7050: Routing zwischen LAN A und LAN B verhindern

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

mw1987

Neuer User
Mitglied seit
23 Aug 2005
Beiträge
32
Punkte für Reaktionen
0
Punkte
0
Hallo,

in der Schule nutzen wir eine FB FON WLAN 7050 als Internet-Router. Dabei sind an LAN A und LAN B zwei verschiedene Netzwerke angeschlossen. LAN A ist für das Verwaltungsnetzwerk zuständig und LAN B für das Schülernetzwerk. Es klappt ja schon recht gut mit der Einstellung, dass sich nicht alle Computer im selben Netzwerk befinden. Aber trotzdem kommt ein Ping zwischen beiden Netzwerken durch.

Gibt es in der ar7.cfg irgendeine Möglichkeit, das Routing zwischen beiden Netzwerken zu verhindern? Eventuell mit einer Firewallregel?

MfG
Marius
 
Hallo,

ich weiss aus Erfahrung, daß das Verwaltungsnetz und das Schülernetz stets physikalisch getrennt werden sollten. Oft müssen auch Telefonkosten und Internetkosten der Verwaltung seperat abgerechnet werden.
Ich weiß jedoch nicht, ob es da Richtlinien gibt, die sich von Bundesland zu Bundesland unterscheiden...


Miwe
 
Wie das rechtlich aussieht, habe ich keine Ahnung. Ich bin ein Schüler, der das Netzwerk am Laufen hält, da die Lehrer keine Zeit haben und es sowieso nicht richtig könnten... Es ist angestrebt, das ganze irgendwann zu trennen, aber bevor es so weit ist, wäre es gut, wenn man das auf der 7050 irgendwie umsetzen könnte.

MfG
Marius
 
Nimm doch einfach mal den DaniSahne-Mod und nutze die iptables.

Hawedieehre.
Fant
 
wie konfiguriert man itables

Hallo zusammen,

wie konfiguriert man Iptables?
Was macht man auf der Weboferfläche, was an der Konsole
Gibt es hierfür Beispiele oder Links mit Beschreibung?

Bin für jede Hilfe dankbar.

Danke im Voraus
 
iptables ist "das" Konfigurationstool für Netzwerkeinstellungen unter Linux. Es ist konsolenbasiert, leider nichts komfortables mit Web-Oberfläche - dafür ausgesprochen mächtig. (Vorsicht: Dadurch kann man damit auch viel falsch machen.)
Kurzes googlen nach iptables sollte dir weiterhelfen.
 
iptables

welche Funktion hat dann eigentlich die Weboberfläche:
-Starttyp
-Whitelist
-Optionen
 
Sers,

die Optionen bedeuten das, was dransteht:

Starttyp: Wird automatisch beim Neustart der Box die Firewall gestartet oder muß das manuell gemacht werden?

Whitelist: Hier wird eingetragen, welche Rechner was dürfen

Optionen: Hier stellst Du die Logging-Mechanismen ein. Wie wird auf einem fremden LOG-Server das Info-Paket der Box markiert, was steht als Kennung, was wird überhaupt geloggt. Und: darf z.B. traceroute oder ping ICMP-Paket absetzen?

Ansonsten mal im Netz mal nach den entsprechenden Schlagwörtern schauen, es ist ein seeeeeeeeeeeehr weites Feld, das Firewallen...

Hawedieehre.
Fant
 
Alten PC mit IPCOP davorhängen

So habe ich es gemacht, um das LAN und WLAN (Kids) zuhause sauber zu trennen. IPCOP ist eine recht einfach zu konfigurierende Firewall/Router-Linux-Distri, welche man schön über Web-Oberfläche im vertrauten Windows administriert. (www. ipcop.org, www.ipcop.de - Forum). Drei Netzwerkarten in den PC (ab P1, besser ein PII mit 128-256 MB Hauptspeicher, als Platte ab 2GB sinnvoll), und ein blaues Netz (Schüler) und ein grünes Netz (Verwaltung ) angehängt. Beide dürfen ins rote Netz (Fritz-Box - Internet), Grün darf auch ins blaue Netz, aber blau darf nicht ins grüne Netz (könnte man mit Ausnahmen aber teilweise genehmigen, wenn man möchte).
Das schöne ist, da ist auch gleich ein (transparenter) Proxy-Server mit dabei (für beide Netze getrennt), wo man schön sieht, welcher Rechner auf welchen Seiten war. Mit addons könnte man das auch zu einem erweiterten Proxy mit der Möglichkeit bestimmte PCs zu bestimmten Zeiten zu sperren, oder einen URL-Filter, wo bestimmte Seiten gesperrt/erlaubt werden, falls gewünscht, aufbohren.
Und - Ahnung von linux muss man praktisch keine haben, die Installation läuft fast vollautomatisch ab, und danach kann man mit dem Windows-Browser sauber drauf zugreifen.

