Monowall Aufruf der AP-WebGUI aus LAN verhindern?

Hallo,

ich würde den Thread nicht so einfach als gelöst markieren, nur weil einer sagt es geht nicht. Guck Dir mal die webGUI anti-lockout Option in System -> Advanced an. Du kannst entweder zwei Firewall Regeln (erlaube bestimmte IP, verbiete gesamtes LAN) oder nur eine (verbiete gesamtes LAN außer bestimmte IP) verwenden.

Grüße,
tonabnehmer

Entscheidend ist die "webGUI anti-lockout" Option in System -> Advanced. Ohne die kannst Du in den Firewall Regeln einstellen was Du willst - Du wirst aus dem LAN sonst immer Zugriff auf die GUI haben.

P.S. Ich habe die Option selbst noch nie genutzt und gehe daher nur davon aus, dass es so geht

Schön, dass das funktioniert hat. Du solltest auch den Zugriff auf 80 bzw. 443 destination = "WAN address" verbieten, da die Web GUI aus den internen Netzen auch über die WAN IP erreichbar ist.

Hi !

Das wird so nix! Einfach mal ein bisschen logisch denken und ein Netzwerk zielgerichtet betrachten.

Eine Firewall kann nur die Pakete blockieren, die durch sie hindurch gehen. Wenn Du einen PC im selben Netz hast, in dem auch der AP hängt wird das nix, denn der Traffic geht ja nicht durch die Mono durch sondern quasi an ihr vorbei. Du kannst lediglich die GUI der Mono selbst blocken aber niemals ein GUI eines AP der im gleichen Segment hängt. Das kannst Du nur lösen, in dem Du den AP-Traffic durch die Mono hindurch leitest, wie es im ersten Kommentar ja schon angemerkt wurde.

Und Nein! Mit der Anti-Lockout-Rule hat das Grundproblem rein gar nix zu tun, die sorgt nur dafür, dass man sich nicht aus der GUI der Mono aussperrt aber um ein GUI eines APs zu sperren muss eben der Traffic durch die Mono hindurch gehen, sonst wird das definitiv nix!

Das ist so, als würde man zu einer Lampe zwei Stromleitungen legen und hoffen dass die Lampe aus geht, wenn man eine der Leitungen von der Lampe trennt. Solange aber die zweite Leitung der Lampe immer noch Strom zuführt, wird sie weiterhin leuchten...zugegeben ein blödes Beispiel...

mrtux

LOL, da habe ich den Eingangspost komplett falsch gelesen. Ich dachte, er möchte Zugriffe auf die GUI der m0n0wall verbieten. Tatsächlich möchte er aber den Zugriff auf die GUI des AP verbieten. Sorry dafür!

Hallo,

dass das nicht möglich sein sollte sehe ich so nicht ganz.

Wenn du die Web GUI vom AP auf eine anderen Port (BSP.: 8080) umbiegst, und den über eine ACL in der Monowall nur für die Test Rechner IP freigibst sollte dein Problem gelöst sein.

Ist nur die Frage kann der Web Server es AP auf einen anderen Port umgebogen werden, oder musst du hier mit PAT arbeiten?

brammer

Hi !


Mhh jetzt vewirrst Du mich aber....Also ich verstehe sein obiges Szenario so:

Netz 10.x.x.x -> WAN -> Monowall -> LAN -> Netz 192.168.1.x -> Switch -> und da dran dann Test PC (bzw. Notebook) und AP.

Oder habe ich das jetzt wiedermal komplett falsch verstanden?

mrtux

Hallo,

nun dann kann mein Szenario natürlich nicht gehen

Der Traffic vom Test Notebook kommt ja garnicht erst bis zur Monowall.
Der AP und das Notebook kennen sich soweiso auf Layer 2 und sind in einem Netz.

Das habe ich dann faslch intepretiert.

