IPTables für Gästewlan mit RDP Freischaltung
Guten Abend,
ich brauch mal Eure Hilfe bzgl. IPTables (oder alternativen Ideen mit der vorhandenen Hardware).
Ziel ist es ein Gäste WLAN zu haben welches zwar Zugriff auf das Internet hat aber nicht auf das private Netzwerk.
Soweit geht das auch schon. Nun benötige ich aber in dem Gästenetzwerk einen Client (im Bsp.: 192.168.2.200) welcher von einem Client (im Bsp.: 192.168.1.200) aus dem privaten Netzwerk per (MS)RDP erreichbar ist.
Umsetzung bisher:
Ich habe zwei Router. Der erste (192.168.1.1) stellt das private LAN zur Verfügung.
Der zweite (192.168.2.1) hat als Firmware DD-WRT, bietet ein Gäste WLan & ist per WAN Port mit dem ersten verbunden.
per IPTables hab ich auf dem zweiten Router den Zugriff vom Gästenetzwerk so unterbunden das nur der Zugriff auf das Internet besteht & dies funktioniert auch wie gewollt:
iptables -I FORWARD -d 192.168.1.0/255.255.255.0 -j DROP
Meine Versuche hier jetzt entweder für eine IP oder einen Port Ausnahmen zu definieren brachten keinen Erfolge.
Ich vermute mal das hier die Verweigerung eine höhere Prio hat als die Ausnahme (wie bei den Rechten bei MS) aber sicher bin ich nicht.
Alternativ könnte ich eine Regel pro IP machen aber dies fand ich irgendwie, na ja unschön.
Am liebsten wäre es mir halt wirklich eine Ausnahme nach dem Motto "nur diese IP & nur der Port & nur das Ziel sind zusätzlich erlaubt".
Hab mit Iptables bisher leider keine Erfahrung und brauchs auch nur für dieses kleine private Thema & werd irgendwie aus den Doku's/Infos die ich so gefunden habe auch nicht so richtig schlau.
Würde mich daher freuen wenn Ihr eine Idee oder Vorschlag habt wie ich dies umsetzen könnte.
Vielen Grüße
Hesperus
ich brauch mal Eure Hilfe bzgl. IPTables (oder alternativen Ideen mit der vorhandenen Hardware).
Ziel ist es ein Gäste WLAN zu haben welches zwar Zugriff auf das Internet hat aber nicht auf das private Netzwerk.
Soweit geht das auch schon. Nun benötige ich aber in dem Gästenetzwerk einen Client (im Bsp.: 192.168.2.200) welcher von einem Client (im Bsp.: 192.168.1.200) aus dem privaten Netzwerk per (MS)RDP erreichbar ist.
Umsetzung bisher:
Ich habe zwei Router. Der erste (192.168.1.1) stellt das private LAN zur Verfügung.
Der zweite (192.168.2.1) hat als Firmware DD-WRT, bietet ein Gäste WLan & ist per WAN Port mit dem ersten verbunden.
per IPTables hab ich auf dem zweiten Router den Zugriff vom Gästenetzwerk so unterbunden das nur der Zugriff auf das Internet besteht & dies funktioniert auch wie gewollt:
iptables -I FORWARD -d 192.168.1.0/255.255.255.0 -j DROP
Meine Versuche hier jetzt entweder für eine IP oder einen Port Ausnahmen zu definieren brachten keinen Erfolge.
Ich vermute mal das hier die Verweigerung eine höhere Prio hat als die Ausnahme (wie bei den Rechten bei MS) aber sicher bin ich nicht.
Alternativ könnte ich eine Regel pro IP machen aber dies fand ich irgendwie, na ja unschön.
Am liebsten wäre es mir halt wirklich eine Ausnahme nach dem Motto "nur diese IP & nur der Port & nur das Ziel sind zusätzlich erlaubt".
Hab mit Iptables bisher leider keine Erfahrung und brauchs auch nur für dieses kleine private Thema & werd irgendwie aus den Doku's/Infos die ich so gefunden habe auch nicht so richtig schlau.
Würde mich daher freuen wenn Ihr eine Idee oder Vorschlag habt wie ich dies umsetzen könnte.
Vielen Grüße
Hesperus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 630162
Url: https://administrator.de/contentid/630162
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
1 Kommentar
Guckst du hier. Sogar mit Captive Portal für Gäste
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du die RDP Regel anch der FORWARD -d 192.168.1.0/255.255.255.0 -j DROP Regel plazierst geht das in die Hose. Reihenfolge zählt.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Meine Versuche hier jetzt entweder für eine IP oder einen Port Ausnahmen zu definieren brachten keinen Erfolge.
Vermutlich hast du hier wieder den Kardinalsfehler gemacht und die reihenfolge nicht beachtet.Wenn du die RDP Regel anch der FORWARD -d 192.168.1.0/255.255.255.0 -j DROP Regel plazierst geht das in die Hose. Reihenfolge zählt.