Internetzugang für jedes Gerät einzeln freischalten

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Internetzugang für jedes Gerät einzeln freischalten

Beitragvon herby » Mo 11 Mai, 2015 15:40

Hallo, ich habe folgende Aufgabe:
in einem Netzwerk mit Internetrouter, Switch, PCs, Laptops sollen sich diese Geräte standardmäßig über Netzwerkkabel oder WLAN mit dem WLAN-Router über DHCP verbinden und auch untereinander kommunizieren können. Das ist ja alles kein Problem ...

Jetzt zum Thema: die Internetverbindung soll aber im Router für jedes Gerät einzeln freigeschaltet werden können.
(d.h. standardmäßig der gesamte Internetzugang für alle gesperrt)

wie ist das zu bewerkstelligen ?
kann das z.B. DDWRT ?

vielen Dank
Grüße
herby
herby
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 68
Registriert: Mo 02 Feb, 2004 09:15

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon tszr » Mo 11 Mai, 2015 17:03

herby hat geschrieben:
Jetzt zum Thema: die Internetverbindung soll aber im Router für jedes Gerät einzeln freigeschaltet werden können.
(d.h. standardmäßig der gesamte Internetzugang für alle gesperrt)

vielen Dank
Grüße
herby


Hallo,

die meisten Router (auch die billigen) haben Sperrmöglichkeit via MAC Adresse, oder man könnte auch einen Proxyserver installieren mit Passwort und nur wer den Proxy + PW kennt kann ins Internet.

mfg tszr
tszr
Board-User Level 1
Board-User Level 1
 
Beiträge: 729
Registriert: Fr 27 Mai, 2005 15:32
Wohnort: Niederösterreich

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon Viennaboy » Mo 11 Mai, 2015 20:48

ggaannzz einfach!
Du machst alle Ports zu und öffnest nur die Ports für die Geräte die einen brauchen.
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon Gsicht » Di 12 Mai, 2015 01:42

Weißt du überhaupt wie das funktioniert?

Dein OS kontaktiert einen Server auf sagen wir Port 80 und verwendet dafür selber einen zufälligen Port. Bis der Admin den Port (manuell?) freischaltet ist die Verbindung längst wieder abgebaut (da Timeout) und bei der nächsten Anfrage ist es wieder ein zufälliger Port.
Gsicht
Board-Mitglied
Board-Mitglied
 
Beiträge: 239
Registriert: Sa 11 Aug, 2007 12:37

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon wicked_one » Di 12 Mai, 2015 05:54

Viennaboy hat geschrieben:ggaannzz einfach!
Du machst alle Ports zu und öffnest nur die Ports für die Geräte die einen brauchen.

Ja, viel Spass beim zu Tode administrieren....
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon Viennaboy » Di 12 Mai, 2015 10:04

Ja, viel Spass beim zu Tode administrieren....
Lauft zuhause 1A.
Dein OS kontaktiert einen Server auf sagen wir Port 80 und verwendet dafür selber einen zufälligen Port.
Wieso einen Zufälligen? HTTP lauft auf Port 80 Punkt.
Bis der Admin den Port (manuell?) freischaltet ist die Verbindung längst wieder abgebaut (da Timeout)
Klar dafür schalte ich sie für den Client frei. Und dann ist sie immer frei für diesen.
und bei der nächsten Anfrage ist es wieder ein zufälliger Port.
dann darf er eben nicht zufällig sein.
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon lordpeng » Di 12 Mai, 2015 13:42

>Wieso einen Zufälligen? HTTP lauft auf Port 80 Punkt.
YMMD ...

... warum nur wusste ich, dass das jetzt kommt ...
lordpeng
Moderator
Moderator
 
Beiträge: 10198
Registriert: Mo 23 Jun, 2003 22:45

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon wicked_one » Mi 13 Mai, 2015 06:06

Viennaboy hat geschrieben:dann darf er eben nicht zufällig sein.

Den fand ich sogar noch besser, aber ob er checkt worums geht...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon Gsicht » Mi 13 Mai, 2015 15:35

Viennaboy hat geschrieben:Wieso einen Zufälligen? HTTP lauft auf Port 80 Punkt.

dann darf er eben nicht zufällig sein.


Es geht um den Clientport, der ist zufällig. Was du hier beschreibst ist eine Whitelist für in die andere Richtung.
Gsicht
Board-Mitglied
Board-Mitglied
 
Beiträge: 239
Registriert: Sa 11 Aug, 2007 12:37

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon herby » Do 14 Mai, 2015 11:02

Hallo, danke für die Antworten.
ich dachte das könnte viel einfacher gehen.

