Danke lieber Erikro fuer die ausfuehrliche Auskunft,
jetzt war ich mal bei Zyxel.ch und habe temporaer folgende loesung die etwas lascher aber sicherlich um ein etliches weniger einschraenkend ist wie man eine Router-Firewall fuer TOR so einrichten sollte (glaube ich zumindest zu wissen…?)
Hier ein Ausschnitt aus dem wichtigsten:
die Zywalls haben eine konfigurierbare Default-Regel für jede Richtung. Zunächst solltest Du die Defaultregel für LAN nach WAN auf DROP (heisst evtl. auch DENY) setzen. Damit ist dann erst mal sämtlicher Traffic aus dem LAN ins WAN verboten. Das Logging würde ich für die Defaultregel aktivieren.
Jetzt musst Du ausdrücklich erlauben, was zulässig sein soll.
Für den Proxy also zunächst einmal die Dienste HTTP, HTTPS, ggf. noch FTP und ganz wichtig: DNS für die Namensauflösung. Sollte es sich um eine Windows-Domäne mit Active Directory handeln, ist es wichtig, den PDC-Emulator mit einer externen Zeitquelle zu synchronisieren. Also muss weiterhin das (S)NTP-Protokoll zugelassen werden. Alle diese Dienste müssten bereits vordefiniert sein - wenn nicht, dann selbst definieren.
Da Du nur 10 Benutzer hast, vermute ich, dass Du nur einen DC hast und auch der Proxy auf dieser Maschine läuft. Dann kommen wir mit einer Firewallregel aus:
Direction: LAN-to-WAN
Source-IP-Type=Host
Source-IP=die (feste!) IP-Adresse des Servers
Destination-IP=any
Service=DNS, HTTP, HTTPS, (FTP), (S)NTP
Action=allow bzw. permit
Log=no
Das wars. Wenn jetzt etwas nicht wie erwartet funktioniert, dann ins Firewalllog schauen und bei Bedarf zusätzlich freischalten. Zu beachten ist etwa, dass die Definition HTTP nur TCP-Traffic mit Zielport 80 und HTTPS nur TCP-Traffic mit Zielport 443 zulässt. Wenn also jemand eine Seite ansurfen muss, die nicht auf diesen Standardports liegt, dann heisst es, dies als Service zu definieren und der Regel hinzuzufügen.
Du kannst es Dir natürlich auch ganz einfach machen und vom Server ausgehend alle Dienste zulassen (ANY). Das würde ich jedoch nicht tun - es ist manchmal recht aufschlussreich, was man in seinem Firewalllog so alles findet…
Kleine Zusatzfrage: Mit “Source-IP=IP-Adresse des Servers” meinst du den Proxy und nicht den Domän Kontroller, oder?
Ich hatte vorausgesetzt, dass Proxy und DC die selbe Maschine sind.
Wenns 2 Maschinen sind, benötigst Du 2 Regeln:
a) fĂĽr den DC
Direction: LAN-to-WAN
Source-IP-Type=Host
Source-IP=die (feste!) IP-Adresse des DCs
Destination-IP=any
Service=DNS, (S)NTP
Action=allow bzw. permit
Log=no
b) fĂĽr den Proxy
Direction: LAN-to-WAN
Source-IP-Type=Host
Source-IP=die (feste!) IP-Adresse des Proxys
Destination-IP=any
Service=HTTP, HTTPS, (FTP)
Action=allow bzw. permit
Log=no
Hierbei setze ich voraus, dass der interne DNS-Server auf dem DC läuft und dieser die Namensauflösung für externe Adressen machen soll (z.B. per Weiterleitung oder über die root-Server). Und ich setze voraus, dass der Proxy den internen DNS-Server zur Namensauflösung benutzt.
Wenn dem nicht so ist, dann beschreibe bitte Eure Infrastruktur etwas genauer (ggf. per PN).