Monowall Aufruf der AP-WebGUI aus LAN verhindern?
Hallo zusammen!
Ich bin neu hier und starte gleich mit einem Problem an dem ich schon eine weile herumbastle.
Ich habe in einem bestehenden Netzwerk einen alten Rechner mit 2 Netzkarten und der aktuellen Monowall reingehängt. Es gibt also nur LAN und WAN-Interface.
WAN stellt die Verbindung zu meinem bestehenden Netzwerk (Netz: 10.0.0.0/24)
IP der Monowall (192.168.1.1./255.255.255.0) DHCP auf der Monowall ist aktiviert.
Am LAN hängt nun ein Access Point (192.168.1.2 fix und Gateway 192.168.1.1)
Am AP hängt weiters ein Notebook zum Testen, via Kabel (192.168.1.200 fix)
Ich will nun verhindern, dass man von192.168.1.0/255.255.255.0 auf das Web-GUI des AP zugreifen kann, mit Ausnahme des Testrechners (192.168.1.200).
Hab schon alles probiert aber ich bekomme die LAN-Firewall-'Regel nicht hin.
Ist das überhaupt möglich? Hab mal gelesen, dass von LAN alles raus kann und man da nichts machen kann.
Bin gerade nicht am Gerät - falls ihr noch was benötigt kann ich es später posten.
Bin für jede Anregung dankbar!
Vielen Dank eisbein
Edit:
habe alle Regeln bei WAN und LAN gelöscht um somit deny all herzustellen, Funktioniert aber dennoch nicht.
die Regel für LAN (block any destination 192.168.1.0/24 - source any 192.168.1.2) greift auch nicht.
Ich bin neu hier und starte gleich mit einem Problem an dem ich schon eine weile herumbastle.
Ich habe in einem bestehenden Netzwerk einen alten Rechner mit 2 Netzkarten und der aktuellen Monowall reingehängt. Es gibt also nur LAN und WAN-Interface.
WAN stellt die Verbindung zu meinem bestehenden Netzwerk (Netz: 10.0.0.0/24)
IP der Monowall (192.168.1.1./255.255.255.0) DHCP auf der Monowall ist aktiviert.
Am LAN hängt nun ein Access Point (192.168.1.2 fix und Gateway 192.168.1.1)
Am AP hängt weiters ein Notebook zum Testen, via Kabel (192.168.1.200 fix)
Ich will nun verhindern, dass man von192.168.1.0/255.255.255.0 auf das Web-GUI des AP zugreifen kann, mit Ausnahme des Testrechners (192.168.1.200).
Hab schon alles probiert aber ich bekomme die LAN-Firewall-'Regel nicht hin.
Ist das überhaupt möglich? Hab mal gelesen, dass von LAN alles raus kann und man da nichts machen kann.
Bin gerade nicht am Gerät - falls ihr noch was benötigt kann ich es später posten.
Bin für jede Anregung dankbar!
Vielen Dank eisbein
Edit:
habe alle Regeln bei WAN und LAN gelöscht um somit deny all herzustellen, Funktioniert aber dennoch nicht.
die Regel für LAN (block any destination 192.168.1.0/24 - source any 192.168.1.2) greift auch nicht.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173002
Url: https://administrator.de/forum/monowall-aufruf-der-ap-webgui-aus-lan-verhindern-173002.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
27 Kommentare
Neuester Kommentar
Hallo,
ich würde den Thread nicht so einfach als gelöst markieren, nur weil einer sagt es geht nicht. Guck Dir mal die webGUI anti-lockout Option in System -> Advanced an. Du kannst entweder zwei Firewall Regeln (erlaube bestimmte IP, verbiete gesamtes LAN) oder nur eine (verbiete gesamtes LAN außer bestimmte IP) verwenden.
Grüße,
tonabnehmer
ich würde den Thread nicht so einfach als gelöst markieren, nur weil einer sagt es geht nicht. Guck Dir mal die webGUI anti-lockout Option in System -> Advanced an. Du kannst entweder zwei Firewall Regeln (erlaube bestimmte IP, verbiete gesamtes LAN) oder nur eine (verbiete gesamtes LAN außer bestimmte IP) verwenden.
