11
Monowall - Nur eine bestimmte Seite zulassen
Hallo,
ich habe ein Problem beim Einrichten der Monowall. Ich habe die Monowall mit Captive Portal soweit eingerichtet und es funktioniert auch. Ich möchte allerdings den Internetzugriff auf nur wenige, bestimmte Seiten einschränken. Jetzt habe ich in den Rules auf der WAN-Seite einfach erst einmal um zu testen, nur eine Seite erlaubt. Ich habe einfach die Default-Regel etwas verändert. In "Destination" habe ich die öffentliche WAN-Adresse, die erlaubt werden soll, eingetragen.
Das Ganze funktioniert nur zur Hälfte: Ist der User eingeloggt, ist alles ok. Ist der User nicht eingeloggt und als Startseite vom Browser eine andere Seite eingestellt, dann wird die Seite mit Captive-Portal nicht angezeigt.
Gut jetzt könnte man sagen, ihr müsst nur Eure Interseite, die auch erlaubt ist, als Startseite einstellen. Finde ich aber nicht sehr elegant.
Gibt es da eine Möglichkeit, das vernünftig zu lösen?
ich habe ein Problem beim Einrichten der Monowall. Ich habe die Monowall mit Captive Portal soweit eingerichtet und es funktioniert auch. Ich möchte allerdings den Internetzugriff auf nur wenige, bestimmte Seiten einschränken. Jetzt habe ich in den Rules auf der WAN-Seite einfach erst einmal um zu testen, nur eine Seite erlaubt. Ich habe einfach die Default-Regel etwas verändert. In "Destination" habe ich die öffentliche WAN-Adresse, die erlaubt werden soll, eingetragen.
Das Ganze funktioniert nur zur Hälfte: Ist der User eingeloggt, ist alles ok. Ist der User nicht eingeloggt und als Startseite vom Browser eine andere Seite eingestellt, dann wird die Seite mit Captive-Portal nicht angezeigt.
Gut jetzt könnte man sagen, ihr müsst nur Eure Interseite, die auch erlaubt ist, als Startseite einstellen. Finde ich aber nicht sehr elegant.
Gibt es da eine Möglichkeit, das vernünftig zu lösen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 166311
Url: https://administrator.de/contentid/166311
Printed on: April 25, 2024 at 11:04 o'clock
11 Comments
Latest comment
Hallo,
was du brauchst ist ne extra Kiste mit nem Proxy, wie Squid.
Monowall ist eine Firewall, kein Web-Content Filter bei dem man
nur bestimmte Internet Seiten zulassen will.
Mfg.
was du brauchst ist ne extra Kiste mit nem Proxy, wie Squid.
Monowall ist eine Firewall, kein Web-Content Filter bei dem man
nur bestimmte Internet Seiten zulassen will.
Mfg.
Zusätzlich machst du einene gehörigen Denkfehler bei der Firewallregel, denn Firewall Regeln greifen auf der Monowall / pfSense nur für eingehenden Datenverkehr !!
Auf dem WAN Port bist du also vollkommen falsch (Denn dort ist dein Traffic ja ausgehend !), deshalb klappt es nicht.
Logischerweise definierst du also die Destination IP Adresse dieser Seite auf dem LAN Port !
Dann klappt das auch auf Anhieb mit deiner Beschränkung.
Sofern deine Zielseiten keine variablen IP Adressen haben (oder diese bekannt sind Stichwort Round Robin DNS) dann funktioniert die Beschränkung über die IP vollkommen problemlos und ein Proxy ist dann natürlich nicht erforderlich !
Auf dem WAN Port bist du also vollkommen falsch (Denn dort ist dein Traffic ja ausgehend !), deshalb klappt es nicht.
Logischerweise definierst du also die Destination IP Adresse dieser Seite auf dem LAN Port !
Dann klappt das auch auf Anhieb mit deiner Beschränkung.
Sofern deine Zielseiten keine variablen IP Adressen haben (oder diese bekannt sind Stichwort Round Robin DNS) dann funktioniert die Beschränkung über die IP vollkommen problemlos und ein Proxy ist dann natürlich nicht erforderlich !
Erst mal vielen Dank für die Info. Werde das mal später testen.