Idee:
1.) Einstellung: Internetzugang generell gesperrt (alle Ports)
2.) nur die eigens angegebenen MAC-Adressen sind freigeschaltet

Grüße
herby
herby
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 68
Registriert: Mo 02 Feb, 2004 09:15

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon Viennaboy » Do 14 Mai, 2015 11:52

davon rede ich ja die ganze zeit... ;|
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon WaJoWi » Fr 15 Mai, 2015 07:17

Viennaboy hat geschrieben:davon rede ich ja die ganze zeit... ;|

Du hast von Ports und nicht von MAC-Adressen geschrieben.

Die meisten WLAN-Router erlauben MAC-Sperren nur für den WLAN-Teil, LAN-Teilnehmer sind damit nicht erfasst. Und dann kommt man auch ins interne Netz nicht rein. Wenn man Firewall-Regeln erstellen kann, dann könnte man aber dort die entsprechenden Sperren bzw. Freigaben definieren.
Bild

Hardware: Connect Box; UniFi Security Gateway Pro-4; UniFi US-16-150W; UniFi US-8; UniFi AP-AC-LR; UniFi AP-AC-light; ...
WaJoWi
Board-User Level 3
Board-User Level 3
 
Beiträge: 1470
Registriert: Sa 23 Aug, 2003 07:58
Wohnort: Wien

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon Viennaboy » Fr 15 Mai, 2015 10:26

Ähm sowas macht man am Router...?!
Deswegen sage ich ja gescheiten Business Router anschaffen und damit könnt ihr fast alles (un)mögliche konfigurieren.
Viennaboy
Advanced Power-User
Advanced Power-User
 
Beiträge: 3851
Registriert: So 04 Nov, 2007 23:52

Re: Internetzugang für jedes Gerät einzeln freischalten

Beitragvon zid » Fr 15 Mai, 2015 11:50

>"...Deswegen sage ich ja gescheiten Business Router anschaffen und damit könnt ihr fast alles (un)mögliche konfigurieren..."
dd-wrt is jetzt zwar net unbedingt das os, das ich produktiv verwenden würd, openwrt war schon immer besser, da aber bei dd-wrt iptables/netfilter am werken ist, sollte das mac-filtering klappen. da gibts nämlich so'n schnuckeliges kernelmodul names xt_mac.ko, sodaß man mindestens 2 möglichkeiten hat acls auf mac-basis zu setzen:

1. forwarding selektiv für bestimmte macs freischalten:

Code: Alles auswählen
# subchain für akzeptierte macs anlegen:
iptables -N forward_accepted_macs
iptables -A forward_accepted_macs -m mac --mac-source 00:11:11:11:11:11 -j ACCEPT
iptables -A forward_accepted_macs -m mac --mac-source 00:22:22:22:22:22 -j ACCEPT
iptables -A forward_accepted_macs -m mac --mac-source 00:33:33:33:33:33 -j ACCEPT
...
usw.

# forward chain restriktiv setzen:
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i LAN -j forward_accepted_macs
iptables -P FORWARD DROP

2. da in diesem szenario der dd-wrt auch gate spielt, kann man auf die arp requests losgehen und erledigt mit der aktion auch ganz nebenbei die dhcp discovers, falls der dd-wrt wider erwarten dhcp-server spielt.

Code: Alles auswählen
# subchain für akzeptierte macs anlegen und da wirklich net den eigenen rechner vergessen,
# sonst is schluß mit lustig...^^
iptables -N input_accepted_macs
iptables -A input_accepted_macs -m mac --mac-source 00:11:11:11:11:11 -j ACCEPT
iptables -A input_accepted_macs -m mac --mac-source 00:22:22:22:22:22 -j ACCEPT
iptables -A input_accepted_macs -m mac --mac-source 00:33:33:33:33:33 -j ACCEPT
...
usw.

# input chain restriktiv setzen:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i LAN -j input_accepted_macs
iptables -P INPUT DROP

die #1 könnte man auch auf l3 spielen, was aber egal is, weil all diese ansätze in die kategorie "weniger als langweilig" fallen- macs/ips lassen sich bekanntlich spoofen...
deutlich härter und besser verwaltbar wär ein einwahlverfahren, und da würde schon ein ordinärer l2tp-server (ohne ipsec, weil lan) genügen.

lg
zid
zid
Board-User Level 3
Board-User Level 3
 
Beiträge: 1080
Registriert: Fr 23 Jun, 2006 09:08
Wohnort: wien


Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 14 Gäste