Synology Proxy Server - Kann nix?

[Boxxy]

Huhu liebe Syno Gemeinde,

da ich am Umstrukturieren bin teste ich grad einiges durch und soeben war der Synology Proxy Server an der Reihe.


Funktioniert prinzipiell schonmal. Nur kommt mir das Paket etwas mager vor, oder?
Man kann dort fast nichts einstellen und wie ich das sehe kann man den Proxy eigentlich bloß als Cache benutzen und höchstens als generelle Sperre.

Ich würde gerne zum einen den Netzwerk-Internetzugriff diverser Benutzer überwachen/kontrollieren wollen und ggf. Quell-Ip basierend den Zugriff auf einzelne Seiten sperren.
Momentan sehe ich nur die Lösung Seiten für das komplette Netzwerk, also alle, zu sperren oder einzelne Benutzer komplett zu sperren. Eine Mischung geht nicht.
Z.B. Der PC der Kinder darf prinzipiell schon ins Internet, aber Seite xxx.de soll gesperrt werden.
Ich bekomme nur hin, dass der PC der Kinder entweder garnichts darf oder die Seite xxx.de für niemanden mehr erreichbar ist.

Geht wirklich nicht mehr?


Und als Nebenfrage: Kann man den Proxy erzwingen?
Meine Tests haben zwar funktioniert, aber ich habe den Proxy manuell eingetragen. Die Übernahme via wapd soll auch gehen, aber auch das muss man ja manuell einstellen.
Somit könnte jeder den Proxy einfach umgehen bzw jeder neue PC, der gar keinen Proxy drinnen hat, hat von Beginn aus erstmal freien Zugang zu alles.

Das verfehlt ein wenig das Ziel finde ich.

Ich möchte wie gesagt gerne jeden einzelnen Benutzer, oder gern auch Subnetz-basierend, kontrollieren können. Sprich, dieser soll den Proxy erzwungen bekommen und erstmal kein Internetzugriff haben, solange ich diesen nicht in der Zugriffskontrolle eingetragen habe.


Synology DNS und DHCP Server laufen ebenfalls auf der DS. Falls diese irgendwie behilflich sein können.

 

[blinddark]

Was hast du denn für einen Router? Deine Anforderungen habe ich mit der FritzBox umgesetzt.

 

[Boxxy]

Netgear DGND3800B

Ich erinnere mich ebenfalls, dass ich früher irgendwann einmal etwas ähnliches in der Richtung gemacht habe. Jetzt wo du "FritzBox" sagst, kann das sein, dass ich diese dafür benutzt hatte.
War eine 7050 damals und ich meine die konnte zwar ansatzweise etwas in der Richtung, aber nicht so vertieft.

Neue Router haben ähnliche Funktionen, selbst der Synology eigene hat einen "Web-Filter".
Wollte mir aber eigentlich keinen neuen Router extra deswegen kaufen und hab gehofft die Syno kann eine solch simple Aufgabe bestimmt auch erledigen.
Außerdem habe ich VDSL bzw mein Router hat ein eingebautes VDSL Modem. Da gab es irgendwann mal von der Telekom keine Modems mehr umsonst, sondern nur noch ihre eigenen Modem/Router zur Miete und alle "normalen" WLAN-Router sind ohne Modem. Zumindest war das damals das Problem bei mir. Also müsste ich nichtnur einen neuen Router kaufen, sondern den jetzigen wegen der Modemfunktion weiternutzen.
Zu viel Theater für das, was die Router in dieser hinsicht bloß bieten.

 

[blinddark]

Also mit der FritzBox hast du auch gleich ein Modem. Das Gerät kann je nach Modell von Modem bis Telefonanlage alle Funktionen übernehmen. Ich habe es bei mir z. B. so eingestellt, dass zunächst erst einmal jedes neue Gerät keinen Zugriff aufs Internet hat. Nun habe ich verschiedene Gruppen angelegt, die je nach Konfiguration mehr oder weniger dürfen. Es gibt z. B. eine Gruppe für Kinder. Diese hat eine zeitliche Begrenzung, erlaubt nur surfen und Mailen und hat viele Seiten gesperrt. Die nächste Gruppe ist zwar nicht zeitlich begrenzt, hat aber weiterhin viele Ports blockiert. So kann man sich das Ganze nach seinen Bedürfnissen einrichten. Die Gast-Funktion habe ich für mein Büro eingerichtet. Hier ist zwar alles erlaubt, aber die Geräte liegen in einem anderen Netz und können sich und auch die Geräte im Heimnetz nicht sehen. Ein zweites Modem benötige ich dabei nicht.

Edit: dein Router hat lt. Datenblatt Live Parental Controls: Sorgt für die sichere Nutzung des Internets!
Eventuell ist das etwas für deinen Zweck. Ich weiß nun natürlich nicht, in wie weit das bei Netgear ausgereift ist.

 

[Boxxy]

Die Netgear ParentalControl habe ich nicht ausprobiert. Es öffnet eine neue Seite, bei der ich mich mit einem OpenDNS account einloggen muss.
Ein kurzer blick auf google zeigt, dass die Oberfläche eher simpel und vorgefertig scheint. Meine Vermutung ist, dass je nach Einstellungen im Filter, der Zugriff über OpenDNS Server bzw. vorgefertigte IP-Blocklisten geregelt wird.
Das könnte ich mit dem Synology DNS Server ebenfalls manuell machen.