Grüße,
tonabnehmer
Hi !
Das wird so nix! Einfach mal ein bisschen logisch denken und ein Netzwerk zielgerichtet betrachten.
Eine Firewall kann nur die Pakete blockieren, die durch sie hindurch gehen. Wenn Du einen PC im selben Netz hast, in dem auch der AP hängt wird das nix, denn der Traffic geht ja nicht durch die Mono durch sondern quasi an ihr vorbei. Du kannst lediglich die GUI der Mono selbst blocken aber niemals ein GUI eines AP der im gleichen Segment hängt. Das kannst Du nur lösen, in dem Du den AP-Traffic durch die Mono hindurch leitest, wie es im ersten Kommentar ja schon angemerkt wurde.
Und Nein! Mit der Anti-Lockout-Rule hat das Grundproblem rein gar nix zu tun, die sorgt nur dafür, dass man sich nicht aus der GUI der Mono aussperrt aber um ein GUI eines APs zu sperren muss eben der Traffic durch die Mono hindurch gehen, sonst wird das definitiv nix!
Das ist so, als würde man zu einer Lampe zwei Stromleitungen legen und hoffen dass die Lampe aus geht, wenn man eine der Leitungen von der Lampe trennt. Solange aber die zweite Leitung der Lampe immer noch Strom zuführt, wird sie weiterhin leuchten...zugegeben ein blödes Beispiel...
mrtux
Das wird so nix! Einfach mal ein bisschen logisch denken und ein Netzwerk zielgerichtet betrachten.
Eine Firewall kann nur die Pakete blockieren, die durch sie hindurch gehen. Wenn Du einen PC im selben Netz hast, in dem auch der AP hängt wird das nix, denn der Traffic geht ja nicht durch die Mono durch sondern quasi an ihr vorbei. Du kannst lediglich die GUI der Mono selbst blocken aber niemals ein GUI eines AP der im gleichen Segment hängt. Das kannst Du nur lösen, in dem Du den AP-Traffic durch die Mono hindurch leitest, wie es im ersten Kommentar ja schon angemerkt wurde.
Und Nein! Mit der Anti-Lockout-Rule hat das Grundproblem rein gar nix zu tun, die sorgt nur dafür, dass man sich nicht aus der GUI der Mono aussperrt aber um ein GUI eines APs zu sperren muss eben der Traffic durch die Mono hindurch gehen, sonst wird das definitiv nix!
Das ist so, als würde man zu einer Lampe zwei Stromleitungen legen und hoffen dass die Lampe aus geht, wenn man eine der Leitungen von der Lampe trennt. Solange aber die zweite Leitung der Lampe immer noch Strom zuführt, wird sie weiterhin leuchten...zugegeben ein blödes Beispiel...
mrtux
Hallo,
dass das nicht möglich sein sollte sehe ich so nicht ganz.
Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für die Test Rechner IP freigibst sollte dein Problem gelöst sein.
Ist nur die Frage kann der Web Server es AP auf einen anderen Port umgebogen werden, oder musst du hier mit PAT arbeiten?
brammer
dass das nicht möglich sein sollte sehe ich so nicht ganz.
Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für die Test Rechner IP freigibst sollte dein Problem gelöst sein.
Ist nur die Frage kann der Web Server es AP auf einen anderen Port umgebogen werden, oder musst du hier mit PAT arbeiten?
brammer
Hi !
Mhh jetzt vewirrst Du mich aber....Also ich verstehe sein obiges Szenario so:
Netz 10.x.x.x -> WAN -> Monowall -> LAN -> Netz 192.168.1.x -> Switch -> und da dran dann Test PC (bzw. Notebook) und AP.
Oder habe ich das jetzt wiedermal komplett falsch verstanden?
mrtux
Zitat von @brammer:
Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für
die Test Rechner IP freigibst sollte dein Problem gelöst sein.
Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für
die Test Rechner IP freigibst sollte dein Problem gelöst sein.
Mhh jetzt vewirrst Du mich aber....Also ich verstehe sein obiges Szenario so:
Netz 10.x.x.x -> WAN -> Monowall -> LAN -> Netz 192.168.1.x -> Switch -> und da dran dann Test PC (bzw. Notebook) und AP.
