[Gelöst] AVM Firewall unter Freetz: Einem Lanrechner den Zugang zum WAN sperren bis auf 2 IPs

Tabs

Neuer User
Mitglied seit
8 Mrz 2008
Beiträge
29
Punkte für Reaktionen
0
Punkte
1
Hi,

ich stehe vor folgendem Problem und bekomms einfach nicht hin:

-88er AVM FW +
-Freetz
-AVM Firewall- Addon in Freetz enthalten
-Implizite Standardregel in Firewall: Permit

Nun will ich einem dedizierten LAN Rechner (192.168.0.56) den Zugang zum iNet (WAN) sperren (alle Protokolle). Dieser Rechner soll nur noch auf zwei Class A Netze (beispielsweise 188.0.0.0/255.0.0.0 und 87.0.0.0/255.0.0.0) zugreifen dürfen.

Wie müssen die Regeln lauten, um das umzusetzen?

Besten Dank im voraus

Tabs
 
Zuletzt bearbeitet:
Im Prinzip trivial, alles in den "Output-Rules": Erst von der IP die beiden Netze erlauben, dann alles von der IP verbieten (es wird "von oben nach unten" abgearbeitet).


Etwas genauer heißt das bei den ausgehenden Regeln:

Quelle: host 192.168.0.56
Ziel: 188.0.0.0 255.0.0.0
Proto: Any (=IP)
Action: Permit

(gleiches für das zweite Netz) und dann gleiche Quelle und Ziel "any" mit "deny".
 
Hi,

und vielen Dank....

Ich habe jetzt folgende Einträge unter Highoutput:

permit ip host 192.168.0.56 188.0.0.1 255.0.0.0
deny ip host 192.168.0.56 any

- geht aber nicht. Erreiche gar nichts mehr ausserhalb meines Netzes (auch nicht die 188.x.x.x). Drehe ich die Reihenfolge um, selbes Ergebnis....

Sobald ich im 188er Netz eine dedizierte IP freigebe, funktioniert es aber...

permit ip host 192.168.0.56 host 188.123.123.123
deny ip host 192.168.0.56 any

???
 
Hm, gute Frage, ob das nur "Classfull" geht?. Wie sieht es mit kleineren oder eben "passenden" Bereichen aus (also für ein "Class-B"-Netz wie 188.x.0.0/16 also 188.123.0.0 255.255.0.0)?
Ist das beim "echten A-Netz" 87.0.0.0/8 auch??
 
Du bist ein Genie!

Der Tipp mit dem "echten" Class A Netz war's.

Folgende Einträge funktionieren:

permit ip host 192.168.0.56 188.0.0.0 255.0.0.0
deny ip host 192.168.0.56 any

Hab vielen Dank Max Muster! ... ich hab die halbe Nacht durchprobiert und nichts zustande gebracht.

Tabs
 
Schön das es geholfen und du es gesehen hast.
Ich hatte nämlich die "falsche" .1 da am Ende übersehen und wie ich sehen wollte, da ein "richtiges" Netz ( mit ".0" am Ende) gesehen ;-).
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.