Port Weiterleitung zulassen von bestimmter MAC-Adresse

Alles was zum Thema Firewall gehört

Moderator: Lancom-Systems Moderatoren

Antworten
babylon05
Beiträge: 13
Registriert: 27 Dez 2016, 18:26

Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von babylon05 » 08 Jan 2017, 00:09

Hallo,

ich nutze eine App auf dem Handy, die mit einem internen Serverprogramm kommuniziert.
Die App benötigt z.B. Port 34000 TCP als Kommunikation von der WAN Seite.

Kann ich irgendwo in der Firewall beim R883VAW einstellen, dass über den Port 34000 das Gerät mit der MAC Adresse xy nur kommunizieren kann?

Wenn, ja wo finde ich diesen Reiter in der Config?

mfg

Benutzeravatar
Jirka
Beiträge: 4235
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von Jirka » 08 Jan 2017, 00:55

Hi,

Firewall/QoS -> IPv4-Regeln -> Regeln... -> Hinzufügen/Bearbeiten -> Stationen -> Verbindungs-Ziel -> Verbindung an folgende Stationen -> Hinzufügen -> z. B. Benutzerdefinierte Station hinzufügen -> Eine bestimmte MAC-Adresse -> Hardware-Adresse.

Viele Grüße,
Jirka

Edit: Wenn ich noch mal Deine Frage lese, dann glaube ich Du meintest nicht die MAC-Adresse von einem Client im lokalen LAN (Ziel), sondern die MAC-Adresse von einem Client im Internet/WAN. Das geht natürlich nicht, weil der LANCOM die MAC-Adresse gar nicht sieht, die ist ja nur auf Layer 2.
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

babylon05
Beiträge: 13
Registriert: 27 Dez 2016, 18:26

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von babylon05 » 08 Jan 2017, 09:53

Ja meinte Client von der WAN Seite. Bevor einer den Tipp gegeben gibt, mach es doch mit einem VPN Tunnel, habe ich getestet, funktioniert nicht, da das IPhone im Sperrzustand die VPN Verbindung unterbricht bzw. nicht automatisch aufbaut.

Wie sieht es aus nach dem Lancom einen pfsense auf einen Mini PC als zusätzliche Firewall einzubauen. Hatte da gelesen, dass man damit eingehende Pakete nach IP oder MAC filtern kann.

Mfg

Benutzeravatar
Jirka
Beiträge: 4235
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von Jirka » 08 Jan 2017, 11:41

Hi,

auch das Ding kann nicht auf eine MAC-Adresse filtern, die ist nur auf Layer 2, da ändert auch ein anderer Router nichts dran.
Auf IP kannst Du filtern, aber das wird Dir bei einem iPhone wohl nicht viel bringen, es sei denn es befindet sich (zum entsprechenden Zeitpunkt) im WLAN eines Netzwerkes mit einer festen WAN-IP.

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

babylon05
Beiträge: 13
Registriert: 27 Dez 2016, 18:26

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von babylon05 » 08 Jan 2017, 13:32

Hallo Jirka,

Ok, wie sieht es aus, kann man z.B. nur deutsche WAN IP-Range irgendwo im Lancom Router aktivieren, so dass eine Anfrage aus dem WAN mit ausländer IP geblockt wird?

Benutzeravatar
Jirka
Beiträge: 4235
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von Jirka » 08 Jan 2017, 13:52

Hi,

theoretisch ja, praktisch nein (weil der Bereich zu groß ist/zu viele verschiedene Teilbereiche umfasst). Du könntest vielleicht noch auf einen deutschen Provider filtern, aber selbst das wird anstrengend.

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

ua
Beiträge: 412
Registriert: 29 Apr 2005, 12:29

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von ua » 08 Jan 2017, 22:39

Hi,

so was habe ich mal für einen Kunden wie folgt gelöst (dauert aber, ist ein lebendiger Prozess):

1) Firewallregel mit logging einrichten (damit fehlerhaft Anfragen geloggt werde).
2) Smartphone an, eigene Adresse feststellen (die CGN natürlich :mrgreen:, nicht die RFC1918)
3) Beim Ripe oder Whois den Adressrange prüfen und den gesamten in die Positivlist
4) Bei weiteren Adressen goto 2) oder 1) und log prüfen.

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...

backslash
Moderator
Moderator
Beiträge: 5792
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von backslash » 09 Jan 2017, 20:01

Hi ua,

ich frage mich, wieso die Leute immer an der falschen Stelle versuchen, Sicherheit herzustellen... Klar mit den Adreßranges deines ISPs als Quelle in den Firewallregeln verhinderst du, daß irgendwelche bösen .ru oder .sn, deinen Server hacken... aber auch in .de gibt böse Leute - seibst im Netz deines Providers bist du nicht davor gefeit...

Sicherheit schafft man nur durch gute Paßwörter... noch besser wäre ein VPN-Zugang (natürlich mit Zertifikaten), dann hast du zumindest die bösen Buben nicht über Portforwardings in dein Netz reingelassen.

BTW: zur Urspungsfrage: eine MAC-Adresse bietet keinerlei Sicherheit - sie ist so einfach zu fälschen, wie eine IP-Adresse. Abgesehen davon hat eine MAC-Adresse nur innerhalb eines LANs eine Bedeutung

Gruß
Backslash

ua
Beiträge: 412
Registriert: 29 Apr 2005, 12:29

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von ua » 10 Jan 2017, 11:09

Hi backslash;

Full Ack:
Sicherheit schafft man nur durch gute Paßwörter... noch besser wäre ein VPN-Zugang (natürlich mit Zertifikaten), dann hast du zumindest die bösen Buben nicht über Portforwardings in dein Netz reingelassen
Aber mit Geo-Blocking auf IP-Kreise (.ru, .cn, .tr und Weitere, bald auch .us und .de :mrgreen: ) wird ein FW-log erheblich übersichtlicher...

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...

Antworten

Zurück zu „Fragen zum Thema Firewall“