Zugriff auf Router von einzelner interner IP blockieren

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
hotzenplotz
Beiträge: 61
Registriert: 06 Nov 2020, 14:27
Wohnort: Niederrhein

Zugriff auf Router von einzelner interner IP blockieren

Beitrag von hotzenplotz »

Moin!

Wenn ich mich richtig erinnere, greift die FW erst nach dem Routing-Modul und somit kommt diese hier nicht zum tragen.

Gibt es eine Möglichkeit, den Zugriff von einer einzelnen internen IP (ggfls. ach nur bestimmte Ports) auf den Router zu blockieren?

Besten Dank vorab!

Grüße!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Zugriff auf Router von einzelner interner IP blockieren

Beitrag von Dr.Einstein »

Leider nein, nur unter IPv6.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Zugriff auf Router von einzelner interner IP blockieren

Beitrag von backslash »

Hi hotzenplotz,

wie Dr.Einstein schoon schrieb, gibt es Inbound-Regeln nur für IPv6...

Du kannst aber den Konfigurationszugriff auch für IPv4 regeln - über die Staions-Tabelle (Management -> Admin -> Zugriffs-Einstellungen -> Zugriffs-Stationen)... Solange die Tabelle leer ist, darf jeder, der nicht über die Zugriffs-Rechte geblockt wurde (Button direkt links daneben) auf die Konfiguration zugreifen. Hat die Tabelle Einträge dürfen nur noch die IP-Adressen zugreifen, die sich in den aufgezählten Netzen befinden...

Aber letztendlich sollte man doch lieber das Geräte-Paßwort so wählen, daß nicht Hinz und Kunz darauf kommen können und die Konfiguration darüber absichern...

Gruß
Backslash
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Zugriff auf Router von einzelner interner IP blockieren

Beitrag von GrandDixence »

Und dann wäre es aus Sicherheitsgründen zusätzlich noch angebracht, mit VLAN+ARF den Zugriff auf den Router per Netzwerksegmentierung abzuschotten. So dass nur noch:

a) über speziell dafür vorgesehene Ethernet-Ports (Administrator-Netzwerkanschluss)
b) UND/ODER über eine speziell dafür vorgesehene VPN-Einwahl (Administrator-VPN)
c) ODER mit einem speziell dafür vorgesehenen VLAN-Tag (Administrator-VLAN)

der Zugriff auf die Administrationsmöglichkeiten (Webinterface, SSH, SNMP und so fort) des Routers möglich ist. Siehe dazu:

https://community.sunrise.ch/d/18865-co ... nur-http/4

fragen-zur-lancom-systems-routern-und-g ... ml#p109508

viewtopic.php?p=106932#p106932

Auf Linux-Rechnern kann die Zugriffsmethode c) wie folgt realisiert werden (Administrator-VLAN 99):

Code: Alles auswählen

# more /usr/local/sbin/vlan99.sh 

#!/bin/bash
########################################################
# /usr/local/sbin/vlan99.sh                   	       #
#                                                      #
# VLAN 99 aktiveren		                       #
#                                                      #
########################################################

# Beginn
echo "**************************************************************************
"
echo "VLAN 99 aktivieren..."

/usr/sbin/ip link add link eth0 name eth0.99 type vlan id 99
/usr/sbin/ip addr add 192.168.99.70/24 brd 192.168.99.255 dev eth0.99
/usr/sbin/ip link set eth0.99 up

echo "VLAN mit IP-Adresse: 192.168.99.70 aktiviert."
echo "--------------------------------------------------------------------------
"

echo "Routingtabelle für administrative Zugriffe anpassen..."
/usr/sbin/ip route add 192.168.98.0/24 via 192.168.99.1 dev eth0.99

echo "**************************************************************************"
Antworten