Hallo,
ich weiß es gibt zu einem ähnlichem Titel den Link:
http://www2.lancom.de/kb.nsf/a5ddf48173 ... all,German
Aber dort wird nicht beschrieben was ich suche.
Ich würde gerne für bestimmte Stationen im lokalen Netz den Internetzugang (www / Port:80) auf bestimmte Adressen beschränken.
Beispielsweise soll der PC1 nur auf www.google.de zugreifen können aber nicht auf www.post.de oder andere.
Ist das mit der Firewall möglich?
Wenn ja, wie?
Vielen Dank!
Gruß,
Alexander
Internetzugang für auf bestimmte Adressen begrenzen
Moderator: Lancom-Systems Moderatoren
Hallo Alexander,
Zurückweisen
Quelle: Diese Stationen
Ziel: alle
Protokolle: TCP, Zielport 80
Dann die Ausnahmen definieren:
Erlauben
Quelle: Diese Stationen
Ziel: <IP-Adressen von Google>
Protokolle: TCP, Zielport 80
Da man im Ziel keine DNS-Namen angeben kann, musst Du selbst die IP-Adressen des Ziels ermitteln. Für www.google.de sind das 66.102.9.99 und 66.102.9.104.
Gruß
Mario
Erst mal eine DENY Regel für diese Stationen anlegen:Ich würde gerne für bestimmte Stationen im lokalen Netz den Internetzugang (www / Port:80) auf bestimmte Adressen beschränken.
Beispielsweise soll der PC1 nur auf www.google.de zugreifen können aber nicht auf www.post.de oder andere.
Zurückweisen
Quelle: Diese Stationen
Ziel: alle
Protokolle: TCP, Zielport 80
Dann die Ausnahmen definieren:
Erlauben
Quelle: Diese Stationen
Ziel: <IP-Adressen von Google>
Protokolle: TCP, Zielport 80
Da man im Ziel keine DNS-Namen angeben kann, musst Du selbst die IP-Adressen des Ziels ermitteln. Für www.google.de sind das 66.102.9.99 und 66.102.9.104.
Gruß
Mario
Da könnte sich auch mal was tun...Da man im Ziel keine DNS-Namen angeben kann, musst Du selbst die IP-Adressen des Ziels ermitteln. Für www.google.de sind das 66.102.9.99 und 66.102.9.104.
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hallo COMCARGRU,
Und zur Laufzeit wäre das noch schlimmer. Clientanforderung -> Lancom löst alle gesperrten Domänen in IPs auf -> erstellt neue Regeln. Dazu müsste man sämtliche Abfragen von Clients erst mal in eine Warteschlange einreihen. Dürfte immer einige Zeit dauern, bevor selbst berechtigte Clients eine Antwort erhalten.
Ich denke, man sollte einen Router einfach Router sein lassen. Wer mehr möchte, sollte dann einen Proxy einsetzen.
Gruß
Mario
Dann müßte der Lancom bei Erstellung der Regel aber schon einen vorausschauenden lookup machen und aus den ermittelten IPs neue Regeln erstellen. Und das periodisch wiederholen - wo sollte man hier einen vernünftigen Wert finden?Da könnte sich auch mal was tun...
Und zur Laufzeit wäre das noch schlimmer. Clientanforderung -> Lancom löst alle gesperrten Domänen in IPs auf -> erstellt neue Regeln. Dazu müsste man sämtliche Abfragen von Clients erst mal in eine Warteschlange einreihen. Dürfte immer einige Zeit dauern, bevor selbst berechtigte Clients eine Antwort erhalten.
Ich denke, man sollte einen Router einfach Router sein lassen. Wer mehr möchte, sollte dann einen Proxy einsetzen.
Gruß
Mario
Ich denke, man sollte einen Router einfach Router sein lassen. Wer mehr möchte, sollte dann einen Proxy einsetzen.
Dann müßte die Firewall ganz raus *grins*
Denn rein theoretisch sind das zwei verschiedene Geräte!
Aber ich sehe ein, daß dies wohl etwas aufwendiger wäre. Wobei es wohl eine weniger aufwendige und eine mehr aufwendige Lösung geben kann!?
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hallo COMCARGRU,
Gruß
Mario
Seh ich nicht so. Eine Firewall kann man auf allen Ebenen implementieren. Und ein Router kann das am besten auf IP-Ebene. Alles andere bewegt sich dann auf der Ebene einer Application Firewall.Dann müßte die Firewall ganz raus *grins*
Denn rein theoretisch sind das zwei verschiedene Geräte!
Gruß
Mario
Seh ich nicht so. Eine Firewall kann man auf allen Ebenen implementieren. Und ein Router kann das am besten auf IP-Ebene. Alles andere bewegt sich dann auf der Ebene einer Application Firewall.
Nach der strengen Lehre. BSI Grundschutzhandbuch etc. soll ein Gerät, daß als Firewall arbeitet, nur als Firewall arbeiten. Also kein DHCP, DNS, WLAN etc. machen...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???