OPNsense/Web-Proxy

Aus Foxwiki

Web-Proxy

Alias für Umgehung des Proxys anlegen

Sofern es in Ihrem Netzwerk Clients geben soll, die von der Proxy-Filterung ausgenommen werden sollen, legen Sie hierfür zunächst einen Alias an:

Firewall / Aliases → Add
  • Name: z. B. BYPASS_Firewall_Proxy
  • Type: wählen Sie hier...
    • Host(s) zur Angabe einer oder mehrerer IP-Adressen
    • Network(s) zur Angabe einer oder mehrere IP-Segmente
  • Description: aussagekräftige Beschreibung

Weiterleitung von Web-Anfragen an den Proxy

Die beiden Haupt-Ports für Internetseitenaufrufe werden an den Proxy weitergeleitet:

Firewall / NAT / Port Forward
  1. Regel
    • Interface: LAN_CLIENTS
    • TCP/IP Version: IPv4
    • Protocol: TCP
    • Source / Invert: Haken
    • Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
    • Destination / Invert: Haken
    • Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
    • Destination Port Range: from: HTTP to: HTTP
    • Redirect target IP: Single host or Network: 127.0.0.1
    • Redirect target Port: 3128
    • Description: z. B. : Redirect http-traffic to Proxy
  2. Regel
    • Interface: LAN_CLIENTS
    • TCP/IP Version: IPv4
    • Protocol: TCP
    • Source / Invert: Haken
    • Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
    • Destination / Invert: Haken
    • Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
    • Destination Port Range: from: HTTPS to: HTTPS
    • Redirect target IP: Single host or Network: 127.0.0.1
    • Redirect target Port: 3129
    • Description: z. B. : Redirect https-traffic to Proxy

TMP

Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
  • URL-Filter squidGuard
  • Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
    • Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication)
  • Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
  • Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
Folgende Anpassungen an den Default-Einstellungen sind zu tätigen
Services / Web Proxy / Administration
  • General Proxy Settings
    • Haken bei: Enable Proxy
    • Haken bei: Enable DNS v4 first
    • Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
  • Local Cache Settings.
    • Haken bei Enable local cache
    • Cache size in Megabytes: 10240
    • Haken bei: Enable Windows Update Cache
      • Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
      • Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
  • General Forward Settings
    • Proxy Interfaces: LAN_CLIENTS
    • Proxy Port: 3128
    • Haken bei: Enable Transparent HTTP Proxy
    • Haken bei: Enable SSL inspection
    • Haken bei: Log SNI information only
    • SSL Proxy Port: 3129
    • CA to use: z. B. : schulnetz.intra-ca
      • Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
      • System / Trust / Authorities → Add
        • Descriptive name: z. B. schulnetz.intra-ca
        • Method: Create an internal Certificate Authority
        • Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address