Oder habe ich das jetzt wiedermal komplett falsch verstanden?
mrtux
Hallo,
nun dann kann mein Szenario natürlich nicht gehen
Der Traffic vom Test Notebook kommt ja garnicht erst bis zur Monowall.
Der AP und das Notebook kennen sich soweiso auf Layer 2 und sind in einem Netz.
Das habe ich dann faslch intepretiert.
Kannst du am AP irgendwas einstellen?
Was für ein AP ist es überhaupt?
Hängt nur das Laptop per Kabel am AP oder noch mehr ?
brammer
nun dann kann mein Szenario natürlich nicht gehen
Der Traffic vom Test Notebook kommt ja garnicht erst bis zur Monowall.
Der AP und das Notebook kennen sich soweiso auf Layer 2 und sind in einem Netz.
Das habe ich dann faslch intepretiert.
Kannst du am AP irgendwas einstellen?
Was für ein AP ist es überhaupt?
Hängt nur das Laptop per Kabel am AP oder noch mehr ?
brammer
Vielleicht solltest du dir erstmal die Grundlagen einer IP Kommunikation zu Gemüte führen, denn daran hapert es ziemlich...sorry ?!!
Die Monowall ist niemals an einer Kommunikation mit dem AP beteiligt wenn lokale PCs auf den AP zugreifen wollen. Das ist einzig und allein also ein Ding zwischen dem PC und dem AP selber. Genau also wie das schon die Kollegen mrtux und brammer oben bemerkt haben ! Du kannst die Monowall auch abziehen von dem Netz und das Problem bleibt logischerweise bestehen.
Du kannst in einer Firewall natürlich nur das filtern was auch durch die Firewall durchgeht, denn nur so hat sie ja überhaupt eine Chance in die Pakete reinzusehen und zu prüfen ob die durchdürfen oder nicht !
In deinem Szenario ist das doch gar nicht möglich, weil diese Ethernet Pakete die Firewall ja gar nicht erst erreichen, da der PC ja in einem gemeinsamen IP Segment logischerweise direkt mit dem AP kommuniziert wie oben ja auch schon mehrfach angesprochen !
Vergiss das also gleich... !!
Du hast also nur die Option den Port des Web GUIs im AP selber umzustellen und so den Zugang zum AP zu verschleiern wenn der das denn supportet.
Ansonsten hilft nur ein starkes Passwort im AP GUI Zugang.
Wenn das ein nur WLAN oder ein Gast WLAN ist, dann ist es auch sinnvoller das WLAN komplett zu trennen. Also eine 3te NIC in die FW zu stecken, PCs und andere Endgeräte in ein eigenes IP Segment und die APs fürs WLAN also das WLAN in ein eigenes separates Segment zu hängen.
Im AP schaltest du dann den Management Zugriff auf den AP über die WLAN (Funk) Schnittstelle aus, so das nur ein Zugriff übers Kabel auf den AP erlaubt ist. Das supporten auch alle Billig APs und ist simpler Standard.
Dann richtest du auf der Firewall eine Regel ein die nur bestimmten PCs aus dem PC Segment auf bestimmte IPs im WLAN (APs) den Zugriff erlauben. Zudem aktivierst du die Antilockout Rule von oben damit WLAN Teilnehmer auch nicht die GUI der Firewall erreichen können...fertig.
Damit hast du maximale Sicherheit.
Details dazu beschreibt dir dieses Tutorial und die folgenden Threads dazu:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die Monowall ist niemals an einer Kommunikation mit dem AP beteiligt wenn lokale PCs auf den AP zugreifen wollen. Das ist einzig und allein also ein Ding zwischen dem PC und dem AP selber. Genau also wie das schon die Kollegen mrtux und brammer oben bemerkt haben ! Du kannst die Monowall auch abziehen von dem Netz und das Problem bleibt logischerweise bestehen.
Du kannst in einer Firewall natürlich nur das filtern was auch durch die Firewall durchgeht, denn nur so hat sie ja überhaupt eine Chance in die Pakete reinzusehen und zu prüfen ob die durchdürfen oder nicht !
