3
Auf Monowall Firewall, NAT und Captive Portal einrichten
Hallo zusammen,
habe jetzt mal das hier angesprochene Projekt in Angriff genommen und Monowall auf einem Alix.2c3 installiert. Standardzugriff vom LAN ins WAN funktioniert auch, aber danach bin ich mit meinem Latein am Ende. Auch die Suche hat mich nicht richtig weiter gebracht.
Bei folgenden Punkten komme ich nicht weiter:
- Wie richte ich für LAN und OPT1 die Firewall und sonstiges für maximale Sicherheit richtig ein. Zugelassen werden soll Internet, FTP und Email.
- Auf dem Opt1- Interface habe ich das Captive Portal aktiviert, bekomme aber an dem per Kabel angeschlossenen Rechner keine IP- Adresse zugewiesen.
- Wie schütze ich das LAN und WebGui vor Zugriffen vom OPT1- Interface
Vielen Dank schon mal für Eure Hilfe.
Gruß
Stefan
habe jetzt mal das hier angesprochene Projekt in Angriff genommen und Monowall auf einem Alix.2c3 installiert. Standardzugriff vom LAN ins WAN funktioniert auch, aber danach bin ich mit meinem Latein am Ende. Auch die Suche hat mich nicht richtig weiter gebracht.
Bei folgenden Punkten komme ich nicht weiter:
- Wie richte ich für LAN und OPT1 die Firewall und sonstiges für maximale Sicherheit richtig ein. Zugelassen werden soll Internet, FTP und Email.
- Auf dem Opt1- Interface habe ich das Captive Portal aktiviert, bekomme aber an dem per Kabel angeschlossenen Rechner keine IP- Adresse zugewiesen.
- Wie schütze ich das LAN und WebGui vor Zugriffen vom OPT1- Interface
Vielen Dank schon mal für Eure Hilfe.
Gruß
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 100318
Url: https://administrator.de/contentid/100318
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
3 Kommentare
Neuester Kommentar
Zu den Firewall Regeln...
Du erstellst eine "All Deny" Regel, die alles blockt bis auf deine o.g. Ausnahmen.
Dein DHCP Problem kannst du mit einem Klick auf den DHCP Server ändern, dort
findest du eine weitere Registerkarte für das OPT1 Interface.
Wie du das LAN Interface vor dem OTP1 Interface schützt, findest du hier.
Das ganze nennt man DMZ!
http://doc.m0n0.ch/handbook/examples.html#id11641525
P.S. Dein OPT1 Interface muss/sollte ein eigenes Subnetz haben. Z.B. Lan = *.*.1.0/24 und
das OPT1 = *.*.2.0/24 ... Steht aber alles in der o.g. Beschreibung!
Du erstellst eine "All Deny" Regel, die alles blockt bis auf deine o.g. Ausnahmen.
Dein DHCP Problem kannst du mit einem Klick auf den DHCP Server ändern, dort
findest du eine weitere Registerkarte für das OPT1 Interface.
Wie du das LAN Interface vor dem OTP1 Interface schützt, findest du hier.
Das ganze nennt man DMZ!
http://doc.m0n0.ch/handbook/examples.html#id11641525
P.S. Dein OPT1 Interface muss/sollte ein eigenes Subnetz haben. Z.B. Lan = *.*.1.0/24 und
das OPT1 = *.*.2.0/24 ... Steht aber alles in der o.g. Beschreibung!
@ritschi
Vielen Dank für deine Hilfe. Hatte den DHCP- Reiter für das OPT1- Interface übersehen. Die DMZ habe ich auch nach oben genannter Anleitung eingerichtet.
Nur mit den Firewall- Regeln blicke ich noch nicht durch. Ich dachte, die Regeln werden von oben nach unten abgearbeitet, sprich wenn ich zuerst eine "All Deny"- Regel erstelle wird alles gesperrt, egal was anschließend für Regeln kommen oder denke ich da falsch?
Und hier brächte ich auch bitte noch eine step-by-step Anleitung:
Bin in dieser Sache halt noch ein Newbie, sorry
Vielen Dank für deine Hilfe. Hatte den DHCP- Reiter für das OPT1- Interface übersehen. Die DMZ habe ich auch nach oben genannter Anleitung eingerichtet.
Nur mit den Firewall- Regeln blicke ich noch nicht durch. Ich dachte, die Regeln werden von oben nach unten abgearbeitet, sprich wenn ich zuerst eine "All Deny"- Regel erstelle wird alles gesperrt, egal was anschließend für Regeln kommen oder denke ich da falsch?
Und hier brächte ich auch bitte noch eine step-by-step Anleitung:
Zitat von @tikayevent:
Hallo aqui,
schöne Anleitung.
Jedoch ein Hinweis: Du verlagerst das Webinterface auf einen anderen
Port, es gibt aber eine andere und bessere Möglichkeit: Wenn man
im Advanced Menü die Antilockout-Regel abschaltet, kann man den
Zugang per Firewall für das Gast-Netz blocken.
Bei sämtlichen Captive Portal-Installationen, die ich mit
m0n0wall bisher gemacht habe, habe ich wie folgt gearbeitet:
Antilockout-Rule deaktiviert
sämtlichen Traffic auf den Router geblockt
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router
erlaubt
Damit kommt man nicht an das Webinterface dran, egal wie sehr man
sucht und es funktioniert trotzdem alles.
Hallo aqui,
schöne Anleitung.
Jedoch ein Hinweis: Du verlagerst das Webinterface auf einen anderen
Port, es gibt aber eine andere und bessere Möglichkeit: Wenn man
im Advanced Menü die Antilockout-Regel abschaltet, kann man den
Zugang per Firewall für das Gast-Netz blocken.
Bei sämtlichen Captive Portal-Installationen, die ich mit
m0n0wall bisher gemacht habe, habe ich wie folgt gearbeitet:
Antilockout-Rule deaktiviert
sämtlichen Traffic auf den Router geblockt
TCP/UDP 53 auf den Router erlaubt
TCP 8000 (müsste der Captive-Portal-Port sein) auf den Router
erlaubt
Damit kommt man nicht an das Webinterface dran, egal wie sehr man
sucht und es funktioniert trotzdem alles.
Bin in dieser Sache halt noch ein Newbie, sorry
Ich persönlich habe keine LAN Regeln, allerdings ein paar WAN Regeln.
Und da sieht es so aus, dass erst alles geblockt wird und dann Ausnahmen
erfolgen.
So richtig kann ich dir da jetzt nicht helfen, aber ich empfehle dir das
monowall Forum, die wissen das bestimmt besser als ich. Aber ich würde
darauf tippen, dass es so ist.
Und da sieht es so aus, dass erst alles geblockt wird und dann Ausnahmen
erfolgen.
So richtig kann ich dir da jetzt nicht helfen, aber ich empfehle dir das
monowall Forum, die wissen das bestimmt besser als ich. Aber ich würde
darauf tippen, dass es so ist.
