Mittels WLAN soll nur http und https möglich sein
Hallo!
Habe gerade das Problem, dass ich beim WLAN nur die Protokolle http und https zulassen möchte!
Aktuell verwende ich einen Cisco WAP321 und hier scheitere ich am Anlegen der ACL.
Eventuell hat jemand damit Erfahrungen oder kann einen anderen Access-Point empfehlen, mit dem dies komfortabel möglich ist.
Vielen Dank für eure hoffentlich hilfreichen Antworten!
Christian
Habe gerade das Problem, dass ich beim WLAN nur die Protokolle http und https zulassen möchte!
Aktuell verwende ich einen Cisco WAP321 und hier scheitere ich am Anlegen der ACL.
Eventuell hat jemand damit Erfahrungen oder kann einen anderen Access-Point empfehlen, mit dem dies komfortabel möglich ist.
Vielen Dank für eure hoffentlich hilfreichen Antworten!
Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 273114
Url: https://administrator.de/contentid/273114
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Die ACLs sind bei den Switchen eigentlich relativ einfach einzurichten.
Ansonsten block das halt im Router/Firewall, hat doch vermutlich eh ein eigenes VLAN?
VG
Val
Die ACLs sind bei den Switchen eigentlich relativ einfach einzurichten.
Ansonsten block das halt im Router/Firewall, hat doch vermutlich eh ein eigenes VLAN?
VG
Val
Und was ist da jetzt das Problem?
Action: Permit
Protocol: TCP
Source IP Adress: 192.168.1.0
Wildcardmask: 0.0.0.255
Destination Port: 80+443
(bei Bedarf erweiter und anpassen!)
Den Rest musst du natürlich verbieten aber pass auf das du dich nicht aussperrst.
Beim Switch binde ich diese ACL erstmal auf ein VLAN, blockiere dort alles und schalte einzelne Sachen per ACE wieder frei.
VG
Val
Action: Permit
Protocol: TCP
Source IP Adress: 192.168.1.0
Wildcardmask: 0.0.0.255
Destination Port: 80+443
(bei Bedarf erweiter und anpassen!)
Den Rest musst du natürlich verbieten aber pass auf das du dich nicht aussperrst.
Beim Switch binde ich diese ACL erstmal auf ein VLAN, blockiere dort alles und schalte einzelne Sachen per ACE wieder frei.
VG
Val
Deine ACL (Bild) ist ja ziemlicher Quatsch. Du deniest ja alles und das da dann nix mehr durchkommt ist klar...
ACLs sind immer strategisch Grundregeln: Gelten so gut wie immer inbound und First match wins !
Also erstmal musst du wichtige Dienste passieren lassen wie DHCP und DNS, damit der Client erstmal überhaupt ne IP bekommt und DNS Namen auflösen kann. Nur HTTP und HTTPS erlauben reicht natürlich nicht, klar !
Erst dann erlaubst du TCP 80 und TCP 443 !
und erst dann DENYst du den ganzen Rest. Die Regeln sind dann die folgt:
ACLs sind immer strategisch Grundregeln: Gelten so gut wie immer inbound und First match wins !
Also erstmal musst du wichtige Dienste passieren lassen wie DHCP und DNS, damit der Client erstmal überhaupt ne IP bekommt und DNS Namen auflösen kann. Nur HTTP und HTTPS erlauben reicht natürlich nicht, klar !
Erst dann erlaubst du TCP 80 und TCP 443 !
und erst dann DENYst du den ganzen Rest. Die Regeln sind dann die folgt:
- UDP 67-68 erlauben (DHCP)
- UDP und TCP 53 erlauben DNS
- TCP 80 erlauben (HTTP)
- TCP 443 erlauben (HTTPS)
- DENY any any
- Fertig ist der Lack.