Einen Teil von LAN nur für bestimmte IPs

justsmile · 10.09.2004, 14:17

Hallo!

Ich möchte, das bestimmte Personen im LAN nicht auf alles (Freigaben, etc.) zugreifen können.

Umgebung
Linux-Server mit Apache und DHCP-Server
Alle Client mit IPs von 192.168.0.0 - *.50 dürfen überall hin
Client mit restliche IPs (WLAN) im lokalen Netz dürfen nur zu Internet und spezieller Intranetseite, aber nicht auf Freigaben und Apache

Lösungsansätze
+ Der DHCP-Server sorgt dank MAC-Adressen-Bindung, dass sonst niemand ins lokale netz kommt (weder über LAN noch WLAN)
+ htaccess Datei im Apache root lenkt User je nach IP / sperrt bestimmt Bereiche
+ Freigaben von Windows verstecken ($) od. mit PW schützen

Problem / Offenes
- Wenn jetzt jemand seine IP-Adresse manuell vergibt, kann er das gesamt intranet (apache) aufrufen. Kann man (mittels DHCP?) prüfen, ob jemand die IP bekommen hat oder sie selbst vergeben hat und dann sperren?
- Wie "verstecke" ich Samba-Freigaben?
- Gibt es eine Möglichkeit, mit der Firewall zu prüfen, ob Pakete von einer bestimmten IP-Adresse auch zu der MAC Adresse (im DHCP-Server angegeben) gehören?
- gegen Mac-Spoofing hat man eigentlich keine Chance, oder?

Danke für alle Tips und Tricks!

PhelanWolf · 10.09.2004, 15:29

warum auf IP ebene sperren? wenn sich ein user der normalerweise nichts darf, nun an einer anderen Workstation, die aufgrund Ihrer IP alles darf, anmeldet hat er ja wieder zugriff.

Atomschwammerl · 10.09.2004, 17:28

jop des versteh i a ned ganz..
einfache benutzerverwaqltung würd doch reichen
die einen dürfn aufn samba server die anderen ned...

oder versteh ich da was falsch

justsmile · 10.09.2004, 18:50

hm, stimmt, mein Problem hab ich vielleicht nicht so ganz gut dargestellt

also: bist jetzt war's so

ALT
heimnetz, samba, apache, ldap, wlan, internet, freigaben, etc. in meinem Netz nur für mich und meine familie. keine aufwendige nutzerverwaltung, schließlich mögen wir uns alle.

Das ganze nach gesichert durch eine linux firewall.

NEU
ich möchte mit meinen Nachbarn (der freundlich ist, aber der einfach nicht alles sehen soll

Internet teilen (über WLAN), aber ich möchte nicht, dass mein gesamtes Heimnetz, apache, ldap, etc. (siehe alt) offen ist.

Das ganze auf eine Benutzerverwaltung umzustellen ist halt sehr aufwendig, deshalb die Idee, das Ganze auf IP-Basis zu machen.
Der DHCP Server kontrolliert, ob die MAC Adresse paßt und dann vergibt er die IP.

Deshalb die Idee, das ganze auf IP-Basis zu machen.
Es soll kein Hochsicherheitstrakt werden, aber mir ist halt aufgefallen, dass wenn ich meinem Nachbarn die nächste freie IP gebe, er auch Zugriff auf meinen Webserver hat, auf dem meine Adressdatenbank läuft

Ist das jetzt klarer?

IT_Micha · 10.09.2004, 22:25

alias auf die schnittstelle zum nachbarn und delegate

justsmile · 11.09.2004, 05:12

häh?

tut leid, aber ich versteh nur Bahnhof...

_m3 · 11.09.2004, 18:57

Zweite Netzwerkkarte mit eigener Ip-Range, ueber die den Nachbarn anbinden.
Damit laesst sich auf der FW der Traffic Sehr schoen und einfach trennen (alles was von der eth-Nachbar reinkommt, wird nichts ins privte Netz gelasen).

LouCypher · 13.09.2004, 10:57

bei vielen wlan routern kannst angeben ob vom wlan ins lan oder nur ins internet groutet werden soll, sollte genau dass sein was du suchst. Intranet zugriff funzt dann halt nicht.

funkybrain · 15.09.2004, 18:41

IPSEC!

Alle deine PCs, verschlüsselst du mit IPSec für den Adressbereich von 192.168.0.0 bis 50 (exklusive Router!) und für den restlichen Verkehr sperrst du deine Hosts, also alles was 192.168.0.50 und höher ist soll dein IPSec abweisen (exklusive Router!)

Somit kannst du in deinem Netz verschlüsselt operieren und unverschlüsselt zum Standardgatway und dein mitsurfender Freund surft unverschlüsselt in seinen IP Bereich und kann ebenfalls auf den Gateway zugreifen!

Fragen ??

justsmile · 15.09.2004, 19:15

Perfekt!
Ich hab von dem IPSEC schon mal was in Zusammenhang mit VPN gelesen.

Fragen?

JA!

+ Wird das Netz dann nicht auch langsamer?
+ Muß ich das nur auf dem Server (Linux) oder auf allen Clients auch installieren
+ Ich habe keinen Router

192.168.0.1: Server/Firewall/Einwahl
192.168.0.2: WLAN-AP
192.168.0.3-50: Ich (alles)
192.168.0.50-254: Rest (nur Internet)

Verbindung zu Nachbar (IP über *.50) sollte über WLAN gehen, ich selbst (IP unter *.50) will aber auch noch über WLAN rein

10.09.2004, 14:17	#1
justsmile Senior Member Registriert seit: 15.12.2003 Beiträge: 150	Einen Teil von LAN nur für bestimmte IPs Hallo! Ich möchte, das bestimmte Personen im LAN nicht auf alles (Freigaben, etc.) zugreifen können. Umgebung Linux-Server mit Apache und DHCP-Server Alle Client mit IPs von 192.168.0.0 - .50 dürfen überall hin Client mit restliche IPs (WLAN) im lokalen Netz dürfen nur zu Internet und spezieller Intranetseite, aber nicht auf Freigaben und Apache Lösungsansätze* + Der DHCP-Server sorgt dank MAC-Adressen-Bindung, dass sonst niemand ins lokale netz kommt (weder über LAN noch WLAN) + htaccess Datei im Apache root lenkt User je nach IP / sperrt bestimmt Bereiche + Freigaben von Windows verstecken ($) od. mit PW schützen Problem / Offenes - Wenn jetzt jemand seine IP-Adresse manuell vergibt, kann er das gesamt intranet (apache) aufrufen. Kann man (mittels DHCP?) prüfen, ob jemand die IP bekommen hat oder sie selbst vergeben hat und dann sperren? - Wie "verstecke" ich Samba-Freigaben? - Gibt es eine Möglichkeit, mit der Firewall zu prüfen, ob Pakete von einer bestimmten IP-Adresse auch zu der MAC Adresse (im DHCP-Server angegeben) gehören? - gegen Mac-Spoofing hat man eigentlich keine Chance, oder? Danke für alle Tips und Tricks!

10.09.2004, 15:29	#2
PhelanWolf Master Registriert seit: 30.06.2000 Ort: Klagenfurt Beiträge: 629	warum auf IP ebene sperren? wenn sich ein user der normalerweise nichts darf, nun an einer anderen Workstation, die aufgrund Ihrer IP alles darf, anmeldet hat er ja wieder zugriff. ____________________________________ hmmmmmmmmmmmmmmm

10.09.2004, 17:28	#3
Atomschwammerl Abonnent Registriert seit: 04.09.2001 Alter: 40 Beiträge: 4.355	jop des versteh i a ned ganz.. einfache benutzerverwaqltung würd doch reichen die einen dürfn aufn samba server die anderen ned... oder versteh ich da was falsch ____________________________________ \'I think I spider\'

10.09.2004, 22:25	#5
IT_Micha Elite Registriert seit: 04.11.2000 Beiträge: 1.033	alias auf die schnittstelle zum nachbarn und delegate ____________________________________ Wir sind nicht auf der Welt, um so zu sein, wie andere uns haben wollen!

11.09.2004, 18:57	#7
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Zweite Netzwerkkarte mit eigener Ip-Range, ueber die den Nachbarn anbinden. Damit laesst sich auf der FW der Traffic Sehr schoen und einfach trennen (alles was von der eth-Nachbar reinkommt, wird nichts ins privte Netz gelasen). ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

10.09.2004, 18:50	#4
justsmile Senior Member Registriert seit: 15.12.2003 Beiträge: 150	hm, stimmt, mein Problem hab ich vielleicht nicht so ganz gut dargestellt also: bist jetzt war's so ALT heimnetz, samba, apache, ldap, wlan, internet, freigaben, etc. in meinem Netz nur für mich und meine familie. keine aufwendige nutzerverwaltung, schließlich mögen wir uns alle. Das ganze nach gesichert durch eine linux firewall. NEU ich möchte mit meinen Nachbarn (der freundlich ist, aber der einfach nicht alles sehen soll Internet teilen (über WLAN), aber ich möchte nicht, dass mein gesamtes Heimnetz, apache, ldap, etc. (siehe alt) offen ist. Das ganze auf eine Benutzerverwaltung umzustellen ist halt sehr aufwendig, deshalb die Idee, das Ganze auf IP-Basis zu machen. Der DHCP Server kontrolliert, ob die MAC Adresse paßt und dann vergibt er die IP. Deshalb die Idee, das ganze auf IP-Basis zu machen. Es soll kein Hochsicherheitstrakt werden, aber mir ist halt aufgefallen, dass wenn ich meinem Nachbarn die nächste freie IP gebe, er auch Zugriff auf meinen Webserver hat, auf dem meine Adressdatenbank läuft Ist das jetzt klarer?

11.09.2004, 05:12	#6
justsmile Senior Member Registriert seit: 15.12.2003 Beiträge: 150	häh? tut leid, aber ich versteh nur Bahnhof...

13.09.2004, 10:57	#8
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	bei vielen wlan routern kannst angeben ob vom wlan ins lan oder nur ins internet groutet werden soll, sollte genau dass sein was du suchst. Intranet zugriff funzt dann halt nicht. ____________________________________ Greetings LouCypher

15.09.2004, 18:41	#9
funkybrain Senior Member Registriert seit: 19.09.2001 Beiträge: 191	IPSEC! Alle deine PCs, verschlüsselst du mit IPSec für den Adressbereich von 192.168.0.0 bis 50 (exklusive Router!) und für den restlichen Verkehr sperrst du deine Hosts, also alles was 192.168.0.50 und höher ist soll dein IPSec abweisen (exklusive Router!) Somit kannst du in deinem Netz verschlüsselt operieren und unverschlüsselt zum Standardgatway und dein mitsurfender Freund surft unverschlüsselt in seinen IP Bereich und kann ebenfalls auf den Gateway zugreifen! Fragen ?? ____________________________________ MfG \"640k ought to be enough for anybody\" Bill Gates, 1981 \"There is no place like ::1\"

15.09.2004, 19:15	#10
justsmile Senior Member Registriert seit: 15.12.2003 Beiträge: 150	Perfekt! Ich hab von dem IPSEC schon mal was in Zusammenhang mit VPN gelesen. Fragen? JA! + Wird das Netz dann nicht auch langsamer? + Muß ich das nur auf dem Server (Linux) oder auf allen Clients auch installieren + Ich habe keinen Router 192.168.0.1: Server/Firewall/Einwahl 192.168.0.2: WLAN-AP 192.168.0.3-50: Ich (alles) 192.168.0.50-254: Rest (nur Internet) Verbindung zu Nachbar (IP über .50) sollte über WLAN gehen, ich selbst (IP unter .50) will aber auch noch über WLAN rein

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)