OPNsense/Web-Proxy: Unterschied zwischen den Versionen
K Textersetzung - „bzw.“ durch „bzw. “ |
K Textersetzung - „bzw. “ durch „bzw. “ |
||
Zeile 43: | Zeile 43: | ||
* URL-Filter squidGuard | * URL-Filter squidGuard | ||
* Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben. | * Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben. | ||
** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen. | ** Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen. | ||
; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication): | ; Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication): |
Aktuelle Version vom 28. Mai 2023, 22:12 Uhr
Web-Proxy
Alias für Umgehung des Proxys anlegen
Sofern es in Ihrem Netzwerk Clients geben soll, die von der Proxy-Filterung ausgenommen werden sollen, legen Sie hierfür zunächst einen Alias an:
- Firewall / Aliases → Add
- Name: z. B. BYPASS_Firewall_Proxy
- Type: wählen Sie hier...
- Host(s) zur Angabe einer oder mehrerer IP-Adressen
- Network(s) zur Angabe einer oder mehrere IP-Segmente
- Description: aussagekräftige Beschreibung
Weiterleitung von Web-Anfragen an den Proxy
Die beiden Haupt-Ports für Internetseitenaufrufe werden an den Proxy weitergeleitet:
- Firewall / NAT / Port Forward
- Regel
- Interface: LAN_CLIENTS
- TCP/IP Version: IPv4
- Protocol: TCP
- Source / Invert: Haken
- Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
- Destination / Invert: Haken
- Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
- Destination Port Range: from: HTTP to: HTTP
- Redirect target IP: Single host or Network: 127.0.0.1
- Redirect target Port: 3128
- Description: z. B. : Redirect http-traffic to Proxy
- Regel
- Interface: LAN_CLIENTS
- TCP/IP Version: IPv4
- Protocol: TCP
- Source / Invert: Haken
- Source: BYPASS_Firewall_ProxyDie Quelle für Proxy-Weiterleitung sind somit alle Clients außer jene, welche Sie beim Alias BYPASS_Firewall_Proxy hinterlegt haben.
- Destination / Invert: Haken
- Destination: LAN_MANAGEMENT_SERVERDie Weiterleitung erfolgt nur für Ziele außerhalb der Netze LAN_MANAGEMENT und LAN_SERVER. Da die Firewall zunächst die NAT-Regeln abarbeitet, wird hiermit sichergestellt, dass ggf. bei den Interfaces-Regeln geblockte Anfragen an diese beiden Netze nicht über den Proxy umgangen werden.
- Destination Port Range: from: HTTPS to: HTTPS
- Redirect target IP: Single host or Network: 127.0.0.1
- Redirect target Port: 3129
- Description: z. B. : Redirect https-traffic to Proxy
TMP
- Wenn Webaufrufe nur über den Proxy möglich sind, können diese via Port 80 (http) und 443 (https) gefiltert werden.
- URL-Filter squidGuard
- Um das Handling mit dem Proxy für alle User so einfach wie möglich zu gestalten, wird dieser im transparenten Modus betrieben.
- Somit sind an den Clients keinerlei Einstellungen zu tätigen bzw. zu verteilen.
- Damit auch verschlüsselte https-Anfragen datenschutzkonform - also ohne das Aufbrechen von Zertifikaten - über den transparenten Proxy abgewickelt werden können, verwendet das Schulnetzkonzept die Möglichkeit der Filterung über SNI (Server Name Indication)
- Bevor ein Browser eine verschlüsselte Verbindung zu einem Webserver aufbaut, sendet er diesem den gewünschten Host (FQDN) unverschlüsselt.
- Diese Information kann vom transparentem Proxy ausgelesen und für die Filterung genutzt werden.
- Folgende Anpassungen an den Default-Einstellungen sind zu tätigen
- Services / Web Proxy / Administration
- General Proxy Settings
- Haken bei: Enable Proxy
- Haken bei: Enable DNS v4 first
- Enable access logging: Hier können Sie bei Bedarf den Zugriff auf den Proxy-Server mitloggen.
- Local Cache Settings.
- Haken bei Enable local cache
- Cache size in Megabytes: 10240
- Haken bei: Enable Windows Update Cache
- Speichert Windows-Updates aus dem Internet zwischen und stellt sie für weitere Windows-Clients im Netzwerk bereit.
- Verringert die Belastung der Internet-Leitung durch Windows-Updates erheblich, ohne einen WSUS-Server für Windows-Updates zu verwenden.
- General Forward Settings
- Proxy Interfaces: LAN_CLIENTS
- Proxy Port: 3128
- Haken bei: Enable Transparent HTTP Proxy
- Haken bei: Enable SSL inspection
- Haken bei: Log SNI information only
- SSL Proxy Port: 3129
- CA to use: z. B. : schulnetz.intra-ca
- Sofern Sie noch keine Zertifizierungsstelle für Zertifikate (CA) angelegt haben, holen Sie dies mit folgenden Schritten nach:
- System / Trust / Authorities → Add
- Descriptive name: z. B. schulnetz.intra-ca
- Method: Create an internal Certificate Authority
- Entsprechende Angaben bei: Country Code, State, City, Organization und Email Address