So, nach einer kleiner Pause, habe ich das in den LAN-Regeln eingetragen. Es funktioniert!
Du hattest mit dem Denkfehler Recht, aber ich muss dazu sagen, dass diese Firewall irgenwie schwieriger zu verstehen ist. Habe noch eine Lancom und Sonicwall. Ich finde dieses sind für mich einfacher aufgebaut.
Du hattest mit dem Denkfehler Recht, aber ich muss dazu sagen, dass diese Firewall irgenwie schwieriger zu verstehen ist. Habe noch eine Lancom und Sonicwall. Ich finde dieses sind für mich einfacher aufgebaut.
Eigentlich nicht. Alle Firewalls funktionieren nach diesem immer gleichen und simplen Prinzip auf den eingehenden Interfaces. Wenn man denn noch den gesunden Menschenverstand walten lässt und sich den Ablauf einer IP Paketkommunikation vor Augen führt ist das eigentlich ein Kinderspiel das entsprechend einzustellen...
Aber egal Hauptsache es klappt nun bei dir !
Aber egal Hauptsache es klappt nun bei dir !
Leider muss ich mich nochmal melden. Es funktioniert doch nicht!
Ich habe folgendes gemacht:
Eine bestimmte Seite (Sportseite) habe ich erlaubt. Es ist eine Seite mit nur einer öffentlichen IP-Adresse. Wenn ich im Captive-Portal eingeloggt bin, dann funktioniert der Filter. Keine Webseite ist mehr erreichbar, nur die eine erlaubte Seite ist erreichbar.
Das hatte ich leztzens nicht bedacht beim Testen.
Jetzt habe ich den Fall, dass ich im Captive-Portal nicht angemeldet bin. Meine Startseite im Browser ist in diesem Fall google. Ich starte den Browser. Er sucht nach der Google-Seite. Jetzt sollte eigentlich das Captive-Portal erscheinen.
Aber sie erscheint nicht. Warum eigentlich nicht? Weil google nicht erlaubt ist?
Wenn ich jetzt in den Firewallregelen auch alle Google-Server hinzufüge, dann ist allen kein Problem mehr.
Man startet den Browser, der zu google möchte. Jetzt erscheint das Captive-Portal, man meldet sich an und die Googleseite erscheint. Jetzt kann man zu der eigentlich erlaubten Webseite (Sportseite) wechseln.
Ich habe hier das Gefühl, dass sich das nicht anders lösen lässt. So wie es aussieht erscheint nur das Captive-Portal, wenn auch die Webseite erreichbar ist.
Zusatz: Ich habe als Startseite eine Webseite eingerichtet, die gerade schlecht erreichbar ist. Auch hier erscheint nicht das Captive-Portal.
So wie es aussieht, muss die als Startseite Webseite auch tatsächlich erreichbar sein.
Für mich scheint es nur dieses Lösungen zu geben:
- entweder nur die erlaubte Webseite als Startseite einstellen
- Direkt im Browser die IP-Adresse der LAN-Seite gefolgt vom Port 8000 eingeben
Falls es doch noch eine Möglichkeit geben sollte, lass es mich wissen.
Ich habe folgendes gemacht:
Eine bestimmte Seite (Sportseite) habe ich erlaubt. Es ist eine Seite mit nur einer öffentlichen IP-Adresse. Wenn ich im Captive-Portal eingeloggt bin, dann funktioniert der Filter. Keine Webseite ist mehr erreichbar, nur die eine erlaubte Seite ist erreichbar.
Das hatte ich leztzens nicht bedacht beim Testen.
Jetzt habe ich den Fall, dass ich im Captive-Portal nicht angemeldet bin. Meine Startseite im Browser ist in diesem Fall google. Ich starte den Browser. Er sucht nach der Google-Seite. Jetzt sollte eigentlich das Captive-Portal erscheinen.
Aber sie erscheint nicht. Warum eigentlich nicht? Weil google nicht erlaubt ist?
Wenn ich jetzt in den Firewallregelen auch alle Google-Server hinzufüge, dann ist allen kein Problem mehr.
Man startet den Browser, der zu google möchte. Jetzt erscheint das Captive-Portal, man meldet sich an und die Googleseite erscheint. Jetzt kann man zu der eigentlich erlaubten Webseite (Sportseite) wechseln.
