Subnetze sperren

[Shadow121]

Moin,

muss für ein Arbeitsprojekt einen Weg herausfinden einzelne Subnetze eines Netzwerks vom Internet zu trennen.
Zum Netzwerk:
Router mit pfSense als Firewall/Router und Squid/Lightsquid für Proxy bzw. Filterung und Auswertung
Vier Subnetze mit unterschiedlichen IP-Adressbereichen (sind 4 Hörsäle à ca. 20 Rechner + Dozentenrechner)
Ein Server pro Hörsaal mit Win Server 2003 (DC, AD, Netzwerkspeicher usw.)

Aufgabenstellung ist es nun, dafür zu sorgen, dass bei Bedarf im Hörsaal das Internet "abgedreht" werden kann, damit auch jeder brav aufpasst und nicht im Internet rumsurft.
Das normale Netzwerk soll davon natürlich nicht betroffen sein, nur die Internetverbindung.

Allerdings habe ich keine Idee wie ich diese "Sperre" die bei Bedarf durch den Dozenten an- und abgeschaltet werden soll realisieren kann/soll.

Kennt vielleicht jemand ein Plugin für die Router Distribution die das kann, oder kann man das irgendwie mit nem Script realisieren?

Auch nur n Ansatz wie ich das Problem angehen könnte würde mir schon helfen, vorab schon danke an alle

Hänge noch nen Netzplan an damit man sichs besser vorstellen kann

http://h9.abload.de/img/netzplanqexyk.jpg

 

[kev2k]

Hast du die Möglichkeit irgendwo einen Proxy Server zu installieren, da könntest du dann die verschiedenen Sachen aussperren.
Könntest auch einfach die Ports 80 und 403 (http und https) an der Firewall sperren, dann sollte da auch kein Surfen mehr möglich sein

 

[der_knoben]

Diese beiden Ports zu sperren bringt aber auch den NAchteil mit sich, dass Intranetseiten nicht mehr abrufbar sein werden.

Prinzipiell müsste man doch nur die Adressen außerhalb des Netzwerks sperren. Quasi eine Regel erstellen, die nur Zugriff auf die Lokalen Adressen (192.168.x.x oder 10.x.x.x) erlaubt. Damit wäre man vom INet ausgesperrt.
Problem hierbei könnte sein, den getunnelten Verkehr über VPN oder der gleichen zu erfassen. Da kenn ich mich nciht so gut aus.

 

[Jimini]

Ich kenne mich leider nur mit iptables aus, mit pf habe ich bisher nicht gearbeitet. Bei iptables werden die Regeln normalerweise in ein Skript geschrieben, was bedeutet, dass man beliebige Firewallregelsetups erstellen und bei Bedarf starten kann. Ich schaffe es heute leider nicht mehr, mir pf näher anzuschauen, aber morgen dürfte ich Zeit haben, da mal reinzugucken, ich müsste irgendwo noch eine OpenBSD-VM rumfliegen haben.

MfG Jimini

 

[Shadow121]

Ah ich hätte erwähnen sollen, dass man einzelne Subnetze sperren können soll....

D.h. man kann dann Subnet 1 fürs Internet sperren, Subnet 2, 3 und 4 können aber das Internet noch nutzen.
Und es soll halt jederzeit durch den Dozenten (Der keine Info Kenntnisse hat) so Verknüpfungsmäßig aufm Desktop ein- und ausschaltbar sein.

Den kompletten Internetverkehr zu sperren wäre leichter, hab ja nen Proxy auf der Firewall laufen der das könnte.
Weiss vielleicht jemand ob das mit Squid zu realisieren wäre?
Also nur Subnetze zu blocken, dann wäre das schonmal n Ansatz.

 

[Jimini]

Squid unterstützt nur eine Handvoll Protokolle, das würde dir also nicht wirklich was bringen. Sowas musst du dann schon direkt über die Firewall bzw. den Router machen (geroutet wird ja meist mit Firewallscripts).

MfG Jimini

 

[Shadow121]

Das müsste aber dann doch relativ einfach zu realisieren sein oder?
Ne interne Website gibt es nicht, also könnte ich ja einfach für die einzelnen Subnetze jeweils ein Script haben das die Ports für http und https blockt oder?
Und davon dann einfach ein Script zum Einschalten und ein zweites zum Ausschalten auf den Desktop des Dozenten und gut ists.

Ist sowas schwer anzufertigen? Gibts da ne Anlaufstelle wo ich mich reinlesen könnte?

 

[Jimini]

Das müsste aber dann doch relativ einfach zu realisieren sein oder?

Theoretisch ja.

Ne interne Website gibt es nicht, also könnte ich ja einfach für die einzelnen Subnetze jeweils ein Script haben das die Ports für http und https blockt oder?
Und davon dann einfach ein Script zum Einschalten und ein zweites zum Ausschalten auf den Desktop des Dozenten und gut ists.
Ist sowas schwer anzufertigen? Gibts da ne Anlaufstelle wo ich mich reinlesen könnte?

Einzelne Ports bringen dir nichts, wenn einer einen Proxy oder einen Instant Messenger nutzt. Besteht die Möglichkeit, dass du das existierende pf-Script hier postest? Was mir gerade noch einfällt - ich ging bisher davon aus, dass der Dozent Zugriff auf die Firewallkiste hat, was ja sicherlich nicht der Fall sein wird. Da wird es mit einem Script dann schwierig - man könnte die Firewallregeln aber per Cronjob zeitgesteuert ein- und ausschalten, würde dir das weiterhelfen?

Als Anlaufstelle sieht schonmal https://calomel.org/pf_config.html nicht schlecht aus, es gibt aber sicherlich auch noch ausführlichere Howtos.

MfG Jimini

 

[Shadow121]

Habe mich nochmal mit meinem Chef kurzgeschlossen und er meinte, dass der jeweilige Dozent eine Einweisung bekommen soll und er sich danach über das Webinterface von pfSense einloggt um das Internet dort für seinen Hörsaal (also Subnet) zu sperren bzw. entsperren.
Denke das macht die Sache schon einfacher oder?
Brauche also im Endeffekt nur ein Tool bzw. Plugin das verhindert, dass Verbindungen vom Lan Interface des Routers auf das WAN Interface geleitet werden.

Zeitgesteuert bringt mir leider nix, da der Dozent ja auch mal wenn nötig das Internet freigeben können soll um z.B. recherchen zu ermöglichen...

Werde gleich mal die Plugin Liste für pfSense durchgehen, vielleicht finde ich da ja was ähnliches.