Lancom-Router: zeitlich befristetes Sperren von Ports
Hallo Admins ,
ich habe bei einem Kunden einen Lancom-Router (Typ Lancom 883BH; Firmware-Version: 10.32.0156RU4, Loader-Version: 4.46.0001) im Einsatz, der als DHCP-Server dient und Gateway für sämtliche Geräte ist. Der Kunde möchte gern einzelne Ports bzw. Portbereiche über Nacht (d.h. zeitgesteuert) sperren. Wisst Ihr, wo man in der Konfiguration so etwas einstellen kann?
Falls es so eine Funktion nicht gibt: Ist Euch etwas bekannt, dass man die Konfiguration eines Lancom-Routers per Batch beeinflussen kann? Dann könnte ich die Ports mit einer Batch sperren und entsperren, die ich zeitgesteuert auf meinem Server beim Kunden ablaufen lasse.
(Die zeitgesteuerte Sperrung des kompletten Internetverkehrs wäre eine etwas ungeliebte Möglichkeit, da Ports für Teamviewer und E-Mail-Abholung möglichst auch nachts frei bleiben sollen. Solltet Ihr dennoch einen entsprechenden Lösungsansatz haben, würde ich mich auch darüber freuen.)
Viele Grüße,
Sinzal
ich habe bei einem Kunden einen Lancom-Router (Typ Lancom 883BH; Firmware-Version: 10.32.0156RU4, Loader-Version: 4.46.0001) im Einsatz, der als DHCP-Server dient und Gateway für sämtliche Geräte ist. Der Kunde möchte gern einzelne Ports bzw. Portbereiche über Nacht (d.h. zeitgesteuert) sperren. Wisst Ihr, wo man in der Konfiguration so etwas einstellen kann?
Falls es so eine Funktion nicht gibt: Ist Euch etwas bekannt, dass man die Konfiguration eines Lancom-Routers per Batch beeinflussen kann? Dann könnte ich die Ports mit einer Batch sperren und entsperren, die ich zeitgesteuert auf meinem Server beim Kunden ablaufen lasse.
(Die zeitgesteuerte Sperrung des kompletten Internetverkehrs wäre eine etwas ungeliebte Möglichkeit, da Ports für Teamviewer und E-Mail-Abholung möglichst auch nachts frei bleiben sollen. Solltet Ihr dennoch einen entsprechenden Lösungsansatz haben, würde ich mich auch darüber freuen.)
Viele Grüße,
Sinzal
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 640110
Url: https://administrator.de/forum/lancom-router-zeitlich-befristetes-sperren-von-ports-640110.html
Ausgedruckt am: 29.12.2024 um 02:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
als Befehl kannst Du da jeden Befehl so eingeben, wie Du ihn auch auf der Konsole benutzen kannst. Hier wäre also ein Blick in das Handbuch zielführend gewesen.
zum Einschalten
zum Ausschalten.
Entsprechend musst Du zwei Einträge in der Cron-Tabelle anlegen.
Grüße,
Torsten
als Befehl kannst Du da jeden Befehl so eingeben, wie Du ihn auch auf der Konsole benutzen kannst. Hier wäre also ein Blick in das Handbuch zielführend gewesen.
SET /Setup/IP-Router/Firewall/Rules/Name-der-Regel {fire} yes
SET /Setup/IP-Router/Firewall/Rules/Name-der-Regel {fire} no
Entsprechend musst Du zwei Einträge in der Cron-Tabelle anlegen.
Grüße,
Torsten
Lanconfig brauchst Du dafür nicht.
Wie gesagt macht der Cron-Befehl nichts anderes als wenn Du Dich über Telnet oder SSH auf die Konsole einloggst und den Befehl dann dort absetzt.
Entsprechend kannst Du auf dem Server ein Skript ausführen, welches die Telnet bzw. SSH Session aufbaut und dann die Befehle dort absetzt. Bei Telnet kannst Du die Befehle in einer TXT-Datei dem Telnet-Befehl mitgeben.
