Green (beides aktiv)
Sprache der Fehlermeldungen: de
Design der Fehlermeldungen: IPFire
URL-Filter (aktiv)
Protolkoll (aktiv)

URL-Filter habe ich das Automatische Blacklist-update aktiviert und von Univ. Toulouse geholt und socialnet gesetzt.
Zusätzliche Sperrseiteneinstrellungen sind nicht aktiviert
Erweiterte Einstellungen Protokoll aktiviert

Auf dem Client sind im Browser die Proxyeinstellungen gesetzt.

Nun zum Problem
Rufe ich im Browser die 0.0.0.0 auf bekomme ich die Fehlerseite von IPFire angezeigt (FEHLER - Zugriff verweigert)
Rufe ich im Browser http://www.facebook.de auf bekomme ich korrekt die Access denied Seite angezeigt, die ich noch konfigurieren könnte.
Rufe ich https://www.facebook.com bekomme ich eine vom Browser generierte Fehlerseite angezeigt.

Und genau dieses Verhalten kann ich mir nicht erklären. Die Sperrung der Seite wird ja durch die Blacklist veranlasst, egal ob http oder https.
Warum wird einmal eine Message durch IPFire zurück gegeben und das andere Mal nicht?

Ich will das Ganze im Firmennetz umsetzen. Wenn nun nicht klar ist ob die Seite durch die Blacklist gesperrt ist oder der Anwender die URL falsch eingegeben hat ist das für den Anwender nicht zielführend und mein Telefon steht nicht mehr still.

Bisher habe ich noch kein HOWTO dazu gefunden bzw. in den Videos mit Anleitungen geht niemand darauf ein.

Entweder wissen alle warum das so ist oder es interessiert keinen.

Mir ist klar, dass die Verbindung durch https vom Client zum Webserver verschlüsselt ist, jedoch entscheidet ja der Web-Proxy mit dem URL-Filter und der Blacklist ob der Client die Seite die er im Browser eingeben hat sehen darf oder nicht.

Also wo ist des Pudel Kern versteckt?

Gruß Andreas
Mitglied: Snagless
15.04.2021, aktualisiert um 17:02 Uhr
Hallo,

kannst Du mal rgendwie deine Proxy-Konfiguration / Advanced Web Proxy ins Forum stellen. Und die URL-Filter-Konfig vom SquidClamav

Wir haben das Ding in einigen Hotspots am laufen, vorallem wegen dem Update-Accelerator im Advanced Proxy. Ich mag ihn und ich hasse ihn;=) Alle paar Jahre müssen wird den neu aufsetzten, da er keine Updates mehr verarbeiten will.

Bei mir kommt bei .DE ein Zertifikatsfehler weil da wird ja nur umgeleitet und das SSL Zertifikat ist auf vieles aber nicht auf .DE ausgestellt.
Bitte warten ..
Mitglied: backara
16.04.2021 um 10:41 Uhr
Hallo Snagless,

SquidClamav hab ich nicht installiert (soll aber genau wie ClamAV)
Die Konfigs sind wie gesagt Standard (wie installiert).
Ich habe IPFire jetzt nochmal neu installiert und minimal konfiguriert und diesmal auch die Blacklist nicht aktiviert sondern nur die Domains gesperrt Gleiches Ergebnis HTTPS zeigt keine Fehlerseite die von IPFire kommt.

Standard Installation dann :
Aktiviert auf Green
URL-Filter (aktiv)

im URL-Filter nur Angepasste Blacklist, Domains eingetragen und aktiviert

Was ich noch gemacht habe aber oben im Eingangspost vergessen zu schreiben, damit der Internetverkehr auch über den Proxy läuft, habe ich 3 Firewall Regeln angelegt, so wie in Anleitungsvideos zu sehen)

Firewallregeln:
1. ICMP (Alle Typen ICMP) von GRÜN nach ROT ACCEPT
2. TCP von GRÜN nach ROT: DNS (TCP) ACCEPT
3. ALLE von GRÜN nach ROT DROP

Gruß Andreas
Bitte warten ..
Mitglied: backara
16.04.2021, aktualisiert um 12:40 Uhr
Ich habe noch was gefunden, was zur Klärung dienlich sein könnte.


<Auszug aus der Seite>Squid (auch) als SSL-Proxy nutzen - so geht's

... Ein Proxyserver leitet in der Standardkonfiguration HTTPS-Verbindungen einfach an den Webserver weiter. Er sieht zwar, welche URLs ein Benutzer aufruft, den Inhalt der Seiten kann er jedoch aufgrund der Verschlüsselung nicht speichern. Um das zu ermöglichen, muss der Proxy die Seiten entschlüsseln ...</Auszug aus der Seite>

Der Web-Proxy erkennt also welche Domain aufgerufen wird, auch bei https.
An dieser Stelle greift ja nun offensichtlich auch die Blacklist. Für mein Verständnis ist an dieser Stelle der Inhalt der Seite erstmal egal und entschlüsseln braucht er die Seite nicht für die Blacklist nach Domain oder URL denn die Information welche Seite besucht werden soll ist ja bekannt genau wie bei der http Seite auch.

Entweder ich raffe es nicht oder ich muss tatsächlich noch etwas über die Konsole konfigurieren was ich über die GUI nicht erreiche.

Gruß Andreas
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 12 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 8 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...