fish01
Goto Top

Mittels WLAN soll nur http und https möglich sein

Hallo!

Habe gerade das Problem, dass ich beim WLAN nur die Protokolle http und https zulassen möchte!

Aktuell verwende ich einen Cisco WAP321 und hier scheitere ich am Anlegen der ACL.

Eventuell hat jemand damit Erfahrungen oder kann einen anderen Access-Point empfehlen, mit dem dies komfortabel möglich ist.

Vielen Dank für eure hoffentlich hilfreichen Antworten!
Christian

26a8193a54f11f8cce7a3ebade2eb4a3

Content-ID: 273114

Url: https://administrator.de/contentid/273114

Ausgedruckt am: 08.11.2024 um 20:11 Uhr

119944
119944 28.05.2015 aktualisiert um 15:59:01 Uhr
Goto Top
Moin,

Die ACLs sind bei den Switchen eigentlich relativ einfach einzurichten.
Ansonsten block das halt im Router/Firewall, hat doch vermutlich eh ein eigenes VLAN?

VG
Val
Fish01
Fish01 28.05.2015 um 16:07:45 Uhr
Goto Top
Danke für deine Antwort!

Habe bei meiner Frage noch einen Screenshot angefügt, wie GUI zum Konfigurieren der ACL aussiehst => blicke da nicht ganz durch!
Bzgl. VLAN und Router: ich bevorzuge die Lösung mittels ACL, da es hier um zahlreiche Standorte ginge und ich nicht immer die externe Firma involiert hätte!

VG
119944
119944 28.05.2015 aktualisiert um 16:18:33 Uhr
Goto Top
Und was ist da jetzt das Problem?

Action: Permit
Protocol: TCP
Source IP Adress: 192.168.1.0
Wildcardmask: 0.0.0.255
Destination Port: 80+443
(bei Bedarf erweiter und anpassen!)

Den Rest musst du natürlich verbieten aber pass auf das du dich nicht aussperrst. face-wink
Beim Switch binde ich diese ACL erstmal auf ein VLAN, blockiere dort alles und schalte einzelne Sachen per ACE wieder frei.

VG
Val
Snowman25
Snowman25 28.05.2015 um 16:42:48 Uhr
Goto Top
Das Interface ist doch einddeutig?
Als 1. Regel definierst du, dass ALLES geblockt wird.
Als 2. und 3. Regel definierst du, dass HTTP und HTTPS-Protokolle durchgelassen werden.

Am besten davor nochmal die Doku lesen, wieherum Deny/Allow-Regeln ausgewertet werden.
aqui
Lösung aqui 28.05.2015, aktualisiert am 29.05.2015 um 11:58:36 Uhr
Goto Top
Deine ACL (Bild) ist ja ziemlicher Quatsch. Du deniest ja alles und das da dann nix mehr durchkommt ist klar...
ACLs sind immer strategisch face-wink Grundregeln: Gelten so gut wie immer inbound und First match wins !

Also erstmal musst du wichtige Dienste passieren lassen wie DHCP und DNS, damit der Client erstmal überhaupt ne IP bekommt und DNS Namen auflösen kann. Nur HTTP und HTTPS erlauben reicht natürlich nicht, klar !
Erst dann erlaubst du TCP 80 und TCP 443 !
und erst dann DENYst du den ganzen Rest. Die Regeln sind dann die folgt:
  • UDP 67-68 erlauben (DHCP)
  • UDP und TCP 53 erlauben DNS
  • TCP 80 erlauben (HTTP)
  • TCP 443 erlauben (HTTPS)
  • DENY any any
  • Fertig ist der Lack.
10 Minuten maximal wenn man weiss was man tut.
Fish01
Fish01 29.05.2015 um 11:58:33 Uhr
Goto Top
Hallo!

Vielen Dank für die hilfreiche Antwort!

Nun funktioniert es!

Schönes Wochenende und VG
Christian