Firewall Zugriff von IPs nur auf Internet

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
HerrHS
Beiträge: 22
Registriert: 09 Mär 2017, 16:05

Firewall Zugriff von IPs nur auf Internet

Beitrag von HerrHS »

Hallo liebes Forum,

ist es möglich, dass ich per Firewall Regel einzelne IPs aus meinem Netzwerk so beschneide, dass sie nur auf die Gegenstelle T-Online zugreifen können, also ins Internet kommen, aber auf keinen Fall auf eine andere IP des lokalen Netzwerks?

Vielen Dank!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Firewall Zugriff von IPs nur auf Internet

Beitrag von Dr.Einstein »

Hi HerrHS,

bedenke OSI Schicht 2 und 3. Im lokalen Netzwerk läuft die primäre Kommunikation auf Schicht 2 ab, d.h. der Router kommt bei diesen Datenaustauschen nicht zum tragen. Erst wenn der Router routen muss, also von LAN zu WAN (Internet), oder von LAN Segment 1 zu LAN Segment 2. Wenn du den 2. Fall hast, also zwei verschiedene LANs, lässt sich das simpel über Firewallregeln oder Routing Tags realisieren. (Deny LAN1 -> LAN2, Deny LAN2 -> LAN1 oder LAN1 = rtg Tag 1, LAN2 = rtg Tag 2).

Gruß Dr.Einstein
HerrHS
Beiträge: 22
Registriert: 09 Mär 2017, 16:05

Re: Firewall Zugriff von IPs nur auf Internet

Beitrag von HerrHS »

Ok, danke für den Hinweis. Nee, habe nicht zwei verschiedene Lans.
Es ist so: Im Keller steht ein Lancom Router und der geht bei Lan 1 hoch in den 1. Stock, dort ist ein Lancom WLAN AP über den alle ins WLAN kommen.

Hatte schonmal probiert, das irgendwie zu trennen. Aber ich steige da nicht so richtig durch. Werde nochmal diesbezüglich googlen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Firewall Zugriff von IPs nur auf Internet

Beitrag von Dr.Einstein »

Vielleicht reicht dir schon folgendes:

WLAN -> Allgemein -> Logische WLAN Einstellungen -> WLAN-X -> Datenverkehr zulassen zwischen den Stationen -> nein

Gruß Dr.Einstein
HerrHS
Beiträge: 22
Registriert: 09 Mär 2017, 16:05

Re: Firewall Zugriff von IPs nur auf Internet

Beitrag von HerrHS »

Vielen Dank für die Idee, aber das hilft nicht.
Ich möchte z.B. verhindern, dass die Nutzer des logischen Wlans WLAN2 nur aufs Internet, nicht aber auf das NAS zugreifen können, welches ja per LAN angeschlossen ist.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Firewall Zugriff von IPs nur auf Internet

Beitrag von Jirka »

Hi,

das ist doch ein klassischer Fall der Netztrennung, wie Dr. Einstein schon geschrieben hat. Der Normalfall sieht eigentlich so aus, dass man sich im Router ein zweites VLAN-getaggtes ARF-Netz ("Gastnetz") anlegt, die Netze per Schnittstellen-Tag trennt und im AP dieses VLAN dann auf der zweiten SSID ausgegeben wird. Beim AP muss man allerdings dann das VLAN-Modul einschalten, damit dauert es dort eine Minute länger, alles zusammen aber immer noch in 5 Min. zusammenzuklicken. In der LANCOM Knowledgebase gibt es auch Anleitungen dafür. Der unübliche Fall funktioniert ohne VLAN und basiert darauf, dass im AP das Gastnetz aufgemacht wird, da finden sich auch Anleitungen für.

Irgendwie gab es für den Normalfall auch einfachere Anleitungen, ich finde die jetzt nicht.

https://www2.lancom.de/kb.nsf/1275/CD31 ... enDocument

https://www2.lancom.de/kb.nsf/1275/1CD5 ... enDocument

Viele Grüße,
Jirka
Antworten