xDSL.at

[herby]

Hallo, ich habe folgende Aufgabe:
in einem Netzwerk mit Internetrouter, Switch, PCs, Laptops sollen sich diese Geräte standardmäßig über Netzwerkkabel oder WLAN mit dem WLAN-Router über DHCP verbinden und auch untereinander kommunizieren können. Das ist ja alles kein Problem ...

Jetzt zum Thema: die Internetverbindung soll aber im Router für jedes Gerät einzeln freigeschaltet werden können.
(d.h. standardmäßig der gesamte Internetzugang für alle gesperrt)

wie ist das zu bewerkstelligen ?
kann das z.B. DDWRT ?

vielen Dank
Grüße
herby

[tszr]

Jetzt zum Thema: die Internetverbindung soll aber im Router für jedes Gerät einzeln freigeschaltet werden können.
(d.h. standardmäßig der gesamte Internetzugang für alle gesperrt)

vielen Dank
Grüße
herby

Hallo,

die meisten Router (auch die billigen) haben Sperrmöglichkeit via MAC Adresse, oder man könnte auch einen Proxyserver installieren mit Passwort und nur wer den Proxy + PW kennt kann ins Internet.

mfg tszr

[Viennaboy]

ggaannzz einfach!
Du machst alle Ports zu und öffnest nur die Ports für die Geräte die einen brauchen.

[Gsicht]

Weißt du überhaupt wie das funktioniert?

Dein OS kontaktiert einen Server auf sagen wir Port 80 und verwendet dafür selber einen zufälligen Port. Bis der Admin den Port (manuell?) freischaltet ist die Verbindung längst wieder abgebaut (da Timeout) und bei der nächsten Anfrage ist es wieder ein zufälliger Port.

[wicked_one]

ggaannzz einfach!
Du machst alle Ports zu und öffnest nur die Ports für die Geräte die einen brauchen.

Ja, viel Spass beim zu Tode administrieren....

[Viennaboy]

Ja, viel Spass beim zu Tode administrieren....

Lauft zuhause 1A.

Dein OS kontaktiert einen Server auf sagen wir Port 80 und verwendet dafür selber einen zufälligen Port.

Wieso einen Zufälligen? HTTP lauft auf Port 80 Punkt.

Bis der Admin den Port (manuell?) freischaltet ist die Verbindung längst wieder abgebaut (da Timeout)

Klar dafür schalte ich sie für den Client frei. Und dann ist sie immer frei für diesen.

und bei der nächsten Anfrage ist es wieder ein zufälliger Port.

dann darf er eben nicht zufällig sein.

[lordpeng]

>Wieso einen Zufälligen? HTTP lauft auf Port 80 Punkt.
YMMD ...

... warum nur wusste ich, dass das jetzt kommt ...

[wicked_one]

dann darf er eben nicht zufällig sein.

Den fand ich sogar noch besser, aber ob er checkt worums geht...

[Gsicht]

Wieso einen Zufälligen? HTTP lauft auf Port 80 Punkt.

dann darf er eben nicht zufällig sein.

Es geht um den Clientport, der ist zufällig. Was du hier beschreibst ist eine Whitelist für in die andere Richtung.

[herby]

Hallo, danke für die Antworten.
ich dachte das könnte viel einfacher gehen.

Idee:
1.) Einstellung: Internetzugang generell gesperrt (alle Ports)
2.) nur die eigens angegebenen MAC-Adressen sind freigeschaltet

Grüße
herby

[Viennaboy]

davon rede ich ja die ganze zeit...

[WaJoWi]

davon rede ich ja die ganze zeit...

Du hast von Ports und nicht von MAC-Adressen geschrieben.

Die meisten WLAN-Router erlauben MAC-Sperren nur für den WLAN-Teil, LAN-Teilnehmer sind damit nicht erfasst. Und dann kommt man auch ins interne Netz nicht rein. Wenn man Firewall-Regeln erstellen kann, dann könnte man aber dort die entsprechenden Sperren bzw. Freigaben definieren.

[Viennaboy]

Ähm sowas macht man am Router...?!
Deswegen sage ich ja gescheiten Business Router anschaffen und damit könnt ihr fast alles (un)mögliche konfigurieren.

[zid]

>"...Deswegen sage ich ja gescheiten Business Router anschaffen und damit könnt ihr fast alles (un)mögliche konfigurieren..."
dd-wrt is jetzt zwar net unbedingt das os, das ich produktiv verwenden würd, openwrt war schon immer besser, da aber bei dd-wrt iptables/netfilter am werken ist, sollte das mac-filtering klappen. da gibts nämlich so'n schnuckeliges kernelmodul names xt_mac.ko, sodaß man mindestens 2 möglichkeiten hat acls auf mac-basis zu setzen:

1. forwarding selektiv für bestimmte macs freischalten:

Code: Alles auswählen

# subchain für akzeptierte macs anlegen:
iptables -N forward_accepted_macs
iptables -A forward_accepted_macs -m mac --mac-source 00:11:11:11:11:11 -j ACCEPT
iptables -A forward_accepted_macs -m mac --mac-source 00:22:22:22:22:22 -j ACCEPT
iptables -A forward_accepted_macs -m mac --mac-source 00:33:33:33:33:33 -j ACCEPT
...
usw.

# forward chain restriktiv setzen:
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i LAN -j forward_accepted_macs
iptables -P FORWARD DROP

2. da in diesem szenario der dd-wrt auch gate spielt, kann man auf die arp requests losgehen und erledigt mit der aktion auch ganz nebenbei die dhcp discovers, falls der dd-wrt wider erwarten dhcp-server spielt.

Code: Alles auswählen

# subchain für akzeptierte macs anlegen und da wirklich net den eigenen rechner vergessen,
# sonst is schluß mit lustig...^^
iptables -N input_accepted_macs
iptables -A input_accepted_macs -m mac --mac-source 00:11:11:11:11:11 -j ACCEPT
iptables -A input_accepted_macs -m mac --mac-source 00:22:22:22:22:22 -j ACCEPT
iptables -A input_accepted_macs -m mac --mac-source 00:33:33:33:33:33 -j ACCEPT
...
usw.

# input chain restriktiv setzen:
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i LAN -j input_accepted_macs
iptables -P INPUT DROP

die #1 könnte man auch auf l3 spielen, was aber egal is, weil all diese ansätze in die kategorie "weniger als langweilig" fallen- macs/ips lassen sich bekanntlich spoofen...
deutlich härter und besser verwaltbar wär ein einwahlverfahren, und da würde schon ein ordinärer l2tp-server (ohne ipsec, weil lan) genügen.

lg
zid