candle
Goto Top

Clients auf W2K3 (als Router) für Internet sperren ..

Hallo,

ich benutze einen W2K3 Server als Router mit NAT zum DSL Router. Was mir fehlt, ist eine akzeptable (Firewall)lösung um bestimmten Clients die Weiterleitung zum DSL zu sperren ..
(Also nicht User basierend sondern über die IP)
Any Idea ??

Danke im voraus,
Candle

Content-ID: 7769

Url: https://administrator.de/forum/clients-auf-w2k3-als-router-fuer-internet-sperren-7769.html

Ausgedruckt am: 24.12.2024 um 03:12 Uhr

meinereiner
meinereiner 05.03.2005 um 22:45:55 Uhr
Goto Top
hmm, in "Routing und RAS"..unter Routing..Eigenschaften von Allgemein kann man Filter definieren. Habs zwar noch nie probiert, aber das müsste doch klappen..
candle
candle 05.03.2005 um 23:19:55 Uhr
Goto Top
Wo kann ich unter Routing und RAS Filter einstellen ?? Ich vermute, Du meinst die Filter in in der
TCP/IP Konfiguration ?!?
meinereiner
meinereiner 05.03.2005 um 23:28:03 Uhr
Goto Top
Nein, die miene ich nicht.

wenn du Routing und RAS aufmachst geh auf den Servernamen..darunter gibts "Ip Routing", darunter "Allgemein"..da klick drauf, dann kommen im rechten Fenster deine Schnittstellen. Da wählst du dir aus die zum Router geht...Rechtsklick auf die Verbinung und Eigenschaften..In der Registerkarte Allgemein kann du eingehnde und ausgehende Filter für die Schnittstelle definieren..

merke, grad, ich hatte vorhin in der Beschreibung nen Schritt ausgelassen..sorry..
candle
candle 06.03.2005 um 01:08:55 Uhr
Goto Top
Oops, sorry, jetzt weis ich was Du meinst .. Die Filter lassen sich leider nur auf Netzwerksegmente anwenden (Routing) ..
meinereiner
meinereiner 06.03.2005 um 01:24:19 Uhr
Goto Top
Hmm, du schriebst dein Server sei ein Router. Dann hat er doch (mindestens) zwei Karten in zwei Netzen..
Eine hätte ich jetzt im internen Netz und eine zum Internet/Router hin vermutet.
candle
candle 06.03.2005 um 01:55:12 Uhr
Goto Top
Das ist schon richtig, das Problem ist aber folgendes:
Ich möchte Clients "aussperren", die Filter erlauben aber m.W. nur Netzwerksegmente. D.h., ich kann den allgemeinen Traffic des Segments 192.168.0.0 in Richtung 192.168.1.0 über TCP/UDP, Ports, etc. filtern, leider aber nicht die einzelne IPs ..
meinereiner
meinereiner 06.03.2005 um 02:09:06 Uhr
Goto Top
probier doch mal die IP mit der subnetmaks 255.255.255.255
candle
candle 06.03.2005 um 02:46:16 Uhr
Goto Top
Es sind immer die Kleinigkeiten im Leben, Danke Dir für den Tip, es funktioniert face-smile
Allerdings vertehe ich es nicht so ganz .. wieso Broadcast ??
meinereiner
meinereiner 06.03.2005 um 10:12:59 Uhr
Goto Top
Es sind immer die Kleinigkeiten im Leben,
Danke Dir für den Tip, es funktioniert

Fein. face-smile

Allerdings vertehe ich es nicht so ganz ..
wieso Broadcast ??

keine Ahnung, kommt mir auch erstmal nicht so logisch vor.
Ich kenns halt vom Routing und Routern her so. So kann man ja auch eine Route zu einem einzelnen Rechner setzen..
m-jelinski
m-jelinski 06.03.2005 um 10:16:48 Uhr
Goto Top
Hallo,

die Subnetzmaske hat nichts mit Broadcast zu tun. Die Subnetzmaske ist ja wie alles Binär aufgebaut (1 und 0).

mit der 11111111.11111111.11111111.11111111 (255.255.255.255) lässt Du nur den einen Host dessen IP Du eingegeben hast durch. Die 00000000 als letztes Segment lässt das gesamte C Netz durch (also von x.x.x.0 bis x.x.x.255; wobei man natürlich bedenken muß, das 0 und 255 nicht zur Verfügung stehen, da Netz und Broadcastadresse).

Verbessert mich bitte, wenn ich Schwachsinn erzähle. Kenne das ganze von ACLs bei Routern.
meinereiner
meinereiner 06.03.2005 um 10:53:32 Uhr
Goto Top
die Subnetzmaske hat nichts mit Broadcast zu
tun.

Nicht so ganz..

255 nicht zur Verfügung stehen, da Netz
und Broadcastadresse).

aber eben nur bei 255.255.255.0
mit 255.255.255.240 sieht es anders aus.

Verbessert mich bitte, wenn ich Schwachsinn
erzähle. Kenne das ganze von ACLs bei

Wahrscheinlich hast du recht...in der Ecke wird der Knopf bei mir sein..
Aber im Moment scheint mein Kopf noch zu schlafen.. face-wink
exciter
exciter 07.03.2005 um 09:05:37 Uhr
Goto Top
Da kann ich dir ruhigen gewissens den IPFrog/IPCop empfehlen.
Den hab ich hier in der Firma selber am laufen ist ein feines teil.

www.ipcop.de oder www.ipfrog.de (ICR: ipfrog)
candle
candle 07.03.2005 um 19:55:09 Uhr
Goto Top
Schade, die Seite ipfrog wurde scheinbar temporär abgeschossen, werde ich mir aber die Tage nochmal anschauen. Der Tip von "meinereiner" war aber schon prima -->> Danke nochmal face-smile
Mit etwas Nachdenken am nächsten Morgen war es dann auch ganz logisch, das bei Angabe eines Hosts auch die 255.255.255.255 als Subnetzmaske angegeben werden muß ..