Alternativ über das Tool netcat.
Bedenke aber:
Die Login-Daten des Routers liegen dann unverschlüsselt in der Skript-Datei auf Deinem Server -> ggf. Sicherheitsrisiko
Den Telnet bzw. SSH-Zugang musst Du je nach aktueller Konfiguration im Lancom noch freigeben.
Edit: So ganz erschliesst sich mir aber Grund nicht, warum Du das nicht direkt über die Cron-Tabelle im Router machen willst. Lass mich nicht dumm sterben...
Wie gesagt macht der Cron-Befehl nichts anderes als wenn Du Dich über Telnet oder SSH auf die Konsole einloggst und den Befehl dann dort absetzt.
Entsprechend kannst Du auf dem Server ein Skript ausführen, welches die Telnet bzw. SSH Session aufbaut und dann die Befehle dort absetzt. Bei Telnet kannst Du die Befehle in einer TXT-Datei dem Telnet-Befehl mitgeben.
Alternativ über das Tool netcat.
Bedenke aber:
Die Login-Daten des Routers liegen dann unverschlüsselt in der Skript-Datei auf Deinem Server -> ggf. Sicherheitsrisiko
Den Telnet bzw. SSH-Zugang musst Du je nach aktueller Konfiguration im Lancom noch freigeben.
Edit: So ganz erschliesst sich mir aber Grund nicht, warum Du das nicht direkt über die Cron-Tabelle im Router machen willst. Lass mich nicht dumm sterben...
Wenn der Lancom SNMP kann ist das auch mit einer SNMP Lösung eine Lachnummer für einen Netzwerker. Den snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2 packst du dann in die Aufgabensteuerung mit einem Zeitplan und fertig ist der Lack.
Dieser Thread beschreibt wie es sehr einfach damit zu lösen ist:
Cisco Switch SG 300er Serie Port per Script ausschalten
Dieser Thread beschreibt wie es sehr einfach damit zu lösen ist:
Cisco Switch SG 300er Serie Port per Script ausschalten
Zitat von @aqui:
Den snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2 packst du dann in die Aufgabensteuerung mit einem Zeitplan und fertig ist der Lack.
Und wie genau hilft es jetzt dem TO? Die OID ist für den IfAdminStatus der Schnittstellennummer 49 eines Cisco Switches und wird mit dem Befehl auf Wert 2 (Shutdown) gesetzt. Hilft hier nicht wirklich. Aber ja, der Lancom kann natürlich SNMP.Den snmpset -v 1 -c private GERÄTE-IP 1.3.6.1.2.1.2.2.1.7.49 i 2 packst du dann in die Aufgabensteuerung mit einem Zeitplan und fertig ist der Lack.
Und wie genau hilft es jetzt dem TO?
Na ja die Kardinalsfrage ist natürlich was der TO genau mit der recht schwammigen Aussage "Ports bzw. Portbereiche " genau meint.Sollten es TCP und UDP Ports oder Portbereiche sein wird ihm die SNMP Lösung in der Tat wenig bis gar nichts nützen...keine Frage.
Meint er hingegen physische Ethernet Ports des Lancom wo Endgeräte angeschlossen sind wäre die SNMP Lösung ideal.
Ich meine TCP- und UDP-Ports, d.h. ich will bestimmte Portnummern sperren.
OK, dann vergiss die SNMP Lösung...das hilft dann nicht wirklich.Wenn der Lancom ein CLI hat wie z.B. Cisco über den das möglich ist kannst du das einfach mit entsprechenden Scripts machen (Shell, TCL, Expect usw.) wie du selber oben schon angedacht hast, das funktioniert immer.
Teamviewer-Verbindungen durchlassen
Uhhh wie gruselig...die will man ja eigentlich nie intern haben wegen der Schnüffelei. In Firmennetzen ein NoGo !TeamViewer mal wieder gehackt !