PFSense - Squid Proxy lässt alles durch

Thardas · 11. November 2019 um 00:33

Hallo Zusammen,

Ich hab mal wieder ein Problem bezüglich der Firewall-Distribution
PFSense:

Getestet habe ich dies nachdem der Kollege mich darauf aufmerksam
gemacht hatte: Unser Proxy ist an, sowie transparent für Port 80.

Nun habe ich eine externe Anfrage von Filezilla (FTP Client) gesendet
in der dieser auf einen externen FTP zugreifen sollte.

Dies hat er auch getan, nur eben ohne Proxy-Einstellungen -
Soll aber natürlich nicht so möglich sein!

Komischerweise passiert dies nur, wenn ich als Gateway Ihn selbst
drinstehen habe anstatt unseren Internen Gateways (Der Interne
Gateway verbindet die einzelnen Subnetze mit der Firewall)

Hat jemand vielleicht einen Lösung für dieses Problem?
Vielen vielen Dank im Vorraus!

Gruß,
Stefan

herrmann_59614f · 11. November 2019 um 00:33

Komischerweise passiert dies nur, wenn ich als Gateway Ihn
selbst

Ihn selbst? Persönlich?

Versuch mal, dein Netzwerk aufzumalen. Mittels pre-Tags und ein bisschen ASCII-Art sollte das kein grosses Problem sein. Und vergiss nicht, auch scheinbar irrelevante Geräte wie z. B. Switches (auch in andere Geräte wie den Router integrierte) zu berücksichtigen. Vielleicht findest du dann beim Malen schon die Ursache.

Gruß

Thardas · 11. November 2019 um 00:34

Okay, ich versuch’s mal grob darzustellen:

Firewall in 192.168.8 / Gateway NIC 1 \
Clients in 192.168.8.0 Switch | Gateway NIC 2 |
Clients in 192.168.3.0 Switch \ Gateway NIC 3 /

Also nichts aussergewöhnliches denke ich.
Natürlich können nur die Clients im 8er Netz
Die FW „persönlich“ als Gateway einstellen,
aber es ist ja nicht sinn der Sache, dass man
das ausnutzen kann um quasi den Proxy zu bypassen.

Übrigens ist in PFSense der Proxy, also der Proxy
ist kein einzelner Server nur um’s zu verdeutlichen.

Vielleicht eine Idee?

Gruß,
Stefan

herrmann_59614f · 11. November 2019 um 00:36

Natürlich können nur die Clients im 8er Netz
Die FW „persönlich“ als Gateway einstellen,
aber es ist ja nicht sinn der Sache, dass man
das ausnutzen kann um quasi den Proxy zu bypassen.

Wenn ich dein Problem richtig verstehe, musst du die Firewall nur so konfigurieren, dass alle Verbindungsanfragen der Clients, abgesehen von Zugriffen auf den Proxy, geblockt werden.

Ein Bypass wäre es, wenn die Clients direkten physikalischen Zugriff auf einen gegebenenfalls hinter der Firewall hängenden DSL-Router, -Modem oder ähnliches hätten. Wenn du ein solches Gerät einsetzt, darf das halt nur ausschliesslich direkt mit einem der ethernet-Ports der Firewall verbunden sein, oder muss auf dem Switch in einem eigenen VLAN liegen.

Gruß