8
Pfsense Blacklist für Gästenetz
Hallo zusammen,
Ich habe nach der Anleitung von Aqui meine FW mit PFsense und Gästenetz aufgebaut.
Nun möchte ich fürs Gästenetz eine Blacklist um illegale Inhalte von vornherein zu filtern.
Dazu hätte ich Squid + Squidguard verwendet.
Bin ich damit auf dem richtigen Weg?
Bei meiner Recherche bin ich nun darauf gestoßen dass https nicht so einfach erfasst werden kann.
Verstehe ich das nun richtig, wenn per https auf eine Seite zugegriffen wird, sie nicht von der Blacklist Regelung erfasst wird?
Mittlerweile werden ja immer mehr Seiten per https angesprochen.
Lohnt sich denn dann überhaupt der Aufwand?
Schon mal Danke für die Antworten.
Ich habe nach der Anleitung von Aqui meine FW mit PFsense und Gästenetz aufgebaut.
Nun möchte ich fürs Gästenetz eine Blacklist um illegale Inhalte von vornherein zu filtern.
Dazu hätte ich Squid + Squidguard verwendet.
Bin ich damit auf dem richtigen Weg?
Bei meiner Recherche bin ich nun darauf gestoßen dass https nicht so einfach erfasst werden kann.
Verstehe ich das nun richtig, wenn per https auf eine Seite zugegriffen wird, sie nicht von der Blacklist Regelung erfasst wird?
Mittlerweile werden ja immer mehr Seiten per https angesprochen.
Lohnt sich denn dann überhaupt der Aufwand?
Schon mal Danke für die Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330451
Url: https://administrator.de/contentid/330451
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
ob es sich lohnt, kannst nur du entscheiden.
Du müsstest auf jeden Fall die PfSense im transpsrency mode laufen lassen, ein Zertifikat erstellen und dieses Zertifikat auf allen Clients im Netz deployen. Dann klappt das.
Gruß
ob es sich lohnt, kannst nur du entscheiden.
Du müsstest auf jeden Fall die PfSense im transpsrency mode laufen lassen, ein Zertifikat erstellen und dieses Zertifikat auf allen Clients im Netz deployen. Dann klappt das.
Gruß
Hallo Michi,
Ich denke das bezieht sich auf die SSL Filterung.
Muss dazu bei den Clients (Gäste) etwas gemacht werden oder übernimmt der Browser z.B. eines Smartphones automatisch dieses Zertifikat?
ein Zertifikat erstellen und dieses Zertifikat auf allen Clients im Netz deployen. Dann klappt das.
Ich denke das bezieht sich auf die SSL Filterung.
Muss dazu bei den Clients (Gäste) etwas gemacht werden oder übernimmt der Browser z.B. eines Smartphones automatisch dieses Zertifikat?
Jeder der über den Proxy ins Netz geht muss dieses Cert manuell installieren das erste mal.
Die Blacklist alleine sollte aber auch so funktionieren. Das Problem besteht hier dass Websiten nicht mehr so einfach geblocked werden können weil sie mehrerer IP Ranges verwenden.
Die Blacklist alleine sollte aber auch so funktionieren. Das Problem besteht hier dass Websiten nicht mehr so einfach geblocked werden können weil sie mehrerer IP Ranges verwenden.
Wenn FW Regel, dann sollte man auch immer eine Whitelist nehmen. Ist erheblich einfacher zu pflegen als eine Blacklist. Also explizit nur das erlauben was man will.
Bei privaten Gästen reicht in der Regel dann Surfen und Email.
Bei Business Gästen ggf. zusätzlich dann noch VPN.
Wenn irgendwas nicht geht meckern die Gäste schon und du weisst was sie da verzapfen und kannst das dann sukzessive weiter öffenen wenn du willst.
Bei privaten Gästen reicht in der Regel dann Surfen und Email.
Bei Business Gästen ggf. zusätzlich dann noch VPN.
Wenn irgendwas nicht geht meckern die Gäste schon und du weisst was sie da verzapfen und kannst das dann sukzessive weiter öffenen wenn du willst.
Hi aqui,
also du meinst eine ergänzende FW-Regel die nur surfen und email erlaubt?
Bei mir ist aktuell Port 53,80,443 offen also noch kein Mail aber wie du bereits gesagt hast solang sich keiner beschwert...
Die Blacklist verhindert ja m.E. den Zugang zu unerwünschten Seiten die über Port 80 + 443 angesprochen werden oder?
also du meinst eine ergänzende FW-Regel die nur surfen und email erlaubt?
Bei mir ist aktuell Port 53,80,443 offen also noch kein Mail aber wie du bereits gesagt hast solang sich keiner beschwert...
Die Blacklist verhindert ja m.E. den Zugang zu unerwünschten Seiten die über Port 80 + 443 angesprochen werden oder?
Ja, da sist OK, damit erlaubst du nur DNS (das muss sein sonst klappt die DNS Auflösung nicht) und dann nur Surfen mit HTTP und HTTPs.
Das ist OK so wenn du die Gäste so limitieren willst.
Leider nutzen manche File Sharing Portale auch TCP 80 als Transfer. Dem kann man aber nur mit einem Proxy beikommen, weil man da tiefer in den Paket Content sehen muss um zu checken ob das HTTP ist oder z.B. irgendein Torrent.
Das ist OK so wenn du die Gäste so limitieren willst.
Leider nutzen manche File Sharing Portale auch TCP 80 als Transfer. Dem kann man aber nur mit einem Proxy beikommen, weil man da tiefer in den Paket Content sehen muss um zu checken ob das HTTP ist oder z.B. irgendein Torrent.
Dem kann man aber nur mit einem Proxy beikommen, weil man da tiefer in den Paket Content sehen muss um zu checken ob das HTTP ist oder z.B. irgendein Torrent.
Kann das Squid?Ich würde auch gern Video Streaming dicht machen solange ich noch mit meiner LTE Verbindung klar kommen muss
Moin Kubus,
eine Alternative für dich wäre vielleicht die Filterung per DNS. Damit kannst du zwar nur auf Domain-Ebene arbeiten, dafür deckt das dann aber auch HTTPS-Aufrufe ab. Früher wäre die Empfehlung OpenDNS gewesen, da gibt es jetzt aber nur noch die Privatkundenvariante (mit der du kategoriebasiert blocken kannst) - für Businesskunden ist das jetzt alles bei Cisco integriert, damit habe ich mich bisher aber noch nicht auseinandergesetzt. Es scheint aber noch einige andere Anbieter für DNS-basierende Filter zu geben.
Das Grundprinzip ist aber immer gleich: einen filternden DNS-Server in der pfSense einstellen und dann per Firewall-Rule UDP/53 nur auf die pfSense-IP zulassen. Außerdem (oder alternativ, falls dir das reicht) kannst du in pfSense im DNS Resolver/Forwarder für bestimmte Domains ein "Override" einstellen und dadurch auf 0.0.0.0 oder 127.0.0.1 weiterzuleiten (und dadurch effektiv zu blockieren). Schau dir mal diesen Beitrag im pfSense-Forum an, da sieht man auf dem Screenshot ganz unten wie Werbung blockiert wird. Anstatt "ads.youtube.com" kannst du natürlich auch nur "youtube.com" blockieren.
Es sei allerdings dazu gesagt, dass Geräte DNS-Einträge zwischenspeichern oder Apps direkt auf IP-Adressen zugreifen - es ist daher keine komplett zuverlässige Methode, aber deutlich praktikabler als HTTPS komplett zu ignorieren.
Viele Grüße
eagle2
eine Alternative für dich wäre vielleicht die Filterung per DNS. Damit kannst du zwar nur auf Domain-Ebene arbeiten, dafür deckt das dann aber auch HTTPS-Aufrufe ab. Früher wäre die Empfehlung OpenDNS gewesen, da gibt es jetzt aber nur noch die Privatkundenvariante (mit der du kategoriebasiert blocken kannst) - für Businesskunden ist das jetzt alles bei Cisco integriert, damit habe ich mich bisher aber noch nicht auseinandergesetzt. Es scheint aber noch einige andere Anbieter für DNS-basierende Filter zu geben.
Das Grundprinzip ist aber immer gleich: einen filternden DNS-Server in der pfSense einstellen und dann per Firewall-Rule UDP/53 nur auf die pfSense-IP zulassen. Außerdem (oder alternativ, falls dir das reicht) kannst du in pfSense im DNS Resolver/Forwarder für bestimmte Domains ein "Override" einstellen und dadurch auf 0.0.0.0 oder 127.0.0.1 weiterzuleiten (und dadurch effektiv zu blockieren). Schau dir mal diesen Beitrag im pfSense-Forum an, da sieht man auf dem Screenshot ganz unten wie Werbung blockiert wird. Anstatt "ads.youtube.com" kannst du natürlich auch nur "youtube.com" blockieren.
Es sei allerdings dazu gesagt, dass Geräte DNS-Einträge zwischenspeichern oder Apps direkt auf IP-Adressen zugreifen - es ist daher keine komplett zuverlässige Methode, aber deutlich praktikabler als HTTPS komplett zu ignorieren.
Viele Grüße
eagle2
