Hi. Ich möchte einem Client der sich über VPN mit meinem Lancom 1711 verbindet nur den Webzugriff gestatten, aber keinen Zugriff auf das lokale Netzwerk. Er nutzt den Shrew Client. Beim Einrichten bin ich dieser Anleitung gefolgt: http://www.shrew.net/static/howto/Lanco ... ateway.pdf und habe dem Client die feste IP Adresse 192.168.3.143 zugewiesen.
Lege ich nun einfach zwei Firewallregeln an? Eine die der IP 192.168.3.143 den Zugriff auf alles untersagt und eine die ihr dann den Zugriff auf HTTP und HTTP erlaubt? Das wäre aber ja nicht ganz richtig, denn dann wäre ja auch ein Zugriff aufs lokale Netzwerk per HTTP und HTTPS möglich. Wie schränke ich das richtig ein?
Client soll nur Zugriff aufs Web haben
Moderator: Lancom-Systems Moderatoren
-
dso9dovn9djg
- Beiträge: 11
- Registriert: 23 Jun 2009, 19:46
Hi dso9dovn9djg
Oder du machst es dir einfach über Routing-Tags... Dann brauchst du dem Client nur unter Kommunaktion -> Gegenstellen -> WAN-Tag-Tabelle ein anderes Tag als deinem Intranet zu geben und schon kann er nur noch ins Internet, wo du ihn dann über die Firewall weiter beschränken kannst (z.B. "allow web", "deny all")
Gruß
Backslash
du brauchst zusätzlich noch eine, die dem Client explizit den Zugriff auf dein Intranet verwehrt... Achte darauf, daß die Regeln hinterher in der Reihenfolge "deny intranet", "allow WEB", "deny all" in der Regleliste stehen - ggf. erzwingst du diese Reihenfolge über Prioritäten.Eine die der IP 192.168.3.143 den Zugriff auf alles untersagt und eine die ihr dann den Zugriff auf HTTP und HTTP erlaubt? Das wäre aber ja nicht ganz richtig, denn dann wäre ja auch ein Zugriff aufs lokale Netzwerk per HTTP und HTTPS möglich. Wie schränke ich das richtig ein?
Oder du machst es dir einfach über Routing-Tags... Dann brauchst du dem Client nur unter Kommunaktion -> Gegenstellen -> WAN-Tag-Tabelle ein anderes Tag als deinem Intranet zu geben und schon kann er nur noch ins Internet, wo du ihn dann über die Firewall weiter beschränken kannst (z.B. "allow web", "deny all")
Gruß
Backslash
-
dso9dovn9djg
- Beiträge: 11
- Registriert: 23 Jun 2009, 19:46
Weiter einschränken brauche ich das dann nicht, der Client kann gerne alles machen was nicht ins Intranet geht.backslash hat geschrieben:Oder du machst es dir einfach über Routing-Tags... Dann brauchst du dem Client nur unter Kommunaktion -> Gegenstellen -> WAN-Tag-Tabelle ein anderes Tag als deinem Intranet zu geben und schon kann er nur noch ins Internet, wo du ihn dann über die Firewall weiter beschränken kannst (z.B. "allow web", "deny all")
In der WAN-Tag-Tabelle steht noch nichts drin. Also einfach einen neuen Eintrag machen, als Gegenstelle den VPN Client, Schnittstellen-Tag z.B. 1 und WAN-IP-Pool freilassen?