Hallo noch einmal,
also ich habe es jetzt (auch mit Hilfe des IPFire Forums) soweit hinbekommen. Die Lösung ist erschreckend einfach und besteht aus 2 Schritten:
- Stelle am Client IPFire (bei mir 10.16.1.254:800) als den Proxy sowohl für HTTP als auch für HTTPS ein.
- Erstelle eine IPFire Firewall-Regel, um allen HTTPS-Traffic, der nicht über den Proxy geht, zu blocken:
- Source: Standard networks: GREEN
- Destination: Standard networks: RED
- Protocol: -Preset- Services: HTTPS
- DROP
Das wars! URL-Filter greift sowohl bei HTTP (mit Fehler-Seite) als auch bei HTTPS (Timeout)!
Ob „transparent mode“ oder nicht, spielt dabei offenbar keine Rolle.
Da ist auch nichts „Man-in-the-middle“-mäßiges dabei. Es gibt keinerlei Zertifikatswarnungen beim Surfen auf HTTPS Seiten.
Verstehen tue ich das ganze zwar immer noch nicht wirklich, aber der gewünschte Effekt ist erreicht!
PS: Damit man im Browser noch auf die Schulkonsole, CUPS, IPFire etc. kommt, muss man auf den Clients diese Ausnahmen einrichten (d.h. wo kein Proxy verwendet werden soll):
- 10.16.0.0/12
- server
- cups
- ipfire
- …