Kannst du am AP irgendwas einstellen?
Was für ein AP ist es überhaupt?
Hängt nur das Laptop per Kabel am AP oder noch mehr ?

brammer

Vielleicht solltest du dir erstmal die Grundlagen einer IP Kommunikation zu Gemüte führen, denn daran hapert es ziemlich...sorry ?!!
Die Monowall ist niemals an einer Kommunikation mit dem AP beteiligt wenn lokale PCs auf den AP zugreifen wollen. Das ist einzig und allein also ein Ding zwischen dem PC und dem AP selber. Genau also wie das schon die Kollegen mrtux und brammer oben bemerkt haben ! Du kannst die Monowall auch abziehen von dem Netz und das Problem bleibt logischerweise bestehen.
Du kannst in einer Firewall natürlich nur das filtern was auch durch die Firewall durchgeht, denn nur so hat sie ja überhaupt eine Chance in die Pakete reinzusehen und zu prüfen ob die durchdürfen oder nicht !
In deinem Szenario ist das doch gar nicht möglich, weil diese Ethernet Pakete die Firewall ja gar nicht erst erreichen, da der PC ja in einem gemeinsamen IP Segment logischerweise direkt mit dem AP kommuniziert wie oben ja auch schon mehrfach angesprochen !
Vergiss das also gleich... !!
Du hast also nur die Option den Port des Web GUIs im AP selber umzustellen und so den Zugang zum AP zu verschleiern wenn der das denn supportet.
Ansonsten hilft nur ein starkes Passwort im AP GUI Zugang.
Wenn das ein nur WLAN oder ein Gast WLAN ist, dann ist es auch sinnvoller das WLAN komplett zu trennen. Also eine 3te NIC in die FW zu stecken, PCs und andere Endgeräte in ein eigenes IP Segment und die APs fürs WLAN also das WLAN in ein eigenes separates Segment zu hängen.
Im AP schaltest du dann den Management Zugriff auf den AP über die WLAN (Funk) Schnittstelle aus, so das nur ein Zugriff übers Kabel auf den AP erlaubt ist. Das supporten auch alle Billig APs und ist simpler Standard.
Dann richtest du auf der Firewall eine Regel ein die nur bestimmten PCs aus dem PC Segment auf bestimmte IPs im WLAN (APs) den Zugriff erlauben. Zudem aktivierst du die Antilockout Rule von oben damit WLAN Teilnehmer auch nicht die GUI der Firewall erreichen können...fertig.
Damit hast du maximale Sicherheit.
Details dazu beschreibt dir dieses Tutorial und die folgenden Threads dazu:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Hi,
wenn eine weitere Netzwerkkarten technisch nicht mehr reinpasst, es gibt auch Netzwerkkarten mit 2 Ports.

Oder noch viel besser als altes PC Geraffel ein fertiges Mainboard:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Ist auch unverständlich warum ein 3tes Interface nicht möglich sein soll. Eine simple Netzwerkkarte für seinen Rechner kostet 3,95 Euro.... Na ja er hat vermutlich seine (geheimen) Gründe...
Pack ein sicheres Passwort auf den AP und gut iss !! Innerhalb der Familie reicht das wohl !!

Hi !

Traue es mich kaum zu sagen aber ein VLAN fähiger Switch hinter die Mono könnte auch helfen, wenn das auch eher bedeutet mit Gulaschkanonen auf Spätzle zu schiessen....

mrtux

Ein VLAN Switch z.B. Cisco SG-200-08 kostet 80 Euronen z.B.
http://www.amazon.de/CISCO-200-08-8-port-Gigabit-Switch/dp/B004UOT4BI
Erspart dir aber dann ein vielfaches an Kabelage in dem Gebäude. Soooo kostenintensiv ist das ja nun auch nicht. Außerdem gibt es noch D-LAN da musst du gar nicht graben und stemmen.... Aber egal..technisch ist zu dem o.a. Thema ja alles gesagt !

Guck Dir auch noch den hier an, der kann im Gegensatz zum Cisco auch SNMP falls benötigt: http://h10010.www1.hp.com/wwpc/de/de/sm/WF06b/12883-12883-4172267-41722 .... Ansonsten können beide das Übliche und liegen preislich nicht weit auseinander. Von beiden gibt es auch größere mit 24 oder 48 Ports.