sinnvolle Konfiguration für Sperrlisten (DNSBL)

[bimbar]

Der Proxy muss nicht MITM machen, der kann auch nach Domain Name blocken, ohne die Verbindung aufzubrechen.
Aber die Fehlerseitenproblematik haben alle Techniken gemeinsam, da wird immer eine Zertifikatswarnung kommen.

Ich persönlich habe mich damit abgefunden, ich bekomme lieber eine Eieruhr, als Benutzer zu trainieren, Zertifikatswarnungen blind zu akzeptieren, oder aber nicht zu blocken.

[JeGr]

> Damit scheidet das Thema "DNS-Block-Listen" komplett aus.

Würde ich nicht so sehen. Es ist das einzig sinnvolle Thema meiner Ansicht nach um ordentlich zu filtern. IP Filtering natürlich im Konglomerat dazu aber ohne DNS Blocking würde es bei uns überhaupt nicht mehr laufen. Schon mit Werbung und Co.

[Käpsele]

Werbung blockieren ist uns nicht so wichtig, bzw. hierfür setzen wir "uBlock Origin" ein.

Für die IP-Blockierung habe ich vermutlich einen gangbaren Zwischenweg, der für uns akzeptabel ist.
Filterung mit transparentem Proxy mit Sperrlisten und IPS für http.

Wenn eine Seite ohne "https" aufgerufen wird, erscheint das Warnfenster der Firewall, wenn es mit "https" aufgerufen wird, die Warnmeldung des Browsers. Sollte die Warnmeldung des Browsers übergangen werden, so erscheint dann trotzdem wieder das Warnfenster der Firewall.
So ist es zumindest bei unserer aktuellen Firewall.
Dieses Szenario würde ich gerne in der OPNsense nachbauen.

Jetzt ist nur die Frage, wie muss ich den Web-Proxy konfigurieren, damit htttp und https über die Sperrlisten läuft, aber nur http mit IPS untersucht und https nicht aufgebrochen wird?

Gibt es für diesen spezielleren Fall eine Anleitung?

[bimbar]

Der relevante Schalter ist: "Log SNI information only".

Ansonsten: https://docs.opnsense.org/manual/how-tos/proxywebfilter.html

[Käpsele]

wow, Danke!

Na bei der klaren Beschreibung der Funktion, hätte ich ja auch selbst drauf kommen können (Ironie aus)...

[bimbar]

Die Problematik mit der Blockseite mit der Zertifikatswarnung bleibt aber.