Gruß

martin
 
Iptables auf FB7050

Ich möchte einfach die FB mit zwei getrennten Netzen (LAN A und LAN B) betreiben.
Beide Netze sollen ins Internet können und LAN A soll Zugriff auf LAN B haben aber nicht umgekehrt.
Dafür habe ich gehofft "ds-mod" verwenden zu können - einen alten PC mit IPCOP möchte ich eigentlich vermeiden.

Wer kann mir bei den ersten Schritten helfen?

Ich weiß, dass ich jetzt schon ein paarmal zu diesem Thema gefragt habe, hoffe aber immer noch auf ein paar Tips, die mir den Einstieg ermöglichen.

(Hallo "novice", dies sollte auch kein Doppelpost sein, ich habe mich nur hier angehängt, da ich auf meine ursprüngliche Frage keine Antwort bekommen habe - und auch mit Foren bisher wenig Ahnung habe - bitte weiterhelfen und nachsichtig sein)


Vielen Dank an alle, die sich mit meinen Fragen beschäftigen.
 
miwe schrieb:
ich weiss aus Erfahrung, daß das Verwaltungsnetz und das Schülernetz stets physikalisch getrennt werden sollten. Oft müssen auch Telefonkosten und Internetkosten der Verwaltung seperat abgerechnet werden.
Zum Vergrößern anklicken....
Da in der 7050 2 einzelne Netzwerkkarten verbaut sind, liegt hier eine physikalische Trennung vor, der Ansatz, 2 verschiedene Netze einzurichten, war schonmal völlig richtig. Nun muss noch das Routing zwischen den Netzen unterbunden werden. Dazu ist in jedem Fall mal etwas Lesearbeit notwendig, sonst ist das nicht machbar! Ich habe nicht das Gefühl, dass diese bereits erbracht wurde.
Entweder kann direkt in der ar7.cfg an den Portfilter-/Weiterleitungs-/Routingregeln gebastelt werden (reichlich Infos dazu im Forum) oder man geht den Weg über den ds-mod (auch hier finden sich Infos ohne Ende im Forum). Beide Wege setzen Verständnis der Materie voraus, sonst wird nicht erreicht, was gewünscht ist, oder noch schlimmer, es geht am Ende gar nichts mehr.

Daher mein Rat: Nimm die Ansätze, die hier gebracht wurden (ar7.cfg/ds-mod) auf und kämpfe dich mit dem Forum, google und anderen Quellen zum Ziel. Nur dann bist du in der Lage, das ganze sicher zu konfigurieren, zu administirieren und möglicherweise später anzupassen.
Einen zusätzliche alten PC davorzuhängen halte ich nicht für nötig, eher für Stromverschwendung. Die Box kann so viel, leider ist das meiste nicht über die Weboberfläche zugänglich.
 
kleinc schrieb:
...
Entweder kann direkt in der ar7.cfg an den Portfilter-/Weiterleitungs-/Routingregeln gebastelt werden (reichlich Infos dazu im Forum)
...
Zum Vergrößern anklicken....
Ich hab da schon ziemlich viel herumgesucht im Forum und auch schon viel Wissen mitnehmen können.

Es reicht aber noch nicht ganz, um eine verlässliche Portfilter Konfiguration zu bauen und für "Trial und Error" ist mir dieser Bereich eigentlich zu heikel (nicht, dass ich irgendwann nicht mehr auf die Box komme).

Wozu ich konkret noch keine Antwort gefunden habe, ist die Frage, was der unterschied ziwschen high-/low- -input bzw -output ist.

Was mir auch noch nicht endgültig klar ist, ist die Frage, ob man auf der 7170 zwischen wlan und lan/dsl einen Portfilter "einbauen" kann, der den Zugang über wlan ausschließlich auf einem einzigen Port erlaubt. Ich bin eigentlich überzeugt, dass das gehen muss, weiss aber nicht, wo ich da genau ansetzen müsste. (Mit iptables hab' ich das bereits gelöst, würde es aber gerne mit Bordmitteln (ohne mod) hinbekommen)

Für gezielte Informationen und Hinweise (Links) wäre ich sehr dankbar.
Ich lese mir das auch gerne selber an, habe aber trotz intensiver Suche auf o.g. Fragen noch nicht die richtigen Antworten gefunden.
 
