Linux Firewall die ook URLs kan rejecten

Ik zou het meer zoeken in de http proxy hoek, zoals privoxy/squid. Is vast te krijgen voor elk router/firewall OS neem ik aan en het biedt uitgebreide proxymogelijkheden. Daarna is het een kwestie van het verplichten van het gebruik van de proxy om te kunnen browsen (poort 80 alleen via de proxy).

[ Voor 3% gewijzigd door gertvdijk op 22-01-2009 15:54 ]

Als je een bepaald adres wil blocken, moet je eerder zoeken naar een transparante HTTP filter, bijvoorbeeld door middel van Dansguardian. En die dingen zijn allemaal wel mogelijk in Smoothwall, weliswaar niet by-default maar via de pakketten die gebruikers zelf maken. En voor dansguardian is er zo een pakket. Je moet maar eens in de homebrew sectie rondneuzen, er zijn massas interessante pakketten gemaakt voor Smoothwall, ook een Full Firewall Control mod die veel meer opties biedt dan de default firewall interface in Smoothwal.

Anders heb je freesco op welke je squid kunt instaleren , en daarna mischien ook squidguard oid ...

pfSense anders wat. Is ook een monowall based distro met veelal meer functionaliteit.

Anders even kijken naar OpenDNS, die kan wel van alles blocken en volgens mij ook urls.
http://nl.youtube.com/watch?v=J0CVgZqvhHs

Een duidelijk filmpjes erover

maarud schreef op donderdag 22 januari 2009 @ 20:26:
smoothwall installeren werkt niet; beeld blijft zwart. Toen IPCOP geprobeerd, maar daar snap ik niks van. Met m0n0wall kon je IP's toewijzen aan de gedetecteerde netwerkkaarten, hier moet je iets met GREEN en RED doen. Ik vul dus wat IP's in, maar ik kom met geen mogelijkheid in de router (IPCOP dus). Met m0n0wall had ik direct verbinding. De documentatie zegt ook niet veel hierover.

Ik weet niet of Smoothwall dit op dezelfde manier doet (denk het wel, tis bijna hetzelfde als IPCOP) anders ga ik die nog eens even proberen ofzo...

edit: kan nu in de WebGUI komen, maar dit is allemaal veels te uitgebreid Even kijken wat Smoothwall allemaal kan en anders haal ik die pc gewoon weg en maak ik wel wat aanpassingen in de .hosts van de pc's

Even zoeken in plaats van onmiddelijk opgeven? Het is allemaal linux hoor, dus zo heel veel verschillen kunnen er onderling niet zijn, zeker niet op elementair niveau. Zoek waar het fout loopt en struin de fora daar eens af, je zal wel iets vinden.

Zelf heb ik smoothwall een jaar of 2 op een Pentium II, 500mhz en 128mb RAM gedraaid, volgestampt met mods en werkte nog steeds vlekkeloos. Een zware pc heb je er dus niet voor nodig

Ik lees in de FAQ de volgende optie:

Blocking by DNS Override

If you use your m0n0wall as your only DNS server, you can also block specific sites by putting in DNS override for the undesired site to point to an internal or invalid IP address. To block www.example.com, put in a DNS override pointing it to 1.2.3.4 or some other invalid IP address, or an address of a LAN web server. If you use an invalid IP address, you should put in a firewall rule to reject packets to this address so the requests time out immediately.

Note this is easy to get around by either using a different DNS server or editing the hosts file on the local machine, though this is beyond the capabilities and knowledge of most any user.

Monowall gebruiken dus als DNS server.

Falcon schreef op vrijdag 23 januari 2009 @ 15:56:
Ik lees in de FAQ de volgende optie:

Blocking by DNS Override

If you use your m0n0wall as your only DNS server, you can also block specific sites by putting in DNS override for the undesired site to point to an internal or invalid IP address. To block www.example.com, put in a DNS override pointing it to 1.2.3.4 or some other invalid IP address, or an address of a LAN web server. If you use an invalid IP address, you should put in a firewall rule to reject packets to this address so the requests time out immediately.

Note this is easy to get around by either using a different DNS server or editing the hosts file on the local machine, though this is beyond the capabilities and knowledge of most any user.

Monowall gebruiken dus als DNS server.

Is toch geen sterke oplossing? Van zodra een gebruiker dan een andere DNS neemt, wat een vrij simpele instelling is (zie vb site van OpenDNS) kan hij weer overal op. Wat me beter lijkt is een transparante HTTP proxy (Squid) die alle HTTP requests overneemt en zelf verwerkt. Verbind die dan met een content filter (a la dansguardian) en je moet al een tunnel of SOCKS5 proxy hebben om hier onder uit te geraken.

Dat transparante-proxy gedoe geeft ook nog vele mogelijkheden, er bestaan vb plugins die weblocaties die gekend zijn op updates te bevatten voor Windows/virus scanners/... hardhandig gaan cachen, ideaal om het dataverbruik om een groot netwerk drastisch te reduceren.

Nuja, niet wat de TS wilt natuurlijk. Squid zit default in Smoothwall, met optie tot transparant draaien. Dansguardian is zoals ik zei een homebrew addon die aardig werkt.

Ik vind untangle prettig werken. Kant en klare firewall met een heel scala aan opties en je hebt 't zo geïnstalleerd.

http://www.untangle.com/

[ Voor 19% gewijzigd door JasperE op 23-01-2009 16:10 ]

maleadt schreef op vrijdag 23 januari 2009 @ 16:08:
[...]


Is toch geen sterke oplossing? Van zodra een gebruiker dan een andere DNS neemt, wat een vrij simpele instelling is (zie vb site van OpenDNS) kan hij weer overal op. Wat me beter lijkt is een transparante HTTP proxy (Squid) die alle HTTP requests overneemt en zelf verwerkt. Verbind die dan met een content filter (a la dansguardian) en je moet al een tunnel of SOCKS5 proxy hebben om hier onder uit te geraken.

Dat transparante-proxy gedoe geeft ook nog vele mogelijkheden, er bestaan vb plugins die weblocaties die gekend zijn op updates te bevatten voor Windows/virus scanners/... hardhandig gaan cachen, ideaal om het dataverbruik om een groot netwerk drastisch te reduceren.

Nuja, niet wat de TS wilt natuurlijk. Squid zit default in Smoothwall, met optie tot transparant draaien. Dansguardian is zoals ik zei een homebrew addon die aardig werkt.

In een bedrijf omgeving geen oplossing nee, maar zover ik het kan zien is dit misschien alleen maar bij hem thuis.

maar je hebt een 800Mhz
waarom instaleer je niet gewoon een echte debian
met squid + squiduard + dansguardian
en webmin als web-interface?

maarud schreef op vrijdag 23 januari 2009 @ 22:23:
[...]

prachtige tip! Ik zal hier direct mee aan de gang. Bijkomend voordeel is dat er dan ook nog een server van te maken valt.

Distro's als Smoothwall/IPCop/m0n0wall zijn linux distributies, speciaal gemaakt om de gebruiker een groot deel werk uit handen te nemen, namelijk het opzetten van de omgeving, en de initiële configuratie aanmaken. Het enige dat de gebruiker dan nog moet doen is via een gebruiksvriendelijke de laatste stapjes van de configuratie naar zijn hand zetten.

Vervolgens slaag je er niet in om smoothwall geinstalleerd te krijgen, en vind je IPCop verwarrend. En als oplossing kies je er dan voor om even een kale distro te installen waarin je zelf elk pakket moet installeren en de configuratie manueel op elkaar moet afstemmen? En als je IPCop's interface al verwarrend is, wat ga je dan van Wembin niet vinden?

