Einen Teil von LAN nur für bestimmte IPs
 

Hallo!

Ich möchte, das bestimmte Personen im LAN nicht auf alles (Freigaben, etc.) zugreifen können.

Umgebung
Linux-Server mit Apache und DHCP-Server
Alle Client mit IPs von 192.168.0.0 - *.50 dürfen überall hin
Client mit restliche IPs (WLAN) im lokalen Netz dürfen nur zu Internet und spezieller Intranetseite, aber nicht auf Freigaben und Apache

Lösungsansätze
+ Der DHCP-Server sorgt dank MAC-Adressen-Bindung, dass sonst niemand ins lokale netz kommt (weder über LAN noch WLAN)
+ htaccess Datei im Apache root lenkt User je nach IP / sperrt bestimmt Bereiche
+ Freigaben von Windows verstecken ($) od. mit PW schützen

Problem / Offenes
- Wenn jetzt jemand seine IP-Adresse manuell vergibt, kann er das gesamt intranet (apache) aufrufen. Kann man (mittels DHCP?) prüfen, ob jemand die IP bekommen hat oder sie selbst vergeben hat und dann sperren?
- Wie "verstecke" ich Samba-Freigaben?
- Gibt es eine Möglichkeit, mit der Firewall zu prüfen, ob Pakete von einer bestimmten IP-Adresse auch zu der MAC Adresse (im DHCP-Server angegeben) gehören?
- gegen Mac-Spoofing hat man eigentlich keine Chance, oder?

Danke für alle Tips und Tricks!

warum auf IP ebene sperren? wenn sich ein user der normalerweise nichts darf, nun an einer anderen Workstation, die aufgrund Ihrer IP alles darf, anmeldet hat er ja wieder zugriff.

jop des versteh i a ned ganz..
einfache benutzerverwaqltung würd doch reichen
die einen dürfn aufn samba server die anderen ned...

oder versteh ich da was falsch

hm, stimmt, mein Problem hab ich vielleicht nicht so ganz gut dargestellt :o

also: bist jetzt war's so

ALT
heimnetz, samba, apache, ldap, wlan, internet, freigaben, etc. in meinem Netz nur für mich und meine familie. keine aufwendige nutzerverwaltung, schließlich mögen wir uns alle. :D
Das ganze nach gesichert durch eine linux firewall.

NEU
ich möchte mit meinen Nachbarn (der freundlich ist, aber der einfach nicht alles sehen soll ;) Internet teilen (über WLAN), aber ich möchte nicht, dass mein gesamtes Heimnetz, apache, ldap, etc. (siehe alt) offen ist.

Das ganze auf eine Benutzerverwaltung umzustellen ist halt sehr aufwendig, deshalb die Idee, das Ganze auf IP-Basis zu machen.
Der DHCP Server kontrolliert, ob die MAC Adresse paßt und dann vergibt er die IP.

Deshalb die Idee, das ganze auf IP-Basis zu machen.
Es soll kein Hochsicherheitstrakt werden, aber mir ist halt aufgefallen, dass wenn ich meinem Nachbarn die nächste freie IP gebe, er auch Zugriff auf meinen Webserver hat, auf dem meine Adressdatenbank läuft :eek:

Ist das jetzt klarer? :rolleyes:

alias auf die schnittstelle zum nachbarn und delegate

häh? :confused:

tut leid, aber ich versteh nur Bahnhof...

Zweite Netzwerkkarte mit eigener Ip-Range, ueber die den Nachbarn anbinden.
Damit laesst sich auf der FW der Traffic Sehr schoen und einfach trennen (alles was von der eth-Nachbar reinkommt, wird nichts ins privte Netz gelasen).

bei vielen wlan routern kannst angeben ob vom wlan ins lan oder nur ins internet groutet werden soll, sollte genau dass sein was du suchst. Intranet zugriff funzt dann halt nicht.

IPSEC!

Alle deine PCs, verschlüsselst du mit IPSec für den Adressbereich von 192.168.0.0 bis 50 (exklusive Router!) und für den restlichen Verkehr sperrst du deine Hosts, also alles was 192.168.0.50 und höher ist soll dein IPSec abweisen (exklusive Router!)

Somit kannst du in deinem Netz verschlüsselt operieren und unverschlüsselt zum Standardgatway und dein mitsurfender Freund surft unverschlüsselt in seinen IP Bereich und kann ebenfalls auf den Gateway zugreifen!

Fragen ??

Perfekt!
Ich hab von dem IPSEC schon mal was in Zusammenhang mit VPN gelesen.

Fragen?

JA! :D

+ Wird das Netz dann nicht auch langsamer?
+ Muß ich das nur auf dem Server (Linux) oder auf allen Clients auch installieren
+ Ich habe keinen Router

192.168.0.1: Server/Firewall/Einwahl
192.168.0.2: WLAN-AP
192.168.0.3-50: Ich (alles)
192.168.0.50-254: Rest (nur Internet)

Verbindung zu Nachbar (IP über *.50) sollte über WLAN gehen, ich selbst (IP unter *.50) will aber auch noch über WLAN rein