Vielen Dank für die Links.

Die Threads hatte ich schon gelesen, aber so richtig konkret hilft mir das bei meinen o.g. Fragen leider auch nicht. Sobald ich mal wieder etwas mehr Zeit habe, werde ich micht mit dem Thema noch einmal intensiv auseinandersetzen.
 
maceis schrieb:
Vielen Dank für die Links.

Die Threads hatte ich schon gelesen, aber so richtig konkret hilft mir das bei meinen o.g. Fragen leider auch nicht.
Zum Vergrößern anklicken....
Wieso? Du musst nur die dort behandelten Lösungen auf dein Problem übertragen. Genau dein Vorhaben wurde dort natürlich nicht umgesetzt, aber eine vorgekaute Lösung kann man leider nicht erwarten.

maceis schrieb:
Sobald ich mal wieder etwas mehr Zeit habe, werde ich micht mit dem Thema noch einmal intensiv auseinandersetzen.
Zum Vergrößern anklicken....
Sicherlich eine gute Idee. :)
 
kleinc schrieb:
Wieso? Du musst nur die dort behandelten Lösungen auf dein Problem übertragen. Genau dein Vorhaben wurde dort natürlich nicht umgesetzt, aber eine vorgekaute Lösung kann man leider nicht erwarten.
Zum Vergrößern anklicken....
Eine vorgekaute Lösung erwarte ich auch nicht.

Falls jemand erklären könnte, was "high-/low- -input bzw -output" würde mir das aber helfen, meine Lösung selbst zu erarbeiten und mein allgemeines Verständnis des Themas erweitern.

Die zweite Frage bezieht sich darauf, das mir nicht klar ist, inwieweit die hardwareseitigen Unterschiede zweichen der 7050 und der 7170 für mein Vorhaben relevant sind. Soweit ich bisher gelesen habe, besitzt die 7170 nur ein physikalisches LAN Interface, während die 7050 derer zwei hat.

Andererseits habe ich gelesen, dass die 7170 grundsätzlich VLANs unterstützt, wobei noch niemand zu wissen scheint, wie man das konfiguriert.

Worauf ich hinaus will:
Bisher besitze ich nur einige Puzzleteile, andere besitzen möglicherweise andere Teile.
Da ist doch ein Forum eine geeignete Plattform, um sich auszutauschen und das Bild zusammenzusetzen.
Das heisst aber nicht, dass ich darauf warte, dass jemand anders meine Arbeit macht.
 
Zuletzt bearbeitet:
maceis schrieb:
Die zweite Frage bezieht sich darauf, das mir nicht klar ist, inwieweit die hardwareseitigen Unterschiede zweichen der 7050 und der 7170 für mein Vorhaben relevant ist.
Zum Vergrößern anklicken....
Wie schon gesagt: 7050 - 2 Netzwerkkarten, wirkliche physikalische Trennung möglich. 7170 - Switch eingebaut, nur ein Netzwerkinterface, keine physikalische Trennung möglich.
Selbst wenn

maceis schrieb:
Andererseits habe ich gelesen, dass die 7170 grundsätzlich VLANs unterstützt, wobei noch niemand zu wissen scheint, wie man das konfiguriert.
Zum Vergrößern anklicken....

dem so ist: Ein VLAN ist KEIN Sicherheitsfeature, schon gar keine physikalische Trennung, sondern dient eher der Organisation von Netzwerken. Wenn ich Lust hätte, würd ich mal die alten Folien dazu rauskramen ("IT-Sicherheit I" :) ).

Allerdings muss die 7050 auch korrekt konfiguriert werden, sonst ist die physikalische Trennung natürlich voll für die Katz. :)
 
kleinc schrieb:
Ein VLAN ist KEIN Sicherheitsfeature, schon gar keine physikalische Trennung, sondern dient eher der Organisation von Netzwerken. Wenn ich Lust hätte, würd ich mal die alten Folien dazu rauskramen ("IT-Sicherheit I" :) ).
Zum Vergrößern anklicken....
Was soll an einem statischen VLAN, bei dem die VLAN-Zuordnung fest an den
Switch-Port gebunden ist, unsicher sein?

Gruss
a_schiller
 
Schönes Wiki-Zitat. :)

Ich glaube eher nicht, dass das ein statisches VLAN ist, was in der Box zum Einsatz kommt, das müsste man mal herausfinden.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 325 (Mitglieder: 11, Gäste: 314)

Neueste Beiträge

Statistik des Forums

Themen
244,827
Beiträge
2,219,006
Mitglieder
371,520
Neuestes Mitglied
fredl_2
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück