Mit Firewall Clients trennen

hyperjojo · Beitrag von **hyperjojo** » 26 Jul 2009, 02:42

hallo zusammen,

ich bin gerade dabei, ein Netz aufzubauen, wie hier grob skizziert.

Die beiden APs sind Lancom L-54ag. Das IAD ist eine Fritzbox mit einer statischen Route ins 112er-Netz. Die APs sind mit P2P miteinander vernetzt, der Zugriff von den Clients aufs Internet funktioniert schon komplett. Der AP1 übernimmt das Routing zum IAD

Jetzt möchte ich, dass die Clients aus dem 2er Netz nicht auf die Clients des 112er Netzes zugreifen können und umgekehrt. Ich habe es nur bis jetzt nicht hinbekommen, dass ich den Zugriff auf das IAD und den AP zulasse, aber die Clients sperre.

Sicherlich nichts großes, aber ich stehe auf dem Schlauch. Vielleicht habt ihr nen Rat für mich, wie die Firewall-Regeln (auf dem AP1) aussehen sollen.

Danke!

backslash · Beitrag von **backslash** » 27 Jul 2009, 18:54

Hi hyperjojo

letztendlich erstellst du dazu drei Firewallregeln, zwei die den Traffic zwischen den Netzen unterbinden und eine, die gezielt den Zugriff auf den IAD zuläßt:

Code: Alles auswählen

Name:    ALLOW-IAD
Aktuion: übertragen
Quelle:  Netz1, Netz2
Ziel:    IP der Fritzbox
Dienste: alle Dienste


Name:    DENY-1->2
Aktuion: zurückweisen
Quelle:  Netz1
Ziel:    Netz2
Dienste: alle Dienste

Name:    DENY-2->1
Aktuion: zurückweisen
Quelle:  Netz2
Ziel:    Netz1
Dienste: alle Dienste

Gruß
Backslash

hyperjojo · Beitrag von **hyperjojo** » 27 Jul 2009, 23:13

hallo,

vielen Dank. Das funktioniert soweit!
Jetzt habe ich eine Anschluss-Frage: Auf den beiden APs läuft jeweils DHCP für das jeweilige Netzwerk. Wie kann ich unterbinden, dass sich der ein Rechner im 112er Netz eine IP aus dem 2er Netz vom andern AP holt?

Danke schonmal!

backslash · Beitrag von **backslash** » 28 Jul 2009, 17:39

Hi hyperjojo

Wie kann ich unterbinden, dass sich der ein Rechner im 112er Netz eine IP aus dem 2er Netz vom andern AP holt?

Das passiert doch automatisch durch die unterschiedlichen SSIDs an den APs - d.b. du mußt nur verhindern, daß sich die Clients auf der SSID des jeweils anderen APs einbuchen. Das geht mit entweder mit einem externen RADIUS-Sever oder einem Eintrag in die Stations-Tabelle.

Hierzu stellst du unter "Wireless-LAN -> Stationen -> Stationen filtern" den Radio-Button auf "Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern".

Danach kannst du die erlaubten Clients entweder in die Stations-Tabelle aufnehmen oder den RADIUS-Server für die Authentifizierung angeben.

Wenn du einen RADIUS-server verwendest, kannst du auch direkt 802.1X zur Authentifizierung verwenden - denn das ist sicherer als nur fälschbare MAC-Adressen zu prüfen.

Gruß
Backslash

hyperjojo · Beitrag von **hyperjojo** » 28 Jul 2009, 17:48

hallo,

die Clients haben mit der WLAN-Verbindung nichts zu tun. Die Clients sind alle Kabelgebunden bzw. haben einen eigenen WLAN-AP.

die beiden L54ag sind ja nur eine P2P-Verbindung - siehe meine Grafik im 1. Post.

backslash · Beitrag von **backslash** » 28 Jul 2009, 18:11

Hi hyperjojo

OK... wenn du auf dem WLAN keinen DHCP-Server haben willst, dann deaktivierst du ihn einfach in der DHCP-Port-tabelle (TCP-IP -> DHCP -> Port-Tabelle) auf dem jeweiligen Interface (P2P-1-1).

Wenn du ganz sicher gehen willst, dann blockierst du über die WLAN-Filter (Wireless-LAN -> Security -> Protokoll) zusätzlich noch DHCP auf der P2P-Strecke:

Code: Alles auswählen

Name:         BLOCK-DHCP
Protokoll:    0800
Untertyp:     17
Anfangs-Port: 67
End-Port:     68

(...)

Interface-Liste: P2P-1-1

Gruß
Backslash

hyperjojo · Beitrag von **hyperjojo** » 28 Jul 2009, 18:35

manchmal ist die logik so einfach...
An P2P-1-1 hatte ich nicht gedacht, ich hatte nur für die WLAN deaktiviert. Scheint jetzt zu gehen, er zieht nurnoch Adressen vom eigenen AP...

Danke dir vielmals!