Mir ist primär eine Monitoring Eigenschaft wichtig, um zu sehen welcher Benutzer, wann auf welche Seite zugegriffen hat. Sekundär dann die Blockiermöglichkeit.
Das Monitoring bietet der Proxy in gewissem Maße ja schon. Wenn auch etwas verwurschtelt in den Logfiles. Das Sperren müsste ich dann wohl per DNS Server machen.

 

[JudgeDredd]

und wie ich das sehe kann man den Proxy eigentlich bloß als Cache benutzen

Das war der Grundgedanke bei der "Erfindung" des Proxys.

Ich würde gerne zum einen den Netzwerk-Internetzugriff diverser Benutzer überwachen/kontrollieren wollen und ggf. Quell-Ip basierend den Zugriff auf einzelne Seiten sperren.

Der Proxy "SQUID" kann Deine Anforderungen abhandeln. Ich weiss allerdings nicht, was über das DSM an Paketen angeboten wird.
Squid bekommst Du aber als IPKG Paket.

Wenn Du nur über die IP die Sperre möchtest, dann fackelt man sowas normalerweise mit einer Firewall ab.

Und als Nebenfrage: Kann man den Proxy erzwingen?

Ja, wenn die Clients in einer Domäne hängen und Du das mittels GPO definierst.
Sofern Du nur eine Arbeitsgruppenumgebung hast, dann sperre den Zugang zum Internet einfach generell für alle Clients die "sanktioniert" werden sollen.
Den Host des Squid-Proxys (DS) gibst Du frei.
Wenn nun ein "sanktionierter" Client ins Internet möchte wird im nichts anderes übrigbleiben, als den Proxy "freiwillig" einzutragen.

 

[sector]

Zuhause ist ja keine Domaine am werk, idR.
Kann man dennoch irgendwie den Traffic über den Proxy auf die DS umleiten?
Ich habe eine FB 7490 zentral angehängt (Mit Wlan) und die DS per ETH verbunden (Wlan aus, da kein 5Ghz)

 

[JudgeDredd]

Zuhause ist ja keine Domaine am werk, idR.

Naja, kann ich so nicht bestätigen, aber ist ja auch nicht relevant.

Kann man dennoch irgendwie den Traffic über den Proxy auf die DS umleiten?

Wie ist das denn zu verstehen ? Ich dachte Du wolltest den Proxy auf der DS zum laufen bringen ? Oder möchtest Du über einen Proxy auf die DS zugreifen ?
Was spricht denn gegen mein oben genanntes Szenario ?

Ich habe eine FB 7490 zentral angehängt

Da die Kiste nach meiner Kenntnis keine VLAN's kann und somit alles in einem Netz ist, muss die ausgehende FireWall hier die Clients blocken und den Proxy-Host erlauben.

 

[jahlives]

Ja, wenn die Clients in einer Domäne hängen und Du das mittels GPO definierst.

es geht auch ohne Domäne ;-) Braucht 2xNAT- und eine Firewallregel auf dem Gateway. Im Prinzip wird jeder Request auf Port 80 sofern er nicht von der Proxy IP herkommt, mittels Portforwarding an die IP des Proxy geschickt. Zudem wird bei diesen Paketen mittels einer weiteren NAT Regel die SRC IP des Pakets auf die IP des Gateway umgeschrieben (da verhindert direkte Antworten des Proxy an den Client). Dann zum Schluss die Firewallregel, welche allen IP (ausser derjenigen des Proxy) den Zugriff auf Port 80 verbietet.

iptables -t nat -A PREROUTING -i ethX ! -s IP.DES.PRO.XY -p tcp --dport 80 -j DNAT --to IP.DES.PRO.XY:PORT
iptables -t nat -A POSTROUTING -o ethX -p tcp --dport 80 -d IP.DES.PRO.XY -j SNAT --to IP.DES.GATE.WAY

#wenn die default policy von INPUT ACCEPT ist
iptables -A INPUT -i ethX ! -s IP.DES.PRO.XY -p tcp --dport 80 -j REJECT

#wenn die default policy von INPUT DROP/REJECT ist
iptables -A INPUT -i ethX -s IP.DES.PRO.XY -p tcp --dport 80 -j ACCEPT

 

[sector]

Wie ist das denn zu verstehen ? Ich dachte Du wolltest den Proxy auf der DS zum laufen bringen ? Oder möchtest Du über einen Proxy auf die DS zugreifen ?
Was spricht denn gegen mein oben genanntes Szenario ?

Das die DS den Proxy stellt bzw ist, und die Anfragen automatisch, ohne am Client etwas einstellen zumüssen hierrüber gehen.

Meinst du mit dem Szenario, Squid über ipkg installieren?

 

[JudgeDredd]

Meinst du mit dem Szenario, Squid über ipkg installieren?

Fakt ist Du musst squid installieren. Leider kann ich nicht sagen, wie/wo die Installation auf der DS läuft. Meine Dienste laufen mittlerweile nicht mehr aus der DS sondern auf eigenen Servern.
Ob es aber über das Paketzentrum oder auf der Konsole passiert ist letzendlich egal.

Das die DS den Proxy stellt bzw ist, und die Anfragen automatisch, ohne am Client etwas einstellen zumüssen hierrüber gehen.

Ohne etwas zu ändern wird wohl nicht funktionieren.
Entweder Du änderst auf dem Client das Gateway und nimmst @jahlives Lösung.
Oder Du nimmst meinen Vorschlag für Deine Arbeitsgruppen Umgebung.