LAN-Client sperren mit Freetz und iptables

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

bananarama

Neuer User
Mitglied seit
23 Jul 2008
Beiträge
6
Punkte für Reaktionen
0
Punkte
0
Ich probier schon ne weile und kann nichts dazu im/außerhalb des Forums finden.

Ziel: einem LAN-Klienten den Zugang zum Internet erlauben und alles andere sperren (oder mindestens den Zugriff auf die anderen an die Fritzbox angeschlossenen Klienten).

Problem: Der Klient muss sich im IP-Bereich der Teilnehmer befinden, um geroutet zu werden, allerdings hat er so auch zugriff aus LAN.

In etwa:
192.1.1.1 Fritz
192.1.1.20-30 LAN
192.1.1.31 Klient X (ein zweiter WLAN Router)

Idee: mit iptables (freetz-stable-1.1 und Iptables-CGI 1.0.4) den Zugriff aufs LAN sperren.

Naja und da häng ich. Ich muss allerdings zugeben, dass mein Wissen über iptables noch nicht so groß ist. Hab allerdings viel probiert und auch gelesen.

Ist es denn überhaupt möglich? Habe es beim ausprobieren bisher nur geschafft, dem betreffenden Klienten X das Internet zu sperren, aber nicht auf die anderen Klienten via (network scanner) zuzugreifen.

Gruß
banana
 
bananarama schrieb:
[...]
Ist es denn überhaupt möglich?
[...]
Zum Vergrößern anklicken....
Ja es ist möglich. Gib deinem Klienten nur den FORWARD chain frei und Port 53 zur Box. Besser als iptables-CGI ist ein Skript. Sei bitte vorsichtig, dass Du dich nicht von der Box aussperrst.;)
 
Wenn Du das wirklich zuverlässig blockieren willst, mußt Du den Switch umkonfigurieren, so daß er den eine Klient und die anderen nicht mehr miteinander verbindet, sondern eine verbindung nur noch über die Box möglich ist. Dann erst kannst Du mit Regeln auf der Box steuern, was Du zulassen willst.

Schau mal nach cpmaccfg.
 
Danke für die schnellen Antworten und die Hilfsbereitschaft.

Sei bitte vorsichtig, dass Du dich nicht von der Box aussperrst.
Zum Vergrößern anklicken....
Stimmt, das kann man nicht oft genug sagen. Daher ist das iptables-cgi ganz praktisch, wenn man den Dienst NICHT auf automatisch stehen hat - zur Not den Stecker ziehen. Allerdings zu eingeschränkt für feinere Konfigurationen.

Ich hatte einen äh kleinen Denkfehler drin: die Klienten hingen nämlich nicht direkt ander freetzbox, sonder da war noch ein Switch dazwischen.....
Da kann IPtables ja nicht mehr viel regeln :blonk:
Konnte es aber mit einer Verbindung aus Subnetzmaske-ändern (255.255.255.254 248 im angeschlossenen WLAN-Router) und den genannten Iptables-änderungen (man braucht dann allerdings einen externen DNS, oder man muss auch einen INPUT zur freetzbox freigeben).

Wenn Du das wirklich zuverlässig blockieren willst
Zum Vergrößern anklicken....
Ja, prinzipiell kann man sich jetzt immer noch irgendwie reinhacken, allerdings bin ich fürn Anfang schon mal froh, dass nicht jeder Gast das LAN scannen und auf Netzwerkdrucker und -freigaben zugreifen kann.

Danke Euch
banana
 
Zuletzt bearbeitet:
bananarama schrieb:
dass nicht jeder Gast
Zum Vergrößern anklicken....
Wenn es gedacht ist für Ferienwohnung oder ähnlichem...
Da schau mal auf www.hotsplots.de.
Da kanst du den ganzen Verker deiner Gäste per VPN zu hotsplots schicken,
so daß sie nicht mehr in dein LAN kommen und auch keine Dummheiten mit deiner öffentlichen IP machen
 
Zuletzt bearbeitet:
Hi Eisbaer
Ein super Tipp, denke das könnte was für uns sein. Ich wusste nicht, dass es auch Anbieter gibt, die sich auch für kostenlose Zugänge lohnen (da will man ja nicht tausende von ¤ investieren). Und der Sicherheitsgewinn ist aus rechtlicher Sicht ja nicht zu verachten.

Gruß
banana
 
Deswegen fragen wir auch öfters mal: Was willst du denn eigentlich damit machen.
Das ist nicht zum aushorchen, sondern weil es öfters ganz andere Lösungen gibt als derjenige es sich denkt.

Liege ich mit Ferienwohnung richtig?

Ich habe mich gestern bei hotsplots angemeldet und es auch gleich ausprobier. Geht super!
Schau mal bei hotsplots auf die Karte. Da gibt es schon einige Hotels, Cafe's, Campingplätze, Appartments...
 
Ist ein Campinplatz, aber eher klein und wir wollens weiterhin umsonst anbieten. Wie gesagt läufts ja jetzt prima, allerdings gefällt mir das Modell mit den Gastkonten besser, deswegen werd ich das bald mal antesten.
Nachfragen find ich super, solange aus technischen Fragen keine Grundsatzdiskussionen werden ;) Für den Tipp bin ich aber echt dankbar.
Gruß
banana
 
Ich bin schon lange auf der Suche nach so etwas.
Es gibt da noch mehr Anbieter:

- fon.com/de/
- sofanet.de
- freifunk.de

und andere, aber immer hat mir irgendetwas nicht gefallen.
So gut wie hotsplot hat mir noch keiner gefallen
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 444 (Mitglieder: 34, Gäste: 410)

Neueste Beiträge

Statistik des Forums

Themen
245,170
Beiträge
2,225,713
Mitglieder
372,034
Neuestes Mitglied
olligeslo
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück