IPFire Proxy erzwingen

[Koksii]

Hallo

ich wollte mal fragen ob jemand weiß wie ich es erzwingen kann dass die User nur das Netz 192.168.1.0 benutzen können und somit über die IPFire-Firewall müssen? Die User könnten ja rein theoretisch einfach als Gateway direkt den Router einstellen statt die Firewall bzw bspw sich eine IP von 2.0er Netz geben.

Wie kann ich das verhindern - sprich es forcierne dass die User über die Firewall müssen und somit die ganzen Sperren greifen?

Das hier hab ich übrigens befolgt
http://wiki.ipfire.org/de/configuration/firewall/outgoingfirewall

 

[Multivitamin]

welche "user"
welcher aufbau?

 

[Koksii]

welche "user"

Alle Clients im LAN

welcher aufbau?

Router (192.168.0.1) --- (rot: 192.168.0.9) IPFireFirewall (grün: 192.168.1.1) -- Clients (192.168.1.2, 1.3, 1.4, usw)

Die Leute können aber ja einfach bei sich einstellen dass sie als Gateway direkt den Router nehmen statt die Firewall und sich einfach ne IP aus nem anderen Netz nehmen und dann greifen die Portsperren und URL Filter ja nicht ...wie kann ich das verhindern?

Sprich verhindern dass sie bspw so surfen:
Router (192.168.0.1) --- (rot: 192.168.0.9) IPFireFirewall (grün: 192.168.1.1) -- Clients (192.168.1.2, 1.
|
|___Client 192.168.0.3

 

[marcol1979]

Kann die Firewall selbst die Einwahl vornehmen, zb. PPPoE ?
Wenn ja würde ich den Router in dem Fall auf PPPoE Passthrough stellen und die Firewall wählt sich ein, dann müssen die Client über die Firewall gehen.

Könntest auch verhindern, wenn die Firewall es zulässt das dass 1er nicht in das 0er Netz geroutet wird bzw. per ACL geblockt wird.

 

[Koksii]

Keine Ahnung, wir haben aber eh Kabel und kriegen automatisch eine IP zugewiesen

 

[Multivitamin]

einfach im router keine verbindungen außer der firewall zulassen , fertig

 

[easy.2ci]

Sind die User bei euch alle lokale Admins auf ihren Arbeitsplatz PCs? Ohne Adminrechte kannst du das Default Gateway nicht ändern.

Habt ihr eine Domäne? Hierüber kannst du ebenfalls regeln dass User die Einstellung nicht ändern dürfen, auch wenn sie lokale Adminrechte haben.

 

[Koksii]

einfach im router keine verbindungen außer der firewall zulassen , fertig

Dann nimmt er aber auch nichts von der Firewall an und da ist ja eine Schnittstelle im 0er Netzwerk und die Clients sollen im 1er Netzwerk sein.

Sind die User bei euch alle lokale Admins auf ihren Arbeitsplatz PCs? Ohne Adminrechte kannst du das Default Gateway nicht ändern.

Habt ihr eine Domäne? Hierüber kannst du ebenfalls regeln dass User die Einstellung nicht ändern dürfen, auch wenn sie lokale Adminrechte haben.

Das dachte ich mir schon, dass das nur so geht. Will den Leuten ungern die Adminrechte nehmen^^
Aber es ist eh nur zu Übungszwecken um etwas Routine zu bekommen.

 

[puri]

Eigentlich sollte das verhindert werden, wenn Deine Verkabelung stimmt. Alle Clients müssen physikalisch über die grüne Netzwerkkarte des IPFire ins Netz, dann sollte doch eigentlich der IPFIRE verhindern, dass die Geräte an ihm vorbeikönnen, sie müssen ja so oder so durch!. Der Router hängt dann an der roten Netzwerkkarte des IPFire. Normalerweise geht das doch gar nicht, ein Gateway aus einem anderen Netzwerk unter diesen Konstallationen ??? Im Zweifel steck noch eine Netzwerkkarte in den IPFIre und mach ein blaues Netz auf, das ist normalerweise restriktiver handhabbar, geh für solche Spezialitäten aber mal ins IPFIre-Forum.

 

[Mumpitzelchen]

Wenn die Firewall richtig verkabelt ist, dann muss jedes Paket durch sie durch. Dann noch ein Squid transparent proxy oder so und das geht.

 

[Koksii]

Ach fuck stimmt. Ich hatte bei virtual box statt internes Netz versehentlich "Netzwerkbrücke" ausgewählt ... Jetzt funktioniert es. Kein Wunder dass ich den Router direkt als Gateway eingeben konnte und es funktionierte

 

[Jannik2019]

vllt kann jemand mir auch mal helfen ich hab nämlich das problem das ich ipfire als web proxy für das lokale netzt nutzen will wenn ich mich dann aber mit dem proxy anmelden will ist das möglich ich kann jedoch dannach keine seiten aufrufen obwohl ich den proxy eingetragen und mich angemeldet habe der ipfire läuft in virtualbox auf einem rechner hinter einer fritzbox und ich habe ihn auf dem client als dns server eingetragen komischerweise komme ich ohne eingetragenen proxy ins internet das möchte ich aber vermeiden kann mir da jemand helfen ???