En waarom zou je van dergelijke specifieke distro's geen "server" kunnen maken, in weze zijn ze allemaal hetzelfde hoor? Als er nog geen pakket voorhanden is (waarvan de kans best klein is, als je het aantal homebrew mogelijkheden ziet bij smoothwall/clarkconnect), kan je het nog altijd zelf compileren. Je komt enkel in de problemen als het een stripped distro is waarvan er geen toolchain voorhanden is. Je gaat al goed mogen zoeken om op al die beperkingen tegelijk te botsen.

Een hele pak overbodig werk dus. Tenzij je je Linux skills wilt opschroeven adhv dit project, maar dat leid ik niet echt af uit je posts. Goed ja, doe maar hoor, het is mijn tijd niet.

[ Voor 5% gewijzigd door maleadt op 23-01-2009 22:43 ]

Met Clarkconnect kan ik ook gewoon domeinnamen blokkeren in de firewall. Misschien is dat ook een optie, is in ieder geval erg makkelijk en snel te installeren.

maleadt schreef op vrijdag 23 januari 2009 @ 16:08:
[...]


Is toch geen sterke oplossing? Van zodra een gebruiker dan een andere DNS neemt, wat een vrij simpele instelling is (zie vb site van OpenDNS) kan hij weer overal op. Wat me beter lijkt is een transparante HTTP proxy (Squid) die alle HTTP requests overneemt en zelf verwerkt. Verbind die dan met een content filter (a la dansguardian) en je moet al een tunnel of SOCKS5 proxy hebben om hier onder uit te geraken.

Dat transparante-proxy gedoe geeft ook nog vele mogelijkheden, er bestaan vb plugins die weblocaties die gekend zijn op updates te bevatten voor Windows/virus scanners/... hardhandig gaan cachen, ideaal om het dataverbruik om een groot netwerk drastisch te reduceren.

Nuja, niet wat de TS wilt natuurlijk. Squid zit default in Smoothwall, met optie tot transparant draaien. Dansguardian is zoals ik zei een homebrew addon die aardig werkt.

je kan op je firewall elke dns-request die naar buiten gaat maar niet van je eigen dns-server komt toch ook perfect blokkeren ?
if dns-request from lan-client -> deny and/or forward to lan-dsn-server
if dns-request from lan-dns-server -> allow
(soortgelijk natuurlijk ;-) juiste firewall rules mogen zelf opgezocht worden)
maar met dat dns steeds richting dezelfde destination-poort is die perfect blokkeerbaar.

Doen ze toch ook op een goed afgeschermd bedrijfsnetwerk, ter voorkoming dat een interne client via een externe (onbetrouwbare) dns-server gaat om een interne host te resolven...(en zo informatie vrij te geven over interne topologie)
(en dan via dhcp steeds de juiste dns-server opnieuw instellen - beetje 'client'-pesten)

edit: met een caching-proxy zoals je aangeeft heb je mogelijk iets meer inspraak op de inhoud van de site's en je kan bv ook inhoud filteren die via openbare php-proxy's worden bekeken. (ipv rechtstreeks via de ongewenste site). Maar wellicht ligt de beste oplossing in een goed afgestelde combinatie van beiden:
een inhoud filterende proxy met een filterende dns-server en een firewall die goed is afgesteld.

edit2: staat bij je clients je router nog als standaard gateway of je smoothwall-server ?
even aanpassen dat de dhcp-server (van je router of van je server) de juiste doorgeeft.

[ Voor 17% gewijzigd door soulrider op 23-01-2009 23:46 ]

Blonde Tux schreef op vrijdag 23 januari 2009 @ 10:42:
pfSense anders wat. Is ook een monowall based distro met veelal meer functionaliteit.

...

pfSense is wat ik ook draai. Er zit een squid package in die je als transparent proxy kan laten draaien. Dit ism squidguard kan je dingen blokkeren.

Ik weet niet of dit echt is wat je wil, maar Astaro Security Linux doet dit. Persoonlijk niet veel gebruikt omdat ik het liever manueel configureer, maar ja...

Foutje , je had endian al geprobeerd

[ Voor 75% gewijzigd door Victorius737 op 25-01-2009 13:59 ]

maarud schreef op zondag 25 januari 2009 @ 00:40:
[...]

Met ClamAV aan laden pagina's 3-4 sec langzaam ( je hoort de computer ook 'rekenen', je hoort hem belast worden, en als de pagina er eenmaal is draait hij weer 'soepeler') dus die ga ik uitzetten denk ik.

een processor maakt geen geluid, ook niet als ie belast wordt. Wat je wel kunt horen zijn ventilatoren en harde schijven, welke hoor jij? In het tweede geval zou het waarschijnlijk een enorme speedboost geven als je meer geheugen in die bak stopt, als ie aan het swappen is helemaal, maar ook als ie niet aan het swappen is zal ie de bestanden die ie nodig heeft voor ClamAV cachen in geheugen.

Probeer eens Astaro kun je legio van mogelijkheden instellen van VPN/SSL connecties tot specifieke IP adressen die kunnen connecten

maleadt schreef op vrijdag 23 januari 2009 @ 22:40:
Distro's als Smoothwall/IPCop/m0n0wall zijn linux distributies, speciaal gemaakt om de gebruiker een groot deel werk uit handen te nemen, namelijk het opzetten van de omgeving, en de initiële configuratie aanmaken. Het enige dat de gebruiker dan nog moet doen is via een gebruiksvriendelijke de laatste stapjes van de configuratie naar zijn hand zetten.

Zowel m0n0wall als pfSense (een m0n0wall afgeleide netzoals FreeNAS) zijn FreeBSD gebaseerde dedicated firewall pakketten die ook van hele andere software gebruik maken dan de overige Linux distributies zoals Smoothwall en IPCop. Dat kan mogelijk de nodige verschillen verklaren. In geval van pfSense is het wel zo dat deze meer bedoeld is als geavanceerde firewall, ze vonden m0n0wall daar nog te simpel in.

Ik denk dat het gezien de topictitle ook niet erg slim is om naar alleen maar Linux firewalls te kijken. Er zijn namelijk ook hele mooie oplossingen op basis van pf (de firewall in OpenBSD, FreeBSD, etc.) en squid. Er zijn aardig wat tutorials op dat gebied, misschien ook de moeite waard (al is het maar om je kennis uit te breiden).

smokalot schreef op zondag 25 januari 2009 @ 16:17:
een processor maakt geen geluid, ook niet als ie belast wordt.

Nitpicking maar dat is dus niet geheel waar. Het is een elektrisch ding wat zeker het nodige geluid maakt die je niet zou moeten horen als het goed is. Soms is dat zo ernstig zoals bij de Core Duo destijds dat het voor de gebruiker hoorbaar is. Het belasten van de CPU was in geval van de Core Duo de symptoomoplossing (je hoorde irritante piep niet meer). Je kan dus zeker wel je CPU horen maar dat is meestal geen goed teken (bij de Core Duo was dit een design fout die verder geen gevolgen had voor de werking/levensduur van de CPU).

In dit geval gok ik er alleen ook op dat het ding gewoon heet wordt waardoor de fans aanslaan en als een gek gaan staan loeien.

ppl schreef op zondag 25 januari 2009 @ 22:51:
[...]
Zowel m0n0wall als pfSense (een m0n0wall afgeleide netzoals FreeNAS) zijn FreeBSD gebaseerde dedicated firewall pakketten die ook van hele andere software gebruik maken dan de overige Linux distributies zoals Smoothwall en IPCop. Dat kan mogelijk de nodige verschillen verklaren. In geval van pfSense is het wel zo dat deze meer bedoeld is als geavanceerde firewall, ze vonden m0n0wall daar nog te simpel in.

I stand corrected, ik dacht dat m0n0wall ook een Linux derivative was. Nuja, ik had het zowiezo eerder op het punt dat de TS bij het niet in gang krijgen van een gebruiksvriendelijk pakket onmiddellijk naar Debian greep.