Lancom-Router: zeitlich befristetes Sperren von Ports

Mitglied: Sinzal

Sinzal (Level 1) - Jetzt verbinden

13.01.2021 um 10:07 Uhr, 433 Aufrufe, 12 Kommentare

Hallo Admins :) face-smile,

ich habe bei einem Kunden einen Lancom-Router (Typ Lancom 883BH; Firmware-Version: 10.32.0156RU4, Loader-Version: 4.46.0001) im Einsatz, der als DHCP-Server dient und Gateway für sämtliche Geräte ist. Der Kunde möchte gern einzelne Ports bzw. Portbereiche über Nacht (d.h. zeitgesteuert) sperren. Wisst Ihr, wo man in der Konfiguration so etwas einstellen kann?
Falls es so eine Funktion nicht gibt: Ist Euch etwas bekannt, dass man die Konfiguration eines Lancom-Routers per Batch beeinflussen kann? Dann könnte ich die Ports mit einer Batch sperren und entsperren, die ich zeitgesteuert auf meinem Server beim Kunden ablaufen lasse.
(Die zeitgesteuerte Sperrung des kompletten Internetverkehrs wäre eine etwas ungeliebte Möglichkeit, da Ports für Teamviewer und E-Mail-Abholung möglichst auch nachts frei bleiben sollen. Solltet Ihr dennoch einen entsprechenden Lösungsansatz haben, würde ich mich auch darüber freuen.)

Viele Grüße,
Sinzal
Mitglied: tikayevent
13.01.2021 um 10:14 Uhr
Firewallregel anlegen und die kann man dann über die Cron-Tabelle ein- und ausschalten.
Bitte warten ..
Mitglied: Sinzal
13.01.2021 um 10:48 Uhr
Hallo tikayevent,

Die Cron-Tabelle ist schon mal ein guter Hinweis. Vielen Dank.
Ich weiß jedoch derzeit nicht, wo und wie ich das Aktivieren meiner Firewallregel dort einstelle. :-/ face-confused
Ich habe jetzt bei Firewall/QoS > IPv4-Regeln > Regeln eine Firewallregel mit dem Namen TEST und der Sperrung des Ports 4443 angelegt. Diese ist z.Z. aktiviert. Soweit ich das sehen kann, müsste ich jetzt einen Eintrag in der Cron-Tabelle unter Datum/Zeit > Allgemein > Cron-Tabelle > Hinzufügen neu anlegen. Hier scheine ich den genauen Zeitpunkt der Ausführung bei den Feldern Minuten bis Monate eintragen zu können (stimmt das?). Ich glaube, den Befehl zum Aktivieren bzw. Deaktivieren meiner Regel TEST muss ich irgendwie im Feld "Befehle" eingeben. Kannst du mir sagen, wie dieser Befehl lauten muss?

Viele Grüße,
Sinzal
Bitte warten ..
Mitglied: PappaBaer2002
LÖSUNG 13.01.2021 um 11:08 Uhr
Moin,
als Befehl kannst Du da jeden Befehl so eingeben, wie Du ihn auch auf der Konsole benutzen kannst. Hier wäre also ein Blick in das Handbuch zielführend gewesen.

zum Einschalten

zum Ausschalten.

Entsprechend musst Du zwei Einträge in der Cron-Tabelle anlegen.

Grüße,
Torsten
Bitte warten ..
Mitglied: Sinzal
13.01.2021 um 11:11 Uhr
Hallo Torsten,

das ist spitze! Vielen Dank. Ich werde es gleich ausprobieren.
Eine Zusatzfrage dazu: kann man diese Befehle auch von einer Batch von einem Windows-Server aus starten (auf dem Lanconfig installiert ist)? D.h. kann man solche Befehle auch von "außerhalb" des Routers im Router aufrufen?

Viele Grüße,
Sinzal
Bitte warten ..
Mitglied: PappaBaer2002
13.01.2021, aktualisiert um 11:29 Uhr
Lanconfig brauchst Du dafür nicht.
Wie gesagt macht der Cron-Befehl nichts anderes als wenn Du Dich über Telnet oder SSH auf die Konsole einloggst und den Befehl dann dort absetzt.
Entsprechend kannst Du auf dem Server ein Skript ausführen, welches die Telnet bzw. SSH Session aufbaut und dann die Befehle dort absetzt. Bei Telnet kannst Du die Befehle in einer TXT-Datei dem Telnet-Befehl mitgeben.
Alternativ über das Tool netcat.
Bedenke aber:
Die Login-Daten des Routers liegen dann unverschlüsselt in der Skript-Datei auf Deinem Server -> ggf. Sicherheitsrisiko
Den Telnet bzw. SSH-Zugang musst Du je nach aktueller Konfiguration im Lancom noch freigeben.

