Regel Firewall für einen unbedarften Benutzer aktivieren

RalphT · Beitrag von **RalphT** » 05 Sep 2007, 19:31

Ich habe im 1811 mehrere Regeln in der Firewall definiert. Ist folgendes möglich?

Per Doppelklick auf eine Datei (Script oder Batch o.ä) eine bestimmte Regel aktivieren und deaktivieren.

Ich habe hier einen Benutzer, der von dem Router überhaupt keine Ahnung hat. Dieser sollte aber mit wenig Aufwand eine Regel bei Bedarf aktivieren und deaktivieren können. Vielleicht kann man ja so eine Regel per Script o.ä aktivieren/deaktivieren.
Somit müsste ich ihm nicht den normalen Weg im Konfig-Menü erklären. Gibt es eine Lösung dazu?

Drachenlady · Beitrag von **Drachenlady** » 05 Sep 2007, 19:48

Warum möchtest du, dass Benutzer die Regeln der Firewall beeinflussen können? Gibt es dafür einen bestimmten Grund?
Ich würde niemals Unbedarfte am Router rumfuhrwerken lassen.

RalphT · Beitrag von **RalphT** » 05 Sep 2007, 20:25

Den Grund kann ich Dir nennen:

Der Router ist in einer Schule untergebracht. In einem EDV-Raum sollen auch Klausuren geschrieben werden. Damit die Schüler sich nicht ihre möglichen Schummeleien per Internet oder Mail zusenden lassen, soll der Lehrer für die entsprechende Zeit die Regel DENY_Internet aktivieren können.

McTrinsic · Beitrag von **McTrinsic** » 06 Sep 2007, 09:31

Hallo RalfT,

was spricht dagegen, dem Lehrer ein eingeschränktes Administrationsrecht auf dem Gerät zu geben, so dass er per WebInterface die Regeln aktivieren/deaktivieren kann?

Gruß,
McTrinsic

backslash · Beitrag von **backslash** » 06 Sep 2007, 12:46

Hi RalfT

ich gehe mal davon aus, daß die Regel DENY-INTENET schon existiert und in etwa folgt aussieht:

Code: Alles auswählen

Name:    DENY-INTERNET
Quelle:  alle Stationen
Ziel:    alle Stationen
Dienste: alle Dienste
Aktion: zurückweiden, nur auf Defaultroute

Dann kannst du dir einfach zwei Batchdateien mit folgendem Inhalt schreiben...

denyinet.cmd:

tftp Router-Ip GET Geräte-Paßwortset/set/ip-/fi/ru_DENY-INTERNET_{active}_yes dummy.txt

bzw.

allowinet.cmd:

tftp Router-Ip GET Geräte-Paßwortset/set/ip-/fi/ru_DENY-INTERNET_{active}_no dummy.txt

...und auf dem Desktop des Lehrers Verknüpfungen auf diese Dateien ablegen.

Beachte dabei, daß zwischen dem Gerätepaßwort und dem "set" kein Leerzeichen stehen darf

Gruß
Backslash

RalphT · Beitrag von **RalphT** » 06 Sep 2007, 20:09

@ Backslash,

genau so etwas habe ich gesucht. Allerdings habe ich es ausprobieren wollen und in der dummy.txt steht das drin:

Syntax Error: /set/ip-/fi/ru DENY-LAN {active} yes

Folgender Inhalt ist in meiner BATCH:

tftp 192.168.10.1 GET passwortset/set/ip-/fi/ru_DENY-LAN_{active}_yes dummy.txt

Habe ich da noch etwas falsch gemacht?

backslash · Beitrag von **backslash** » 07 Sep 2007, 16:17

Hi RalphT

sorry, einerseits heißt die zu schaltende Spalte ist nicht "active" sondern "firewall-rule" und andererseits muß der Name der Regel als Pfananteil angegeben werden, d.h. die Dateien lauten korrekt

denyinet.cmd:

tftp Router-Ip GET Geräte-Paßwortset/set/ip-/fi/ru/DENY-LAN_{fi}_yes dummy.txt

bzw.

allowinet.cmd:

tftp Router-Ip GET Geräte-Paßwortset/set/ip-/fi/ru/DENY-LAN_{fi}_no dummy.txt

Gruß
Backslash

RalphT · Beitrag von **RalphT** » 07 Sep 2007, 19:55

@ Backslash

Jo jetzt hat es geklappt. Danke nochmal.