Topic: Frage Gateway / Internetnutzung

[jfl13]

Hallo an alle Leser,

ich habe einen SME Server 7.3 im Einsatz an dem ca. 25 Clients angeschlossen sind.
Der SME hängt mit einer Netzwerkkarte (extern) direkt im Internet (Standleitung) und mit der
anderen Netzwerkkarte (intern) im lokalen Netz. Als erstes, der Server funktioniert bezüglich
der Mail Funktion absolut ohne Probleme die Clients greifen über die interne Netzwerkkarte
auf den Server zu und der Server verschickt die Mails über die externe Anbindung und umgekehrt.

Soviel zu Ausganglage, nun zu meinem Problem. Bei der aktueller Konfiguration ist es
den internen Clients im Netzwerk möglich, wenn sie den SME als Standardgateway und
DNS Server setzen, ins Internet zu gelangen. Dies ist nicht gewollt! Die Proxy Funktion
ist deaktiviert es kann also nur die Gatewayfunktion sein die das Internetsurfen ermöglicht.

Meine Frage wie kann ich die Ports sperren bzw. besser das Internet für die Clients komplett deaktivieren?
Wichtig dabei der SME Server selbst muss ja im Netz bleiben um Mails verschicken zu können.
Der SME Server ist im "Server-Gateway Modus" installiert die Umschaltung auf nur "Server Modus"
funktioniert bei mir nicht da im "Server Modus" nur eine (lokale) Netzwerkkarte unterstützt wird
ich jedoch die eine zweite benötige (extern) um den SME Server mit dem Internet zu verbinden.

Vielen Dank ich hoffe meine Erklärung ist deutlich genug und jemand kann mir einen Tipp geben.

Grüße Florian
 

[Rkuehle-new]

@jfl13
Die Antwort liegt meist schon in der Frage;-)
Siehe den zweiten Absatz deines Textes! (Frage an Moderatoren: wie kann man in dem Forum eigentlich zitieren;-))

Ein Gateway vermittelt zwischen verschiedenen Netzen, ist halt seine Aufgabe. Wenn du nicht möchtest, dass die Clients nicht ins Internet kommen, dann auf den Clients als Gateway jeweils den Client selbst eintragen (aber nicht die 127.0.0.1!).
Die Mailkonfig der Clients bleibt davon unberührt.
Oder mal hier schauen: http://wiki.contribs.org/Firewall#Block_outgoing_ports

Grüße Ricardo

[cactus]

Siehe den zweiten Absatz deines Textes! (Frage an Moderatoren: wie kann man in dem Forum eigentlich zitieren;-))

Auf "Quote" oben im Berichtheader drücken statt "Reply" (unten), oder wann Mann Reply hat gedrückt, die richtige Post suchen und auf "Insert Quote" drücken. Einfach nicht?

[jfl13]

Danke erstmal für die Antwort.
Das Problem ist das ich nicht beeinflussen kann was als Gateway eingetragen
wird bzw. ich es nicht verhindern kann.

Gibt es denn noch eine einfachere Möglichkeit die Ports zu sperren?

Grüße

Florian

[Rkuehle-new]

@cactus

Auf "Quote" oben im Berichtheader drücken statt "Reply" (unten), oder wann Mann Reply hat gedrückt, die richtige Post suchen und auf "Insert Quote" drücken. Einfach nicht?

Ja, wieder mal den Wald vor lauter Bäumen nicht gesehen ;-(
Danke für die Hilfe.

@Florian
Der Link http://wiki.contribs.org/Firewall#Block_outgoing_ports zeigt dir wie du am SME Server den rausgehenden Traffic beschnippeln kannst.
Du mußt natürlich schon auf eine der beteiligten Komponenten Zugriff haben, Clients oder SME Server.

Grüße Ricardo

[Igi2003]

Danke erstmal für die Antwort.
Das Problem ist das ich nicht beeinflussen kann was als Gateway eingetragen
wird bzw. ich es nicht verhindern kann.

Gibt es denn noch eine einfachere Möglichkeit die Ports zu sperren?

Grüße

Florian

Hallo Florian,
du hast die Möglichkeit das "über" den proxy zu steuern. Schalte Proxy wieder ein und such mal im Netz nach Portsperren und Internetsperren in Verbindung mit Squid. Die einstellungen kannst du in der squid.conf vornehmen und testen. Du kannst durch die Templates nichts kaputt machen, allerdings wenn du deine Einstellungen fertig und funktionstüchtig hast, musst du dir die Templates selbst zusammen bauen damit diese auch nach einem post-upgrade bleiben.
Ich versorge über meinen SME und WLAN eine WG nebenan. Über squid habe ich dann alles sperren können was die nicht dürfen. Unter anderem unterstützt squid auch URL Filter und URL blocking.

Gruß