OPNsense Forum

International Forums => German - Deutsch => Topic started by: PotatoCarl on August 29, 2016, 02:45:15 pm

Title: ICAP für bestimmte Hosts ausschliessen?
Post by: PotatoCarl on August 29, 2016, 02:45:15 pm
Hi
Ich habe da ein kleines Problem:
Wir benutzen Eset Gateway für den Scan mit dem Proxy via ICAP. Das funktioniert auch gut, solange das Gateway läuft. Das Problem an der Sache ist, dass das Gateway beim start die Antivirus-Datenbank updated. Da es noch nicht läuft, funktioniert ICAP in dem Moment natürlich nicht und der Start bricht ab.

Gibt es eine Möglichkeit das ICAP für bestimmte hosts auszuschliessen?

Grüsse
T
Title: Re: ICAP für bestimmte Hosts ausschliessen?
Post by: fabian on August 29, 2016, 04:36:48 pm
Hallo,

es gibt derzeit keine derartige Möglichkeit, ICAP für einen einzelnen Host abzuschalten.
Im Template könntest du diese Zeilen hier (https://github.com/opnsense/core/blob/master/src/opnsense/service/templates/OPNsense/Proxy/squid.acl.conf#L7-L8) allow auf deny setzen, dann sollte es mit den IPs in "unrestricted" vorübergehend funktionieren (ein Update wird dir das aber wieder überschreiben!).

Es könnte da ggf. auch Sinn machen, wenn dieser einzelne Host nicht über den Proxy auf das Internet zugreift, wenn es nicht anders geht.
Title: Re: ICAP für bestimmte Hosts ausschliessen?
Post by: PotatoCarl on August 29, 2016, 04:53:41 pm
Danke dafür. Ich probiere es mal aus.
Ich habe schon versucht diesen Host direkt auf das Internet zugreifen zu lassen. Allerdings benutze ich einen transparenten Proxy und bekomme das nicht hin. OPNSense macht NAT rules, und selbst wenn ich im Firewall als ersten für diesen Host (und natürlich nur die entsprechenden Updateserver) eine Rule zum direkten zugriff einrichte, geht er über den Proxy. Ich verstehe nicht so ganz wie ich das umgehen kann.

Dazu vielleicht eine Idee?
Danke
T