tgdresden
Goto Top

Eigene Proxy in virtualisierter Umgebung

Hallo an alle,

mein Chef hat sich mal wieder was tolles ausgedacht und ich muss schauen wie ich es umsetze...;)

Also erstmal zur Grundsituation:

Wir haben einen MS Server 2008 R2 auf dem 2 VMs per Hyper-V laufen, einmal ein Terminalserver (Server 2008 R2) und ein Fileserver (SBS 2011).
An der ganzen geschicht hängen ca. 15 User und Engeräte (Multifuntionsdrucker etc.) und ins Internet gehts mit einer Fritzbox (brauchen den USB-Anschluss für ein Lizenz-Dongle).

Jetzt würden wir gerne den doch erheblichen privaten Internettraffic einschränken, sprich facebook und Co sollen gesperrt werden. Wünschenswert wäre eine gewisse Skalierbarkeit nach Usern (denke da an eine Anbindung an AD).

Hab mir jetzt schon die Variante eigener Proxy rausgesucht. Als Softwarelösung schwebt mir die UserGate Proxy von etensys vor.

Jetzt zur eigentlichen Frage:

Kann ich den Proxy einfach auf dem SBS mit laufen lassen, oder muss ich dafür eine zusätzliche VM erstellen?

Gibt es ansonsten noch irgendwelche Fallstricke an die ich (sicher) nicht gedacht hab?

Besten Dank schon mal für die Hilfe.


PS: die einfache URL-Filterung via Fritzbox geht mit unserem Modell nicht...

Content-Key: 206495

Url: https://administrator.de/contentid/206495

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: Philipp711
Philipp711 15.05.2013 um 12:06:59 Uhr
Goto Top
Zitat von @tgdresden:
An der ganzen geschicht hängen ca. 15 User und Engeräte (Multifuntionsdrucker etc.) und ins Internet gehts mit einer
Fritzbox (brauchen den USB-Anschluss für ein Lizenz-Dongle).

Der Dongel an der FritzBox?? Rein Interesse halber: wofür muss an die FritzBox ein Lizenz-Dongel??

Jetzt zur eigentlichen Frage:

Kann ich den Proxy einfach auf dem SBS mit laufen lassen, oder muss ich dafür eine zusätzliche VM erstellen?

Gibt es ansonsten noch irgendwelche Fallstricke an die ich (sicher) nicht gedacht hab?

Kannst du schon, würde aber aus Performance- und Sicherheitsgründen eine eigene VM erstellen.

Alternativ: Wie wäre es denn mit einer ordentlichen Firewall-Appliance wie z.B. ne Sophos UTM mit der Web-Security Subscription? Kostet zwar Geld aber du bist immer Up2Date und hast umfangreiche Proxy-Funktionen + du musst dich nicht um die Pflege der "bösen" URLs kümmern - das macht Sophos für dich du blockst nur "URL-Kategorien".
Mitglied: tgdresden
tgdresden 15.05.2013 um 12:15:13 Uhr
Goto Top
Der Dongle ist an der Fritzbox, da in einer Hyper-V-Umgebung ein "Durchschleifen" an die VMs nicht möglich ist. Auf dem SBS läuft aber ein Lizenzserver für unsere Branchensoftware und der braucht den Dongle.

Die Variante UTM erscheint mir etwas zu viel des Guten, denn eigentlich soll nur eine handvoll Adressen beblockt werden (facebook, ebay, youtube etc.).

Hab jetzt schon überlegt die Fritzbox gegen eine zu tauschen die über die Kindersicherung eine Möglichkeit zum Filtern der URLs bietet. Kosten ne guten Hunderter und is erledigt.

Wo ich mir jetzt nur noch unsicher bin ist die Frage, ob die Funktion der Erkennung von Windowsbenutzern durch die Fritzbox auch bei einem Terminalserver funktioniert...
Mitglied: Philipp711
Philipp711 15.05.2013 aktualisiert um 12:26:35 Uhr
Goto Top
Okay ist deine Entscheidung.

Allerdings kann ich dir so eine UTM nur ans Herz legen - schon bei 15 User macht ein "ordentlicher" Proxy für mich Sinn. Steckt ja noch viel mehr wie stupides URL-Blocken drin: Z.B. Doppelte Virenprüfung durch den Proxy, Traffic wird auf Layer 7 geprüft etc. sowie volle AD-Integration.

Die Sophos UTM kann man auch mit den Subscriptions virtuelle Betreiben - dann fallen je nachdem schon 500-600 Euro für die Hardware weg.

Ich glaube nicht, dass die Fritzbox AD-Integration bietet!
Mitglied: killtec
killtec 15.05.2013 aktualisiert um 14:38:28 Uhr
Goto Top
Hi,
schau dir mal Squid in Kombination mit SquidGuard an.
Den haben wir bei uns als VM auf einem Linux-Server laufen. Es gibt u.a. verschiedene Listen (Blacklisten) die du nutzen kannst. Wir haben die von http://www.shallalist.de/ Man muss zwar einen Nutzervertrag unterschreiben, aber der ist nicht so Wild.
Ich lasse dann nachts per script die aktuelle Blacklist laden und in das DB-Verzechnis von squidGuard entpacken und aktualisieren.
Funktioniert bei uns prima.

Man kann den SquidGuard dann noch eingrenzen, mit wer darf was etc. Einfach mal anschauen.

Kosten dafür: keinen Euro. Den Rest filtern wir über die Firewall raus (Cisco Firewall).

Gruß
Mitglied: tgdresden
tgdresden 15.05.2013 um 14:53:24 Uhr
Goto Top
Gibts für die kombi squid und squidguard auch was Vorkunfiguriertes bzw. eine ausführliche Installationsanleitung?

Weil bin hier bei uns Learning-by-Doing-Admin (externe Firma wäre zu teuer...;) ) und jetzt nich soooooo firm was Einrichtung Proxy etc. angeht... face-smile
Mitglied: killtec
killtec 15.05.2013 um 16:16:06 Uhr
Goto Top
Also wenn du keine AD Authentifizierung brauchst ist die Doku im Netz schon ganz gut dazu.
Ich habe folgende genutzt:
http://sone.comxa.com/Basic%20Setup%20Proxy%20in%20SLES11.htm
http://www.squidguard.org/Doc/configure.html

Gruß
Mitglied: tgdresden
tgdresden 15.05.2013 um 16:34:11 Uhr
Goto Top
Alles klar, vielen Dank für die Hilfe.

Ich werd es mir mal anschauen... das letzte Wort hat am Ende eh mein CHef...;)
Mitglied: Rudbert
Rudbert 15.05.2013 aktualisiert um 20:50:02 Uhr
Goto Top
Hallo,

bei 15 usern reicht dir wohl auch eine Debian-VM mit tinyproxy:

https://banu.com/tinyproxy/

soweit ich mich erinnern kann kann man dort direkt in der config einige URLs blocken.

edit: hier ein howto: http://wiki.openwrt.org/doku.php?id=oldwiki:proxy.tinyproxy

mfg