Edit: So ganz erschliesst sich mir aber Grund nicht, warum Du das nicht direkt über die Cron-Tabelle im Router machen willst. Lass mich nicht dumm sterben...
Bitte warten ..
Mitglied: tikayevent
13.01.2021 um 11:57 Uhr
Irgendwo hat LANCOM das dokumentiert, wie man es per TFTP macht. Man lädt einfach ein Script per TFTP hoch, was genau das macht.
Bitte warten ..
Mitglied: aqui
13.01.2021, aktualisiert um 12:45 Uhr
Wenn der Lancom SNMP kann ist das auch mit einer SNMP Lösung eine Lachnummer für einen Netzwerker. Den snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2 packst du dann in die Aufgabensteuerung mit einem Zeitplan und fertig ist der Lack.
Dieser Thread beschreibt wie es sehr einfach damit zu lösen ist:
http://www.administrator.de/index.php?content=176000
Bitte warten ..
Mitglied: PappaBaer2002
13.01.2021, aktualisiert um 15:09 Uhr
Zitat von aqui:

Den snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2 packst du dann in die Aufgabensteuerung mit einem Zeitplan und fertig ist der Lack.
Und wie genau hilft es jetzt dem TO? Die OID ist für den IfAdminStatus der Schnittstellennummer 49 eines Cisco Switches und wird mit dem Befehl auf Wert 2 (Shutdown) gesetzt. Hilft hier nicht wirklich. Aber ja, der Lancom kann natürlich SNMP.
Bitte warten ..
Mitglied: aqui
13.01.2021 um 16:02 Uhr
Und wie genau hilft es jetzt dem TO?
Na ja die Kardinalsfrage ist natürlich was der TO genau mit der recht schwammigen Aussage "Ports bzw. Portbereiche " genau meint.
Sollten es TCP und UDP Ports oder Portbereiche sein wird ihm die SNMP Lösung in der Tat wenig bis gar nichts nützen...keine Frage.
Meint er hingegen physische Ethernet Ports des Lancom wo Endgeräte angeschlossen sind wäre die SNMP Lösung ideal.
Bitte warten ..
Mitglied: Sinzal
13.01.2021 um 16:08 Uhr
Hallo Leute,

erstmal herzlichen Dank für Eure Hilfe. Die Lösung von PappaBaer2002 hilft super für die Zeitsteuerung. Vielen Dank dafür.

@aqui: Ich meine TCP- und UDP-Ports, d.h. ich will bestimmte Portnummern sperren. Die Ethernet Ports sollen weiterhin aktiv bleiben (und z.B. Teamviewer-Verbindungen durchlassen), aber eben bestimmte TCP- und UDP-Ports nicht mehr unterstützen.

Viele Grüße,
Sinzal
Bitte warten ..
Mitglied: Sinzal
13.01.2021 um 16:13 Uhr
Achso, die Steuerung mittels Batch-Datei soll für den Chef eine Möglichkeit sein, sich "schnell mal" die Funktionen freizuschalten, wenn er nachts auf die Idee kommt, die Verbindungen dringend zu brauchen. Da er von der Konfiguration des Lancom Routers überfordert ist, soll es eine 1-Klick-Methode sein. Er kennt das Passwort, weshalb für ihn die Klartext-Variante kein Problem ist (mal das Problem von Hackern außer Acht lassend). Andere Mitarbeiter können jedoch nicht an die Batch gelangen.
So ist zumindest die Vorstellung davon.
Viele Grüße,
Sinzal
Bitte warten ..
Mitglied: aqui
13.01.2021, aktualisiert um 16:16 Uhr
Ich meine TCP- und UDP-Ports, d.h. ich will bestimmte Portnummern sperren.
OK, dann vergiss die SNMP Lösung...das hilft dann nicht wirklich.
Wenn der Lancom ein CLI hat wie z.B. Cisco über den das möglich ist kannst du das einfach mit entsprechenden Scripts machen (Shell, TCL, Expect usw.) wie du selber oben schon angedacht hast, das funktioniert immer.
Teamviewer-Verbindungen durchlassen
Uhhh wie gruselig...die will man ja eigentlich nie intern haben wegen der Schnüffelei. In Firmennetzen ein NoGo !
https://administrator.de/knowledge/teamviewer-gehackt-453673.html
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 21 StundenInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Windows Systemdateien
Windows 10 Kernisolierung: Inkompatible Treiber entfernen
FrankVor 1 TagAnleitungWindows Systemdateien1 Kommentar

Hallo, Eigentlich wollte ich nur den Empfehlungen der Windows Sicherheit nachgehen und unter Einstellungen -> Windows Sicherheit -> Kernisolierung, die Speicher-Integrität einschalten. Die Kernisolierung ...

Vmware
ESXI 6.5 Fehlgeschlagen - Zugriff auf eine Datei nicht möglich, weil sie gesperrt ist
gelöst zeroblue2005Vor 1 TagFrageVmware5 Kommentare

Hallo Zusammen, da meint man es gut und dann geht es in die Hose Aber erst mal zum IST-Zustand: - ESXI 6.5 U1 (Standalone) ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...

Webbrowser
Frage zu "Remote-Debugging"
neuundbesserVor 1 TagFrageWebbrowser4 Kommentare

Moin, ich bin seit ein Paar Monaten in einem Projekt indem ich einfache Themen in JS-Code erledigen muss. Habe mich mittlerweile etwas in das ...