Kommentare zu: pfSense Webfilter – squidGuard für HTTP(S)-Verbindungen

Von: Andreas

Andreas — Mon, 11 Dec 2023 09:40:46 +0000

Auch in 2023 benutzen wir die hier vorgestellte Lösung zur Web Seitenfilterung.

Ich frage mich allerdings, ob das heute noch eine richtige und gute Lösung in Verbindung mit pfSense ist?

Von: pfBlockerNG - Werbung und unerwünschte Inhalte filtern - .:zefanjas:.

pfBlockerNG - Werbung und unerwünschte Inhalte filtern - .:zefanjas:. — Wed, 21 Oct 2020 14:13:42 +0000

[…] ein tolles Open Source Projekt. Es hilft Werbung, unerwünschte Inhalte und ganze Netzbereiche zu filtern. Egal ob IPs oder DNS-Blocklisten – mit pfBlockerNG kann man beides verwalten und so […]

Von: frank

frank — Sat, 28 Mar 2020 08:03:37 +0000

Die Blacklist und die URL Filterung greift sehr gut, auch bei https. Das aus 2 Gründen.
1. Ein großer Teil der Server viele Domains abdecken, deshalb wird die Domain(Adresszeile) unverschlüsselt übermittelt, ansonsten wüßte der Server nicht, welches Zertifikat er anbieten soll.
2. Der Benutzer gibt in die Adresszeile nicht expliziet https an, zunächst ist es http und wird dann vom Server auf https umgeleitet, das geht so schnell, dass der User das nicht wahrnimmt. Da hier dann schon bei http die Blackliste greift, kommt es gar nicht erst zur umleitung auf https.

Von: felsenstadt

felsenstadt — Tue, 04 Feb 2020 17:31:17 +0000

hallo danke für die Anleitung, ich habe die Pfsense genau nach der Beschreibung eingerichtet; bekomme jedoch bei jeder Webseite die letzte beschrieben Fehlermeldung.

Von: Daniel

Daniel — Tue, 11 Jun 2019 10:54:53 +0000

Hallo

An sich finde ich die Idee gut.
Wir haben es jetzt einmal so versucht und leider hat es bei uns nicht funktioniert. Die Filterung lief zwar, dafür konnten sich aus unerklärlichen Gründen die Domänencontroller nicht mehr untereinander verständigen.
Das Backup der Firewall hat leider auch nichts gebracht, so dass wir jetzt wieder die alten Zyxel anwerfen mussten.

Von: Jan

Jan — Fri, 24 May 2019 08:01:48 +0000

Ich behelfe mir nun folgendermaßen:
Per DHCP bekommen erst mal alle Clients unseren (filternden) DNS-Server zugewiesen, was für die meisten Fälle ausreichen sollte. Die Ports 53 und 853 werden nicht nach draußen gelassen. Somit hat man aktuell wohl >95% der Clients reguliert.
Sollte die Namensauflösung umgangen werden, spare ich mir den Weg mit (transparenten) Proxies und blockiere direkt eine größere Liste „verbotener“ FQDNs über Aliases in der Firewall.

Das wichtigste bleibt ohnehin, dass alle Benutzer (nicht nur Schüler) vernünftigt unterrichtet werden, wie das Internet zu benutzen ist.
Danke in jedem Fall für all die informativen Beiträge.

Von: zefanja

zefanja — Thu, 23 May 2019 13:54:02 +0000

Als Antwort auf Jan. Ja, es wird nicht leichter. Ohne MITM-Geschichten wird es kaum noch möglich sein. Bin gespannt wo die Reise hingeht. Auf der einen Seite begrüße ich die Entwicklungen, da sie den User schützen, auf der anderen Seite muss man als Schule in manchen Ländern Webfilter haben.

Von: Jan

Jan — Thu, 23 May 2019 09:14:01 +0000

Wenn die TLS 1.3 Erweiterung (https://tools.ietf.org/html/draft-ietf-tls-esni-03) erst einmal Standard ist, werden die SNIs in Zukunft ebenfalls verschlüsselt sein. Dazu noch DNS-over-HTTPS und die Firewall kann eigentlicht nur noch auf Basis von IP-Adresslisten blocken. Oder irre ich mich?

Von: zefanja

zefanja — Mon, 01 Apr 2019 12:49:42 +0000

Als Antwort auf Tim. @Tim: Gleichzeitig haben wir zw. 20-50 Clients laufen. Wir sind keine große Schule. Wir haben der Ausstattung eine ähnliche Firewall wie die SG-5100. Von der Leistung sollte das mehr als ausreichen. Es hängt aber auch sehr davon ab, was du noch so vorhast (NIDS, DPI, ...).

Von: Tim

Tim — Fri, 29 Mar 2019 20:19:24 +0000

Moin,
wie viele gleichzeitige clients laufen denn bei euch über die Firewall?

Ich muss für unsere Schule auch eine neue suchen und tue mich aber mit der Auswahl der Hardware etwas schwer.

Wir haben aktuell um die 25 Clients, in der Zukunft vielleicht um die 100.

Meinst du eine SG-5100 von Netgate reicht aus?

Darüber soll lediglich der Webfilter laufen, muss auch nicht als transparenter Proxy, da das ganze für eine Grundschule ist und es kein BYOD gibt.

Vielen Dank für deinen Blog und deine Bemühungen.