ProxyBL

Intro

Mit dem von OPNsense mitgelieferten Proxy Squid können von extern gepflegte Blacklisten verwendet werden. Das Hauptproblem daran ist die fehlende Möglichkeit, Policies für verschiedene Bereiche zu erstellen. Zum Beispiel sollte das Servernetz eine deny all Policy haben, bei der nur bestimmte Seiten gewhitelistet sind. Ein Verwaltungsnetz benötigt Vollzugriff aber Schutz vor Malware und die externen Mitarbeiter haben nur einige interne Ressourcen frei. Kein Problem mit unserem ProxyBL Plugin

Installation

Vorab muss das Repository der m.a.x. it aktiviert sein. Hierzu per SSH auf die Console und folgendes eingeben:

# pkg add https://support.max-it.de/os-maxit-13-1.1.pkg

Anschließend die Weboberfläche neu laden und unter System : Firmware ist ein neues Untermenü „Maxit“. Dort die Checkbox auf „Enabled“, die bekannten Zugangsdaten hinterlegen und nach Updates prüfen.

Die Installation des Plugins ist denkbar einfach, wie üblich über System : Firmware : Plugins und dort nach „proxy“ suchen. Installieren und einmal die Seite neu laden, es erscheint in Services : Web Proxy das Menü „Blocklist“.

Bedienung

Der erste Reiter „General“ beinhaltet nur die Checkbox um das Plugin jeweils zu de-/aktivieren.

Im Reiter Access Lists werden Gruppen für Anwender erstellt und diesen IP’s oder Netze zugeordnet. In unserem Beispiel 3 Gruppen und die jeweiligen Netze.

Anschließend werden im Reiter „Policies“ die jeweiligen Regelsätze erstellt und dann einer ACL zugewiesen. Jeder Policy kann nur eine ACL zugewiesen werden.

Schauen wir uns die Policy „server“ an ist keine Kategorie an Blacklisten ausgewählt, allerdings der Haken für „default deny“ gesetzt. D.h. für die Gruppe sind nur Seitenzugriffe auf den Inhalt der Whitelist darunter erlaubt.

Für die Policy „admins“ hingegegen gibt es keinen default deny und nur die geblockten Kategorien. Anschließend speichern auch den Proxy durchstarten.

Ein kurzes Video dazu ist ebenfalls verfügbar: