Hallo,
ich möchte an mehreren Routern umfangreiche Firewalleinstellungen vornehmen. Dabei möchte ich gerne die Stations-Objekte, in meinem Fall MAC-Adressen, per Scripte/Tabellen o. ä. einpflegen.
Diese Scripte bzw. Tabellen müssen individuell und schnell erweiter- bzw. abänderbar sein...
Folgende Szenarien möchte ich gerne wie oben beschrieben umsetzen:
1)
DENY-ALL, dies soll sich auch auf die LAN-Schnittstellen beziehen
2)
erlaubt werden soll für bestimmte MAC-Adressen der Zugriff auf:
- LAN-Schnittstellen;
- VPN-Verbindungen
- und Protokolle, wie z. B. nur NTP, FTP
In einem ganz anderen Fall würde ich ebenfalls mit solchen MAC-Adress-Tabellen arbeiten, dabei allerdings für das Einpflegen von WLAN-Stationen.
Lancom zeigt in der Knowledgebase ja einiges zu Firewallregeln mittels Scripten, allerdings nichts, was in Richtung Scripte/Tabellen für individuell einpflegbare MAC-Adressen geht bzw. Gruppenkonfigurationen gilt!
Vielen Dank für Hilfe und Grüße
sepp
Vorgehensweise Firewall-Regeln und Stations-Objekte
Moderator: Lancom-Systems Moderatoren
Hi sepp2011
In den Regeln nutzt du dann "MACLIST" als Quelle...
Gruß
Backslash
MAC-Adressen werden mit %EMAC-Adresse ohne Doppelpunkte angegeben. Für eine Liste von MAC-Adressen mußt du diese ggf. auf mehrere Objekte verteilen:Lancom zeigt in der Knowledgebase ja einiges zu Firewallregeln mittels Scripten, allerdings nichts, was in Richtung Scripte/Tabellen für individuell einpflegbare MAC-Adressen geht bzw. Gruppenkonfigurationen gilt!
Code: Alles auswählen
# Setup/IP-Router/Firewall/Objects
cd /2/8/10/1
# Name Description
# -------------------------------------------------------------------------------------------------------
tab 1 2
add "MACLIST-1" "%E00a057111111 %E00a057222222 %E00a057333333 %E00a057444444 %E00a057555555
add "MACLIST-2" "MACLIST-1 %E00a057666666 %E00a057777777 %E00a057888888 %E00a057999999
add "MACLIST" "MACLIST-2 %E00a057AAAAAA %E00a05BBBBBBB %E00a057CCCCCC %E00a057DDDDDD
Gruß
Backslash
Hallo!
Danke für die Antwort. Das klappt soweit und ich kann mir eine Teilkonfiguration auch gut ziehen (/setup/ip-router/firewall).
Jetzt muss ich nur schauen, dass ich den Inhalt einer EXCEL-Tabelle in die LCS Datei an die richtige Stelle bekomme!
Zwei Fragen noch:
- gibt es irgendwo eine Übersicht über den Syntax der Scripte (%E für MAC, %A da und da für?)
- besteht die Möglichkeit den Zugriff auf die LAN-Ports, also die Hardware am Router übr MAC-Adressen zu reglen??
Dnake und einen schönen tag!
Danke für die Antwort. Das klappt soweit und ich kann mir eine Teilkonfiguration auch gut ziehen (/setup/ip-router/firewall).
Jetzt muss ich nur schauen, dass ich den Inhalt einer EXCEL-Tabelle in die LCS Datei an die richtige Stelle bekomme!
Zwei Fragen noch:
- gibt es irgendwo eine Übersicht über den Syntax der Scripte (%E für MAC, %A da und da für?)
- besteht die Möglichkeit den Zugriff auf die LAN-Ports, also die Hardware am Router übr MAC-Adressen zu reglen??
Dnake und einen schönen tag!
Hi sepp2011
Aber wozu gibt es LANCOMs FTP-Server... Dort einfach ein älteres Handbuch runterladen, z.B. ftp://ftp.lancom.de/Documentation/Refer ... 722-DE.pdf und ab Seite 279 lesen...
Gruß
Backslash
normalerweise würde ich jetzt RTFM sagen, aber ich hab mit erstaunen festgestellt, daß im aktuellen Handbuch die Syntax nicht mehr beschrieben wird...- gibt es irgendwo eine Übersicht über den Syntax der Scripte (%E für MAC, %A da und da für?)
Aber wozu gibt es LANCOMs FTP-Server... Dort einfach ein älteres Handbuch runterladen, z.B. ftp://ftp.lancom.de/Documentation/Refer ... 722-DE.pdf und ab Seite 279 lesen...
nein... Du kannst dir aber z.B. mit einem Management-Netz helfen, daß du vom normalen Netz entweder über VLAN oder einen dedizierten LAN-Port abschottest und dann in der TCP/IP-Accessliste (Kommunikation -> Admin -> Konfigurations-Zugriffs-Wege -> Zugriffs-Sationen bzw. auf dem CLI /Setup/TCP-IP/Access-List) den Zugriff auf dieses Netz beschränken- besteht die Möglichkeit den Zugriff auf die LAN-Ports, also die Hardware am Router übr MAC-Adressen zu reglen??
Gruß
Backslash