In deinem Szenario ist das doch gar nicht möglich, weil diese Ethernet Pakete die Firewall ja gar nicht erst erreichen, da der PC ja in einem gemeinsamen IP Segment logischerweise direkt mit dem AP kommuniziert wie oben ja auch schon mehrfach angesprochen !
Vergiss das also gleich... !!
Du hast also nur die Option den Port des Web GUIs im AP selber umzustellen und so den Zugang zum AP zu verschleiern wenn der das denn supportet.
Ansonsten hilft nur ein starkes Passwort im AP GUI Zugang.
Wenn das ein nur WLAN oder ein Gast WLAN ist, dann ist es auch sinnvoller das WLAN komplett zu trennen. Also eine 3te NIC in die FW zu stecken, PCs und andere Endgeräte in ein eigenes IP Segment und die APs fürs WLAN also das WLAN in ein eigenes separates Segment zu hängen.
Im AP schaltest du dann den Management Zugriff auf den AP über die WLAN (Funk) Schnittstelle aus, so das nur ein Zugriff übers Kabel auf den AP erlaubt ist. Das supporten auch alle Billig APs und ist simpler Standard.
Dann richtest du auf der Firewall eine Regel ein die nur bestimmten PCs aus dem PC Segment auf bestimmte IPs im WLAN (APs) den Zugriff erlauben. Zudem aktivierst du die Antilockout Rule von oben damit WLAN Teilnehmer auch nicht die GUI der Firewall erreichen können...fertig.
Damit hast du maximale Sicherheit.
Details dazu beschreibt dir dieses Tutorial und die folgenden Threads dazu:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder noch viel besser als altes PC Geraffel ein fertiges Mainboard:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ist auch unverständlich warum ein 3tes Interface nicht möglich sein soll. Eine simple Netzwerkkarte für seinen Rechner kostet 3,95 Euro.... Na ja er hat vermutlich seine (geheimen) Gründe...
Pack ein sicheres Passwort auf den AP und gut iss !! Innerhalb der Familie reicht das wohl !!
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ist auch unverständlich warum ein 3tes Interface nicht möglich sein soll. Eine simple Netzwerkkarte für seinen Rechner kostet 3,95 Euro.... Na ja er hat vermutlich seine (geheimen) Gründe...
Pack ein sicheres Passwort auf den AP und gut iss !! Innerhalb der Familie reicht das wohl !!
Ein VLAN Switch z.B. Cisco SG-200-08 kostet 80 Euronen z.B.
http://www.amazon.de/CISCO-200-08-8-port-Gigabit-Switch/dp/B004UOT4BI
Erspart dir aber dann ein vielfaches an Kabelage in dem Gebäude. Soooo kostenintensiv ist das ja nun auch nicht. Außerdem gibt es noch D-LAN da musst du gar nicht graben und stemmen.... Aber egal..technisch ist zu dem o.a. Thema ja alles gesagt !
http://www.amazon.de/CISCO-200-08-8-port-Gigabit-Switch/dp/B004UOT4BI
Erspart dir aber dann ein vielfaches an Kabelage in dem Gebäude. Soooo kostenintensiv ist das ja nun auch nicht. Außerdem gibt es noch D-LAN da musst du gar nicht graben und stemmen.... Aber egal..technisch ist zu dem o.a. Thema ja alles gesagt !
Guck Dir auch noch den hier an, der kann im Gegensatz zum Cisco auch SNMP falls benötigt: http://h10010.www1.hp.com/wwpc/de/de/sm/WF06b/12883-12883-4172267-41722 .... Ansonsten können beide das Übliche und liegen preislich nicht weit auseinander. Von beiden gibt es auch größere mit 24 oder 48 Ports.
Wie immer bei Billigheimer HP ProCurve (obwohl ungewöhnlicherweise der Strassenpreis 50 Euro über Cisco liegt) schafft der aber nur wieder HP üblich einen Bruchteil der anderen wichtigeren Features. Da können sogar D-Link und NetGear bei gleichem Preis mehr....
Aber egal..ist natürlich nicht kostenfrei und SNMP braucht man für ein Familiennetzwerk nun auch nicht wirklich...
Aber egal..ist natürlich nicht kostenfrei und SNMP braucht man für ein Familiennetzwerk nun auch nicht wirklich...