Ich habe hier das Gefühl, dass sich das nicht anders lösen lässt. So wie es aussieht erscheint nur das Captive-Portal, wenn auch die Webseite erreichbar ist.
Zusatz: Ich habe als Startseite eine Webseite eingerichtet, die gerade schlecht erreichbar ist. Auch hier erscheint nicht das Captive-Portal.
So wie es aussieht, muss die als Startseite Webseite auch tatsächlich erreichbar sein.
Für mich scheint es nur dieses Lösungen zu geben:
- entweder nur die erlaubte Webseite als Startseite einstellen
- Direkt im Browser die IP-Adresse der LAN-Seite gefolgt vom Port 8000 eingeben
Falls es doch noch eine Möglichkeit geben sollte, lass es mich wissen.
Vermutlich hast du einen Denkfehler begangen und dich selber ausgesperrt. Du musst in den Firewallregeln natürlich am Anfang die Portalseite mit dem Port TCP 8000 erlauben, denn sonst blockst du die Portalseite ebenfalls !
Wenn du das CP_Tutorial einmal wirklich Thread für Thread gelesen hättest kannst du es dort auch sehen !
Hier siehst du mal einen Screenshot wie es auszusehen hat:
Ist zwar pfSense aber bei Monowall ist das absolut identisch. Hier ist nur Browsen TCP 80 erlaubt...und die Portalseite sonst nix !
Die CP Seite wird immer von einem Port TCP 80 (HTTP) Paket getriggert.
Bei dir besteht nun das Problem das du einen Filter drin hast auf eben nur die eine einzige Sportseite. Folglich kann die Portalseite auch deshalb dann nur hochpoppen wenn genau diese Seite angefordert wird, denn dessen Port 80 Paket triggert das Captive Portal.
Die Google Seite ist ja nicht erlaubt, folglich wird dein Port 80 Traffic dahin gefiltert und kann das CP nicht triggern. Wenn du auch noch den Port TCP 8000 geblockt hast kannst du nichtmal die Portalseite sehen....
Du müsstest also wenigstens dann auch den Zugriff auf die lokalen Google IP Adressen erlauben:
C:\>nslookup www.google.de
Nicht autorisierte Antwort:
Name: www.l.google.com
Addresses: 209.85.148.106, 209.85.148.103, 209.85.148.104, 209.85.148.99
209.85.148.105, 209.85.148.147
Aliases: www.google.de, www.google.com
Dann poppt auch bei Google das CP hoch. Doch eigentlich logisch wenn man mal etwas nachdenkt wie die Pakete sich so bewegen im Netz, oder ?
Wenn du das CP_Tutorial einmal wirklich Thread für Thread gelesen hättest kannst du es dort auch sehen !
Hier siehst du mal einen Screenshot wie es auszusehen hat:
Die CP Seite wird immer von einem Port TCP 80 (HTTP) Paket getriggert.
Bei dir besteht nun das Problem das du einen Filter drin hast auf eben nur die eine einzige Sportseite. Folglich kann die Portalseite auch deshalb dann nur hochpoppen wenn genau diese Seite angefordert wird, denn dessen Port 80 Paket triggert das Captive Portal.
Die Google Seite ist ja nicht erlaubt, folglich wird dein Port 80 Traffic dahin gefiltert und kann das CP nicht triggern. Wenn du auch noch den Port TCP 8000 geblockt hast kannst du nichtmal die Portalseite sehen....
Du müsstest also wenigstens dann auch den Zugriff auf die lokalen Google IP Adressen erlauben:
C:\>nslookup www.google.de
Nicht autorisierte Antwort:
Name: www.l.google.com
Addresses: 209.85.148.106, 209.85.148.103, 209.85.148.104, 209.85.148.99
209.85.148.105, 209.85.148.147
Aliases: www.google.de, www.google.com
Dann poppt auch bei Google das CP hoch. Doch eigentlich logisch wenn man mal etwas nachdenkt wie die Pakete sich so bewegen im Netz, oder ?
Damit ich Dich jetzt richtig verstehe:
Ich habe eine Regel für Port 8000 nach Deinem Muster im LAN hinzugefügt.
