Internet für bestimmte MAC-Adr sperren?

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon funkersteffen » So 20.10.2002 - 00:39

Hi...

wie kann ich fuer eine bestimmte MAC-Adresse den Internet zugang sperren ?

Ich könnte natürlich auch ne bestimmte IP Adresse eine PC's im Netzwerk sperren, der nicht auf das Internet zugreifen darf, aber die IP Adresse lässt sich ja leicht ändern, daswegen will ich es über die MAC Adresse machdn..

weiss jemand ob und wie das geht ?

MfG

Steffen
funkersteffen
User
 
Beiträge: 24
Registriert: Mo 18.03.2002 - 15:52

Beitragvon deMattin » So 20.10.2002 - 18:55

Mac-Adressen kann man nicht direkt in der Firewall verarbeiten - also lautet die Antwort: "nein, es geht nicht".

Aber ich hätte da eine Idee:
1. die für feste IPs gewünschten Rechner über den telnet-befehl "srv dhcp fixip add <IP Addr> <MAC Addr XX-XX-XX-XX-XX-XX> <Host ID>" innerhalb des dhcp-Bereiches an eine IP binden (s. Release Notes zur FW 1.07, da steht mehr dazu drin, wie das genau geht)
2. den kompletten IP-Bereich für DHCP des Vigor freischalten (wichtig).
3. über die Firewall mit entsprechenden IP-Filtern das gewünschte realisieren.

Da die Rechner über die Mac-Adresse an eine IP gebunden werden, hast du damit indirekt genau das gewünschte erreicht.
Entscheidend ist aber, dass der gesammte Bereich für DHCP des Vigor freigeschaltet wird, da ansonsten natürlich der entsprechenden Rechnernutzer einfach eine feste IP ausserhalb des DHCP-Bereiches im Rechner einstellt und damit alles umgehen würde.

Wenn du mehrere Rechner bzw. "alle bis auf wenige" verbieten willst, dann könntest du natürlich auch nur den zugelassenen Rechnern mit oben beschriebenem Vorgehen eine feste IP geben und dann einfach dem kompletten Restbereich per Firewall den Internetzugang verbieten. Dann brauchst du auch nicht den DHCP-Bereich zu erweitern, da es ja dann egal ist, woher der Rechner die IP aus dem anderen Bereich hat.
Die wie beschrieben an eine MAC-Adresse gebundene IP kann jedenfalls kein anderer Rechner übernehmen, ausser er fälscht seine MAC (was ja nicht ganz trivial ist).

Falls du das umsetzt, würde ich mich über Rückmeldung freuen, denn ich denke, das wäre auch eine interessante Sache für vigor-users ;-)
Aber dazu muss es nunmal jemand auch mal probieren und die "Theorie bestätigen"

Ergänzung:
Einen zusätzlichen Vorteil hat diese Vergabe der festen IPs gegenüber im Rechner konfigurierten festen IPs noch: Man kann über "> System Management > Diagnostic Tools > DHCP IP Assignment Table" eine Zusammenstellung aller zugewiesenen IPs (fest und dynamisch) sehen. Weist man im Rechner eine feste IP ausserhalb des DHCP-Bereiches zu, kann man diese nicht im Router "sehen".

Gruss,
Martin

----------------------
Anhang - Auszug aus den Rel. Notes zu 1.07:

9. [DHCP Server]
If put zero in the IP Pool Counts, the dynamic IP pool will be disabled. Now you
can use Telnet command set "srv dhcp fixip" to add or delete static IP pool. This
static IP pool supports 10 IP addresses.

> srv dhcp fixip ?
% Valid subcommands are:
add clr del

Under the "srv dhcp fixip" command string, it support three subcommands: "add",
"clr" and "del".

> srv dhcp fixip add ?
% srv dhcp fixip add <IP Addr> <MAC Addr XX-XX-XX-XX-XX-XX> <Host ID>

The "add" subcommand can add a specific IP address based on host's Ethernet MAC
address. The Host ID is optional. For example, if you want to specify a IP address
192.168.1.123 to a specific computer with MAC address 00-50-7F-12-34-56, you can
try the following command to add.

> srv dhcp fixip add 192.168.1.123 00-50-7F-12-34-56 vigor

> srv dhcp fixip del ?
% srv dhcp fixip del <IP Addr>

The "del" subcommand can delete a pre-assigned IP address from the static IP pool.
For example,

> srv dhcp fixip del 192.168.1.123

the host 192.168.1.123 will be removed from the static IP pool.

> srv dhcp fixip clr

The "clr" subcommand can clear the static IP pool to default values.



Edited By deMattin on Okt. 20 2002 at 20:07
http://www.vigor-users.de - Die Seite für User der Vigor-Router
Benutzeravatar
deMattin
Super-User
 
Beiträge: 448
Registriert: Mo 23.07.2001 - 19:40
Wohnort: Nordpott


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron