Nur bestimmte Adressen im Web freischalten (Whitelist)

[shorty99999]

Hallo zusammen,

ich bin neu im Forum und wende mich an Euch in der Hoffnung, dass mir jemand eine Lösung für mein Problem hat.

Ich habe einen Lancom 1781VAW und möchte die Firewall wie folgt konfigurieren:

1. Alle PCs im Netzwerk haben KEINEN Internetzugriff - geschafft
2. Ein spezieller PC hat jedoch vollen Zugriff auf das Internet - geschafft

Nun zu meinem Problem:

Ein weiterer PC soll nur Zugriff auf eine spezielle Domain haben (Bsp: Nur Zugriff auf lancom.de). Alle anderen Ziele sollen verweigert werden.
Eine Einschränkung auf eine spezielle IP habe ich hinbekommen. Sollte jedoch die IP Adresse hinter lancom.de mal wechseln und anders aufgelöst werden (Load Balancing o.ä. im Ziel Rechenzentrum) dann der von mir ausgewählte PC auch keinen Zugriff mehr auf lancom.de

Den Kauf des Content-Filters möchte ich vermeiden, da ich nur wenige Clients habe und auch nur diese eine Einschränkung benötige.


Hat jemand eine Idee ??

[cpuprofi]

Hallo,

Den Kauf des Content-Filters möchte ich vermeiden...

Du wirst wohl bei Deinem Szenario nicht um den Content-Filter herum kommen. Eine andere Lösung gibt es dafür bei den Lancom-Routern nicht.

Grüße
Cpuprofi

[Dr.Einstein]

Mir fällt da nur eine Tricklösung ein, die ich selbst noch nicht probiert habe, da die 8.82 gerade erst releast wurde.

Wenn du es hinbekommst, dem einen Rechner ein eigenes Netzwerk zu geben, sei es über VLAN oder einer physikalischen Schnittstelle am Router, dann könnte folgendes klappen:

- separates Netz für den einen PC anlegen inkl. eigenen Schnittstellen-Tag
- IPv4 / DNS / weiterleitungen
-> Domäne * an 0.0.0.0 für Quelltag des neuen Netzwerks
-> Domäne *.heise.de an 8.8.8.8 für Quelltag des neuen Netzwerks

Könnte klappen. Wenn dir Geldsparen so wichtig ist, teste das einfach mal für mich, brauch ich mir nicht die Mühe machen, wenn ich es mal wieder brauche ^^

Gruß Dr.Einstein

[Cytor]

- separates Netz für den einen PC anlegen inkl. eigenen Schnittstellen-Tag
- IPv4 / DNS / weiterleitungen
-> Domäne * an 0.0.0.0 für Quelltag des neuen Netzwerks
-> Domäne *.heise.de an 8.8.8.8 für Quelltag des neuen Netzwerks

Hi,

das Problem ist ja leider, dass so zwar verboten würde alle anderen Namen aufzulösen, aber der eigentliche Internetzugriff noch tut. Da braucht der User ja nur (falls denn erlaubt) einen anderen DNS Server zu konfigurieren.

Andere Bastellösung falls Public Spot vorhanden: Diesen PC in ein separates VLAN stecken in dem der Public Spot aktiv ist. Dort dann die gewünschte Domain whitelisten. Bei allen anderen Domains kommt die Loginseite

Korrekte Lösung ist wie gesagt der Content Filter.

[Dr.Einstein]

Jein, wenn du via Firewall andere DNS Server für diese Maschine verbietest, musst du schon ein wenig tiefer in die Trickkiste greifen.

[wolfgang-12]

Du wirst wohl bei Deinem Szenario nicht um den Content-Filter herum kommen. Eine andere Lösung gibt es dafür bei den Lancom-Routern nicht

Also die Firewall im alten Elsa-Router - den ich stillgelegt habe - für den war das aber kein Problem. Bei der HTTP-Verbindung ist der lokale PC die Quelle. Beim alten Router hätte ich unter Quelle die IP der Quelle reingetan oder seine Mac-Adresse. Oder wenn ich dem Rechner einen lokalen Lamen zugewiesen habe - mein Drucker ist zum Beispiel unter http://kyocera.intern/ zu erreichen - dann konnte ich da auch den Namen reinschreiben.

Wenn man alles verboten hat, dann muss man eben mit der einen Regel nur die eine Verbindung erlauben. Das sollte gehen.

Herzliche Grüße
Wolfgang

[cpuprofi]

Hallo Wolfgang,

für Geräte im lokalen Netz mag das so gehen, aber nicht für Webseiten, da man da eine Vielzahl von möglichen IP's bei DNS Auflösungen haben kann.

Grüße
Cpuprofi

[wolfgang-12]

Hallo Cpuprofi

Darf ich noch mal nachfragen: Ich kann mit "ping lancom-systems.de" morgen eine andere IP haben als heute?

Herzliche Grüße
Wolfgang

[cpuprofi]

Hallo,

Ich kann mit "ping lancom-systems.de" morgen eine andere IP haben als heute?

Zu "lancom-systems.de" kann ich nichts sagen, ich kenne deren Serverlandschaft nicht. Aber die größeren Provider haben Server-Cluster, mit zig verschiedenen IP-Adressen und bei denen weiß man nicht vorher wohin man je nach Auslastung geroutet wird. Es kann in dieser Sekunde IP X sein und in der nächsten IP Y.

Grüße
Cpuprofi

[Bernie137]

Hi,

ja das muss ich auch ankreiden, warum kann man nicht ein Ziel mit seinem DNS Namen in der Firewall hinterlegen? Andere Hersteller koennen das schon lange. Bin schon einige Male drueber gestolpert.

Gruss Heiko