Ich habe für die Google Server noch keine Regeln hinzugefügt. Es sind also nur 2 Regeln (Port 8000 für CP und die Sportseite) vorhanden.
Frage: Kann jetzt in diesem Fall wenn die Startseite Google eingestellt ist, das Captive-Portal aufpoppen?
Noch etwas anderes: Ich würde hier gerne den Screenshot zeigen, aber wie bekomme ich hier ein Bild eingestellt? Ich habe im IE nur einen Button gesehen, wenn ein Beitrag neu erstellt wird. Bei Antworten sind diese Buttons nicht sichtbar.
Ich habe eine Regel für Port 8000 nach Deinem Muster im LAN hinzugefügt.
Ich habe für die Google Server noch keine Regeln hinzugefügt. Es sind also nur 2 Regeln (Port 8000 für CP und die Sportseite) vorhanden.
Frage: Kann jetzt in diesem Fall wenn die Startseite Google eingestellt ist, das Captive-Portal aufpoppen?
Noch etwas anderes: Ich würde hier gerne den Screenshot zeigen, aber wie bekomme ich hier ein Bild eingestellt? Ich habe im IE nur einen Button gesehen, wenn ein Beitrag neu erstellt wird. Bei Antworten sind diese Buttons nicht sichtbar.
Die Frage kannst du dir doch ganz leicht selber beantworten wenn man nur mal ein klein bischen nachdenkt....
Firewall Regel lässt also nur DNS Port 53, Sportseite IP und TCP 80 und das CP mit Port 8000 durch.
Dann stellen wir uns mal janz dumm und sehen wir uns das mal an indem wir zuerst den Sport Client betrachten:
So, und nun die Google Abfrage mit der gleichen Regel:
Dieses Verhalten ist doch logisch und auch leicht herleitbar wenn man nur mal etwas nachdenkt. Ansonsten nimmt man mal einen Wireshark Sniffer und sieht sich das selber an !
Es ist doch sonnenklar das wenn du die Google IPs in der Firewall Regel nicht auch erlaubst, niemals ein IP Paket an die Google IP rauskommt. Du lässt ja einzig und allein nur die Sportseite zu.
Letztlich ist deine Frage damit vollkommen überflüssig, denn das CP kann niemals aufpoppen wenn du den HTTP Traffic zu Google nicht erlaubst...wie sollte das denn auch gehen ??
Die CP Seite wird immer nur durch ein eingehendes HTTP Paket mit Port TCP 80 getriggert und dafür muss diese Paket logischerweise natürlich erstmal die Port Firewall passieren können was bei dir ohne "Google Regel" nicht möglich ist...klar.
Wie bekommst du das Bild hier rein in die Antwort ?? Das geht nicht nur mit dem dödeligen IE sondern auch mit Firefox, Safari und Co, da es unabhängig ist vom Browser !
Wie immer wenn man die FAQs liest ganz einfach:
So, und nun kommst du mit dem Screenshot !!!
Firewall Regel lässt also nur DNS Port 53, Sportseite IP und TCP 80 und das CP mit Port 8000 durch.
Dann stellen wir uns mal janz dumm und sehen wir uns das mal an indem wir zuerst den Sport Client betrachten:
- Client gibt www.sportseite.de ein
- Zuerst geht ein Ethernet Paket mit UDP 53 an den Nameserver um den Namen in eine IP aufzulösen...53 darf laut FW Regel passieren, OK
- IP vom Sportserver kommt zurück und Client fragt mit dem 2ten Paket über TCP 80 (HTTP) die Sportwebserver IP. Sportserver IP darf laut FW Regel passieren, OK
- Dieses Port 80 Paket triggert jetzt die CP Seite und der Redirect über HTTP mit Port 8000 kommt...Darf laut Regel auch passieren, OK
- Portalwebseite ist da und Client User trägt sein Passwort ein, Original Paket zur Sportseite darf passieren, Sportseite kommt, Alles ist gut !
So, und nun die Google Abfrage mit der gleichen Regel:
- Client gibt www.google.de ein oder trägt was ins Google Suchfeld am Browser ein.
- Zuerst geht ein Ethernet Paket mit UDP 53 an den Nameserver um den Namen in eine IP aufzulösen...53 darf laut FW Regel passieren, OK
- IP von Google kommt zurück und Client fragt mit dem 2ten Paket über TCP 80 (HTTP) die Googleserver IP. Google IP darf laut FW Regel NICHT passieren. Keine Webseite und Fehlermeldung "Server meldet sich nicht" !
- CP Seite kann nicht getriggert werden da ja kein TCP 80 Paket an Google rausdarf, Captive Portal blockt weiter den kompletten Zugriff für den Client wie es ja soll ohne Passwort Eingabe.
- Nix geht mehr....
Dieses Verhalten ist doch logisch und auch leicht herleitbar wenn man nur mal etwas nachdenkt. Ansonsten nimmt man mal einen Wireshark Sniffer und sieht sich das selber an !
Es ist doch sonnenklar das wenn du die Google IPs in der Firewall Regel nicht auch erlaubst, niemals ein IP Paket an die Google IP rauskommt. Du lässt ja einzig und allein nur die Sportseite zu.
Letztlich ist deine Frage damit vollkommen überflüssig, denn das CP kann niemals aufpoppen wenn du den HTTP Traffic zu Google nicht erlaubst...wie sollte das denn auch gehen ??
Die CP Seite wird immer nur durch ein eingehendes HTTP Paket mit Port TCP 80 getriggert und dafür muss diese Paket logischerweise natürlich erstmal die Port Firewall passieren können was bei dir ohne "Google Regel" nicht möglich ist...klar.
Wie bekommst du das Bild hier rein in die Antwort ?? Das geht nicht nur mit dem dödeligen IE sondern auch mit Firefox, Safari und Co, da es unabhängig ist vom Browser !
Wie immer wenn man die FAQs liest ganz einfach:
- Gehe auf "Meine Beiträge" und klicke oben auf deinen Ursprungsbeitrag (Thread)
- Dann klickst du unten rechts auf "Bearbeiten"
- Tataaa...nun erscheint der Button "Bilder hochladen"
- Den klickst du jetzt und wählst über das Auswahlfenster dein Bild aus und klickst dann "Bild hochladen"
- Jetzt gibt dir der Server eine Bilder URL die du mit einem Rechtsklick, markieren dann per Cut and Paste speicherst.
- Nun tippst du deine Antwort und pastest den Bilder URL dort rein !
So, und nun kommst du mit dem Screenshot !!!
Erst mal Danke für die ausführliche Info.
Nun, meinen Screenshot, das schenke ich mir jetzt, da es ja keinen Sinn mehr macht. Jetzt ist das Rätsel ja gelöst. Ich muss zu meiner Entschuldigung sagen, dass diese Vorgehensweise für Bilder einstellen etwas gewöhnungsbedürftig ist.
Dass ich in meinen Eröffnungbeitrag nachsehe und dann auf Bearbeiten klicken muss, auf die Idee bin ich nicht gekommen.
Naja und in den FAQs habe ich nachgesehen. Bin ja gleich auf die Formatierungen gestoßen. Aber da war nicht die gewünschte Info.
Wenn man oben rechts in die Suchleiste nach "Bild hochladen" eingibt, dann kommt man auf eine Erklärung. Das hatte ich allerdings erst heute festgestellt.
Die CP Seite wird immer nur durch ein eingehendes HTTP Paket...
Diese Info fehlte mir. Mir war das nicht genau klar, wann genau das Captiv-Portal erscheint.Nun, meinen Screenshot, das schenke ich mir jetzt, da es ja keinen Sinn mehr macht. Jetzt ist das Rätsel ja gelöst. Ich muss zu meiner Entschuldigung sagen, dass diese Vorgehensweise für Bilder einstellen etwas gewöhnungsbedürftig ist.
Dass ich in meinen Eröffnungbeitrag nachsehe und dann auf Bearbeiten klicken muss, auf die Idee bin ich nicht gekommen.
Naja und in den FAQs habe ich nachgesehen. Bin ja gleich auf die Formatierungen gestoßen. Aber da war nicht die gewünschte Info.
Wenn man oben rechts in die Suchleiste nach "Bild hochladen" eingibt, dann kommt man auf eine Erklärung. Das hatte ich allerdings erst heute festgestellt.
