Port Weiterleitung zulassen von bestimmter MAC-Adresse

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
babylon05
Beiträge: 13
Registriert: 27 Dez 2016, 17:26

Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von babylon05 »

Hallo,

ich nutze eine App auf dem Handy, die mit einem internen Serverprogramm kommuniziert.
Die App benötigt z.B. Port 34000 TCP als Kommunikation von der WAN Seite.

Kann ich irgendwo in der Firewall beim R883VAW einstellen, dass über den Port 34000 das Gerät mit der MAC Adresse xy nur kommunizieren kann?

Wenn, ja wo finde ich diesen Reiter in der Config?

mfg
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von Jirka »

Hi,

Firewall/QoS -> IPv4-Regeln -> Regeln... -> Hinzufügen/Bearbeiten -> Stationen -> Verbindungs-Ziel -> Verbindung an folgende Stationen -> Hinzufügen -> z. B. Benutzerdefinierte Station hinzufügen -> Eine bestimmte MAC-Adresse -> Hardware-Adresse.

Viele Grüße,
Jirka

Edit: Wenn ich noch mal Deine Frage lese, dann glaube ich Du meintest nicht die MAC-Adresse von einem Client im lokalen LAN (Ziel), sondern die MAC-Adresse von einem Client im Internet/WAN. Das geht natürlich nicht, weil der LANCOM die MAC-Adresse gar nicht sieht, die ist ja nur auf Layer 2.
babylon05
Beiträge: 13
Registriert: 27 Dez 2016, 17:26

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von babylon05 »

Ja meinte Client von der WAN Seite. Bevor einer den Tipp gegeben gibt, mach es doch mit einem VPN Tunnel, habe ich getestet, funktioniert nicht, da das IPhone im Sperrzustand die VPN Verbindung unterbricht bzw. nicht automatisch aufbaut.

Wie sieht es aus nach dem Lancom einen pfsense auf einen Mini PC als zusätzliche Firewall einzubauen. Hatte da gelesen, dass man damit eingehende Pakete nach IP oder MAC filtern kann.

Mfg
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von Jirka »

Hi,

auch das Ding kann nicht auf eine MAC-Adresse filtern, die ist nur auf Layer 2, da ändert auch ein anderer Router nichts dran.
Auf IP kannst Du filtern, aber das wird Dir bei einem iPhone wohl nicht viel bringen, es sei denn es befindet sich (zum entsprechenden Zeitpunkt) im WLAN eines Netzwerkes mit einer festen WAN-IP.

Viele Grüße,
Jirka
babylon05
Beiträge: 13
Registriert: 27 Dez 2016, 17:26

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von babylon05 »

Hallo Jirka,

Ok, wie sieht es aus, kann man z.B. nur deutsche WAN IP-Range irgendwo im Lancom Router aktivieren, so dass eine Anfrage aus dem WAN mit ausländer IP geblockt wird?
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von Jirka »

Hi,

theoretisch ja, praktisch nein (weil der Bereich zu groß ist/zu viele verschiedene Teilbereiche umfasst). Du könntest vielleicht noch auf einen deutschen Provider filtern, aber selbst das wird anstrengend.

Viele Grüße,
Jirka
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von ua »

Hi,

so was habe ich mal für einen Kunden wie folgt gelöst (dauert aber, ist ein lebendiger Prozess):

1) Firewallregel mit logging einrichten (damit fehlerhaft Anfragen geloggt werde).
2) Smartphone an, eigene Adresse feststellen (die CGN natürlich :mrgreen:, nicht die RFC1918)
3) Beim Ripe oder Whois den Adressrange prüfen und den gesamten in die Positivlist
4) Bei weiteren Adressen goto 2) oder 1) und log prüfen.

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von backslash »

Hi ua,

ich frage mich, wieso die Leute immer an der falschen Stelle versuchen, Sicherheit herzustellen... Klar mit den Adreßranges deines ISPs als Quelle in den Firewallregeln verhinderst du, daß irgendwelche bösen .ru oder .sn, deinen Server hacken... aber auch in .de gibt böse Leute - seibst im Netz deines Providers bist du nicht davor gefeit...

Sicherheit schafft man nur durch gute Paßwörter... noch besser wäre ein VPN-Zugang (natürlich mit Zertifikaten), dann hast du zumindest die bösen Buben nicht über Portforwardings in dein Netz reingelassen.

BTW: zur Urspungsfrage: eine MAC-Adresse bietet keinerlei Sicherheit - sie ist so einfach zu fälschen, wie eine IP-Adresse. Abgesehen davon hat eine MAC-Adresse nur innerhalb eines LANs eine Bedeutung

Gruß
Backslash
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Port Weiterleitung zulassen von bestimmter MAC-Adresse

Beitrag von ua »

Hi backslash;

Full Ack:
Sicherheit schafft man nur durch gute Paßwörter... noch besser wäre ein VPN-Zugang (natürlich mit Zertifikaten), dann hast du zumindest die bösen Buben nicht über Portforwardings in dein Netz reingelassen
Aber mit Geo-Blocking auf IP-Kreise (.ru, .cn, .tr und Weitere, bald auch .us und .de :mrgreen: ) wird ein FW-log erheblich übersichtlicher...

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Antworten