Scenario
Einleitung |
Der bintec elmeg Webfilter-Server bietet folgende Möglichkeiten der Filterung an:
Sperrlisten (Blacklists): vordefinierte Kategorien bzw. private Kategorie für selbst erstellte Sperrlisten
Integration von Google SafeSearch: Beschränkung der Google-Suchergebnisse
Geolocation: Datenverkehr anhand geographischer Standorte erlauben oder blockieren
Reporting: Echtzeitberichte und Auswertung der aufgerufenen Webseiten-Kategorien
Benachrichtigungen bei Client-Anfragen zur Freigabe einer Webseite
Zeitplaner: Aktiviert bzw. deaktiviert Sperrlisten zu bestimmten Zeiten
Scenario
be.IP wird als DHCP-Server für angeschlossene Clients eingesetzt.
be.IP hat die öffentliche IP-Adresse des Internetzugangs.
Wichtig: Clients in Ihrem lokalen Netzwerk (LAN) verwenden für DNS-Anfragen die be.IP.
Die grundsätzliche Funktionsweise der Lösung ist wie folgt:
Die be.IP weist einem anfragenden DHCP-Client neben der IP-Adresse und dem Gateway auch die eigene Adresse als DNS-Server zu.
Alle DNS-Anfragen werden von der be.IP an einen der bintec elmeg Webfilter-DNS-Server weitergeleitet (185.236.104.104 bzw. 185.236.105.105). Sobald der Client eine Internetseite in seinem Browser aufruft, geschieht Folgendes:
Die DNS-Anfrage des Clients wird an den Webfilter-DNS-Server gesendet.
Der DNS-Server identifiziert das eingerichtete Profil auf der bintec elmeg Webfilter-Plattform anhand der Quell-IP-Adresse der DNS-Anfrage. Dies ist die öffentliche IP-Adresse Ihres Internetzugangs.
Der DNS-Server prüft anhand der von Ihnen eingerichteten Richtlinien, ob die angefragte URL aufgelöst werden darf oder nicht.
Darf die URL aufgelöst werden, teilt der DNS-Server die IP-Adresse per DNS-Antwort mit.
Darf die URL nicht aufgelöst werden, teilt der DNS-Server die IP-Adresse der bintec elmeg Webfilter-Plattform mit. Der Client ruft somit per HTTP(S) die bintec elmeg Webfilter-Webseite auf, die ihm mitteilt, dass der Aufruf der gewünschten Seite nicht erlaubt ist.
Die LAN-Schnittstelle in dieser Konfigurationsanleitung ist br0, die Schnittstelle für den Internetzugang heißt “WAN - Internet”.
Die Firewall ist aktiv. Die LAN-Schnittstelle ist der vertrauenswürdigen Zone und die WAN-Schnittstelle der nicht vertrauenswürdigen Zone zugeordnet.
Für das interne Netzwerk ist eine DHCP-Server-Konfiguration erforderlich.
In Abhängigkeit von der Art der IP-Adresszuweisung an der Internet-Schnittstelle (statisch oder dynamisch) sind unterschiedliche Konfigurationen des Filters notwendig.
Beachten Sie, dass die DNS-Auflösung für Clients im LAN ab dem Zeitpunkt des Einrichtens des DNS-Servers fehlschlagen kann, wenn der bintec elmeg Webfilter-Server noch nicht konfiguriert ist.
Die be.IP wird über den Assistenten so konfiguriert, dass Anfragen an andere DNS-Server nicht zugelassen sind.
IPv6 darf an der Schnittstelle, an der die LAN-Clients angeschlossen sind, nicht aktiv sein.
be.IP-Serie, RSxx3-Serie, R1202, RT1202, RXL12x00 mit Version 10.2.3 oder höher
| Copyright© Version 01/2020 bintec elmeg GmbH |