Firewall gesucht, um Nachbar Zugriff auf I-Net aber nicht intern zu geben...

[angstrand]

Deswegen musst du es auch anders herum machen und DEIN Netzwerk durch einen zusätzlichen NAT-Router abschirmen.

Genau diesen Aufstand (zusätzlichen DSL-Router vor meine derzeitige Konfiguration) will ich ja nicht haben. Ich würde es vorziehen, am Switch einen Firewall-Rechner mit 2 Netzwerkkarten anzuschliessen, wo eine an meinem vorhandenen Netz hängt und eine am Router für Fremdsurfer. So aus den entlegenen Ecken des Gedächtnis kamen IPCOP und fli4l, dummerweise mehr nicht. Ich suche nun nach einer Anleitung bzw. Google-qualifizierten Stichworten (hab jetzt irgendwo iptables gelesen, weiss aber nicht, ob mir das taugt).

Zusätzlich wäre cool zu wissen, welche Adressen ich alle sperren muss, damit kein Zugriff auf die Fritz!Box möglich ist. So könnte ich nebenbei mal IPCOP oder ähnliches kennenlernen.

Zu meinen vorhandenen Grundkenntnissen: DOS 3.3 bis 6, Windows seit 3.0(Solitaire, Minesweeper) allerdings ohne 95,98,ME, VISTA (dauert noch )
In der *NIX welt bin ich seltener unterwegs, kann aber auf AIX, Solaris, Linux, hpux durch die Verzeichnisse mich hangeln und mit vi property Dateien ändern ohne Schreikrämpfe zu bekommen. Die Grundvoraussetzungen zum Aufsetzen einer Linux Firewall sollten also gegeben sein. Speziell darauf ausgelegte Distri wäre natürlich fein, dann muss ich nicht so viel von Hand machen.

ciao

frank

 

[jradmacher]

Edit2: Da das wohl ein größeres Projekt wird schreib ich mal im Wiki weiter:
interner Router

Nachdem was ich gelesen habe brauchst du einen Router mit Firewall. Iptables ist die standard Linuxfirewall seit Kernel 2.4, avm hat sich aber da was eigenes gestrickt. Als Router kannst du alles nehmen auf dem a) Linux läuft b) eine Firewall läuft und c) du die Firewallregeln veränderen kannst.
Damit kannst du also eine fritzbox mit telnet bzw. ssh Zugang benutzen (avm firewall), eine mit freetz gemoddedte fritzbox(iptables) oder einen Linuxrechner(iptables) verwenden.
Den Linuxrechner halte ich für overkill, da du ja eh eine Fritzbox fürs WLAN nehmen willst.
Damit du dein eigenes Netz nicht unnötig umbauen mußt würde ich eine der 7050er Fritzboxen nehmen und mit Port A in dein Netz hängen.

Ich versuche mal eine Anleitung: (EDIT: irgendwas geht noch nicht richtig, siehe unten)
Alles ab hier wird jetzt nur noch auf der 7050 für den Nachbar gemacht:
1)Die Box braucht erstmal eine interne(=dein Netz) IP, damit du drauf zugreifen kannst.
2)Danach bekommt jeder Anschluß ein eigenes Netz (siehe Bild1):
Webinterface->Einstellungen->System->Netzwerkeinstellungen: Alle Computer befinden sich im selben IP-Netzwerk abschalten. Jetzt hat jeder Anschluß ein eigenes Netz.
Wichtig hierbei ist, dass der DHCP Server für das interne Netz aus ist, sonst hast 2 DHCP Server, die sich gegenseitig stören.
3) Die Internetverbindung wird jetzt auf Port A gestellt (siehe Bild2)
Der Witz bei der Sache ist, das man DSL Verbindung anwählt und nicht Port A, denn dann hat man nicht mehr die verschiedenen Netze.
4) route hinzufügen:

Aktiv  	Netzwerk  	Subnetzmaske  	Gateway  	   	 
X	0.0.0.0 	0.0.0.0 	192.168.178.1

4a) routen auf der Internet Fritzbox hinzufügen

Aktiv  	Netzwerk  	Subnetzmaske  	Gateway  	   	 
X	192.168.181.0 	255.255.255.0 	192.168.178.14 #LANB
X	192.168.182.0 	255.255.255.0 	192.168.178.14 #WLAN
X	192.168.179.0 	255.255.255.0 	192.168.178.14 #USB

5) Telnet aktivieren
Gibt es genug Anleitungen im Forum.
6) todo firewall

Edit:
So weit hab ich das jetzt mal bei mir getestet und ich kann die Box erreichen, DNS geht, auch aus den anderen Netzen. Das einzige, was jetzt hier noch Probleme macht ist das Routing zwischen den Netzen und damit auch ins Internet. Irgendwas blockiert das Routing, mit den Einstellungen funktioniert es auf einem Linux Rechner (forward ist an)! Vieleicht weiß jemand anderes weiter. Es geht doch. Ich hatte einfach die Rückroute auf der 2. Fritzbox fürs Internet vergessen(siehe 4a)!

 

[ThSteffens]

@angstrand:
Du verpflichtest dich bei Fon den Router immer online zu halten. Machst du es nicht sagt aber auch keiner was. Nur nach einer gewissen Offline-Zeit (4 Wochen oder so) deines Routers darfst du nicht mehr umsonst an anderen Foneras surfen. Es fallen keine laufenden Kosten o.ä. an.

 

[nobox]

Schau mal hier

http://www2.produktinfo.conrad.com/...1347-an-01-de-BELKIN_WLAN_54G_STARTER-KIT.pdf

auf Seite 58

 

[angstrand]

@angstrand:
Du verpflichtest dich bei Fon den Router immer online zu halten.

Das kann aber auch im Keller im Schaltschrank sein? Flööööt

ciao

frank

 

[ThSteffens]

Es darf auch im Schaltschrank im Keller sein.
In deinem Fall würde ich es per Richtfunk zur Nachbarin machen. Sofern Sie nicht in deinem Keller neben dem Schaltschrank surfen möchte.

Wenn du die Fonera verstecken möchtest kannst du ja auch eine falsche Position in der Karte angeben, z.B. besagter See bei Madrid.

 

[runningMax]

Unabhängig von der rechtlichen Situation: auch eine Apple Time-Capsule (wahrscheinlich auch die Airport-Extreme) erlaubt das unkomplizierte Einrichten von Gäste-Netzwerken.

 

[frank_m24]

Hallo,

ob das nach 1,5 Jahren noch interessant ist ...

Und zu. :weg:

 

[runningMax]

Oh sorry, ich hab das JAHR nicht gesehen und hatte schon ein schlechtes Gewissen, weil der letzte Beitrag 5 Monate her ist.. Kommt nicht wieder vor!