6
Mittels WLAN soll nur http und https möglich sein
Hallo!
Habe gerade das Problem, dass ich beim WLAN nur die Protokolle http und https zulassen möchte!
Aktuell verwende ich einen Cisco WAP321 und hier scheitere ich am Anlegen der ACL.
Eventuell hat jemand damit Erfahrungen oder kann einen anderen Access-Point empfehlen, mit dem dies komfortabel möglich ist.
Vielen Dank für eure hoffentlich hilfreichen Antworten!
Christian
Habe gerade das Problem, dass ich beim WLAN nur die Protokolle http und https zulassen möchte!
Aktuell verwende ich einen Cisco WAP321 und hier scheitere ich am Anlegen der ACL.
Eventuell hat jemand damit Erfahrungen oder kann einen anderen Access-Point empfehlen, mit dem dies komfortabel möglich ist.
Vielen Dank für eure hoffentlich hilfreichen Antworten!
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 273114
Url: https://administrator.de/contentid/273114
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Die ACLs sind bei den Switchen eigentlich relativ einfach einzurichten.
Ansonsten block das halt im Router/Firewall, hat doch vermutlich eh ein eigenes VLAN?
VG
Val
Die ACLs sind bei den Switchen eigentlich relativ einfach einzurichten.
Ansonsten block das halt im Router/Firewall, hat doch vermutlich eh ein eigenes VLAN?
VG
Val
Danke für deine Antwort!
Habe bei meiner Frage noch einen Screenshot angefügt, wie GUI zum Konfigurieren der ACL aussiehst => blicke da nicht ganz durch!
Bzgl. VLAN und Router: ich bevorzuge die Lösung mittels ACL, da es hier um zahlreiche Standorte ginge und ich nicht immer die externe Firma involiert hätte!
VG
Habe bei meiner Frage noch einen Screenshot angefügt, wie GUI zum Konfigurieren der ACL aussiehst => blicke da nicht ganz durch!
Bzgl. VLAN und Router: ich bevorzuge die Lösung mittels ACL, da es hier um zahlreiche Standorte ginge und ich nicht immer die externe Firma involiert hätte!
VG
Und was ist da jetzt das Problem?
Action: Permit
Protocol: TCP
Source IP Adress: 192.168.1.0
Wildcardmask: 0.0.0.255
Destination Port: 80+443
(bei Bedarf erweiter und anpassen!)
Den Rest musst du natürlich verbieten aber pass auf das du dich nicht aussperrst.
Beim Switch binde ich diese ACL erstmal auf ein VLAN, blockiere dort alles und schalte einzelne Sachen per ACE wieder frei.
VG
Val
Action: Permit
Protocol: TCP
Source IP Adress: 192.168.1.0
Wildcardmask: 0.0.0.255
Destination Port: 80+443
(bei Bedarf erweiter und anpassen!)
Den Rest musst du natürlich verbieten aber pass auf das du dich nicht aussperrst.
Beim Switch binde ich diese ACL erstmal auf ein VLAN, blockiere dort alles und schalte einzelne Sachen per ACE wieder frei.
VG
Val
Das Interface ist doch einddeutig?
Als 1. Regel definierst du, dass ALLES geblockt wird.
Als 2. und 3. Regel definierst du, dass HTTP und HTTPS-Protokolle durchgelassen werden.
Am besten davor nochmal die Doku lesen, wieherum Deny/Allow-Regeln ausgewertet werden.
Als 1. Regel definierst du, dass ALLES geblockt wird.
Als 2. und 3. Regel definierst du, dass HTTP und HTTPS-Protokolle durchgelassen werden.
Am besten davor nochmal die Doku lesen, wieherum Deny/Allow-Regeln ausgewertet werden.
Deine ACL (Bild) ist ja ziemlicher Quatsch. Du deniest ja alles und das da dann nix mehr durchkommt ist klar...
ACLs sind immer strategisch Grundregeln: Gelten so gut wie immer inbound und First match wins !
Also erstmal musst du wichtige Dienste passieren lassen wie DHCP und DNS, damit der Client erstmal überhaupt ne IP bekommt und DNS Namen auflösen kann. Nur HTTP und HTTPS erlauben reicht natürlich nicht, klar !
Erst dann erlaubst du TCP 80 und TCP 443 !
und erst dann DENYst du den ganzen Rest. Die Regeln sind dann die folgt:
ACLs sind immer strategisch
Grundregeln: Gelten so gut wie immer inbound und First match wins !Also erstmal musst du wichtige Dienste passieren lassen wie DHCP und DNS, damit der Client erstmal überhaupt ne IP bekommt und DNS Namen auflösen kann. Nur HTTP und HTTPS erlauben reicht natürlich nicht, klar !
Erst dann erlaubst du TCP 80 und TCP 443 !
und erst dann DENYst du den ganzen Rest. Die Regeln sind dann die folgt:
- UDP 67-68 erlauben (DHCP)
- UDP und TCP 53 erlauben DNS
- TCP 80 erlauben (HTTP)
- TCP 443 erlauben (HTTPS)
- DENY any any
- Fertig ist der Lack.
Hallo!
Vielen Dank für die hilfreiche Antwort!
Nun funktioniert es!
Schönes Wochenende und VG
Christian
Vielen Dank für die hilfreiche Antwort!
Nun funktioniert es!
Schönes Wochenende und VG
Christian
