3
Kommunikation auf gleicher Netzebene in der Cisco ASA 5510
Hallo zusammen,
ich habe momentan hier einen externen Rechner stehen, der nur über RDP, sprich Port 3389 von außen zu erreichen sein soll. Soweit so gut.
Der Rechner bekommt von unserem DHCP eine IP und hängt damit im gleichen Segment wie unsere anderen Clients und Drucker.
Wir haben eine Cisco ASA 5510 Firewall und bisher habe ich folgende Einstellungen getätigt:
Das klappt auch alles.
Jetzt soll der Rechner aber auch ins Internet können. Auch das klappt, allerdings nur, wenn ich dem Rechner erlaube, den DNS und DHCP Server der Firma zu finden bzw. mit diesem zu kommuniziere.
Klar, die Namensauflösung muss ja geschehen.
Nun ist es aber so, dass durch diese Umstände der Rechner auch mit anderen Clients und Drucker aus dem Segment kommunizieren kann. Das möchten wir natürlich verhindern.
Schalte ich die AccessRule ab, die besagt, dass Port 53, 67 und 68 frei für den Rechner sind, kommt er auch nicht mehr ins Internet.
Wie kann ich nun am besten den Rechner ins Netz lassen, dabei aber die Kommunikation auf gleicher Netzebene untersagen?
Danke schon mal!
ich habe momentan hier einen externen Rechner stehen, der nur über RDP, sprich Port 3389 von außen zu erreichen sein soll. Soweit so gut.
Der Rechner bekommt von unserem DHCP eine IP und hängt damit im gleichen Segment wie unsere anderen Clients und Drucker.
Wir haben eine Cisco ASA 5510 Firewall und bisher habe ich folgende Einstellungen getätigt:
- NAT Rule für IP des Rechners nach außen (nur RDP)
- RDP Freigabe für ein bestimmtes Gateway nach außen
Das klappt auch alles.
Jetzt soll der Rechner aber auch ins Internet können. Auch das klappt, allerdings nur, wenn ich dem Rechner erlaube, den DNS und DHCP Server der Firma zu finden bzw. mit diesem zu kommuniziere.
Klar, die Namensauflösung muss ja geschehen.
Nun ist es aber so, dass durch diese Umstände der Rechner auch mit anderen Clients und Drucker aus dem Segment kommunizieren kann. Das möchten wir natürlich verhindern.
Schalte ich die AccessRule ab, die besagt, dass Port 53, 67 und 68 frei für den Rechner sind, kommt er auch nicht mehr ins Internet.
Wie kann ich nun am besten den Rechner ins Netz lassen, dabei aber die Kommunikation auf gleicher Netzebene untersagen?
Danke schon mal!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158608
Url: https://administrator.de/forum/kommunikation-auf-gleicher-netzebene-in-der-cisco-asa-5510-158608.html
Ausgedruckt am: 25.04.2025 um 03:04 Uhr
3 Kommentare
Neuester Kommentar
Warum versuchst du es nicht mit einer Host ACL (32 Bit Maske) und Port 53 auf den DNS wie es in solchen Fällen üblich ist ?? Damit kann dieser Client dann nur und ausschliesslich intern mit dem DNS kommunizieren und dein Problem ist gelöst ??
In der Firewall ist ja eine Regel hinterlegt, die dem Client Zugriff auf Port 53, 67 und 68 erlaubt.
Auf der anderen Seite habe ich ebenfalls eine Regel hinterlegt, die dem Client den Zugriff auf das gesamte Servernetz (DMZ) verweigert. Also z.B. kein Zugriff mit \\IP etc.
Funktioniert auch soweit.
Das Problem was ich momentan allerdings habe ist:
Der PC soll zwar ins Internet können aber NICHT mit anderen Clients kommunzieren dürfen. Dadurch, das er vom DHCP eine IP bekommen hat, befindet er sich im gleichen Netzsegment wie die anderen Clients. Soweit ja auch ok, nur soll er z.B. nicht einen anderen Client anpingen können oder evtl. auf eine Freigabe gelangen. Natürlich erscheint im Vorfeld die übliche Windows Loginmaske, allerdings möchte ich es möglichst restriktiv halten.
Nehme ich nun die Regel heraus, die besagt, dass der Clinet Zugriff auf Port 53 und co hat, kommt er auch nicht mehr ins Internet.
Ist es denn überhaupt möcglich, einen Client ins Internet zulassen, allerdings auf gleicher Netzebene keine Verbindung zu anderen Clients aufbauen zu können?
Auf der anderen Seite habe ich ebenfalls eine Regel hinterlegt, die dem Client den Zugriff auf das gesamte Servernetz (DMZ) verweigert. Also z.B. kein Zugriff mit \\IP etc.
Funktioniert auch soweit.
Das Problem was ich momentan allerdings habe ist:
Der PC soll zwar ins Internet können aber NICHT mit anderen Clients kommunzieren dürfen. Dadurch, das er vom DHCP eine IP bekommen hat, befindet er sich im gleichen Netzsegment wie die anderen Clients. Soweit ja auch ok, nur soll er z.B. nicht einen anderen Client anpingen können oder evtl. auf eine Freigabe gelangen. Natürlich erscheint im Vorfeld die übliche Windows Loginmaske, allerdings möchte ich es möglichst restriktiv halten.
Nehme ich nun die Regel heraus, die besagt, dass der Clinet Zugriff auf Port 53 und co hat, kommt er auch nicht mehr ins Internet.
Ist es denn überhaupt möcglich, einen Client ins Internet zulassen, allerdings auf gleicher Netzebene keine Verbindung zu anderen Clients aufbauen zu können?
Wenn dieser Client in exakt demselben IP Segment ist wie der Rest der Clients ist das so nicht möglich bzw. mit der ASA nicht lösbar, denn du hast ja eine komplett transparente Layer 2 Kopplung dieser Clients. Eine L3 ACL greift da nicht mehr.
Denkbar wäre alle Clients in einem sog. Private VLAN zu konfigurieren aber m.E. supportet das die ASA nicht. Ggf. solltest du mal das Handbuch checken.
Ansonsten wäre noch eine Mac basierte ACL denkbar. Dazu müsstest du aber diesen Client portspezifisch konfigureiren und alle Macs der Rest Clients in eine ACL setzen. Das ist dann ziemlich statisch und sowie einer den Port dieses Clients wechselt oder andere Rectclients dazukommen musst du die ACL wieder anpassen...ist nicht besonders Adminfreundlich und wackelig...aber machbar so.
Besser ist du isolierst diesen Client in ein separates VLAN und gut ist...das ist wenigstens wasserdicht !
Denkbar wäre alle Clients in einem sog. Private VLAN zu konfigurieren aber m.E. supportet das die ASA nicht. Ggf. solltest du mal das Handbuch checken.
Ansonsten wäre noch eine Mac basierte ACL denkbar. Dazu müsstest du aber diesen Client portspezifisch konfigureiren und alle Macs der Rest Clients in eine ACL setzen. Das ist dann ziemlich statisch und sowie einer den Port dieses Clients wechselt oder andere Rectclients dazukommen musst du die ACL wieder anpassen...ist nicht besonders Adminfreundlich und wackelig...aber machbar so.
Besser ist du isolierst diesen Client in ein separates VLAN und gut ist...das ist wenigstens wasserdicht !
