Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Kommunikation auf gleicher Netzebene in der Cisco ASA 5510

Mitglied: Andre-W-1984

Andre-W-1984 (Level 1) - Jetzt verbinden

13.01.2011 um 17:44 Uhr, 4437 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe momentan hier einen externen Rechner stehen, der nur über RDP, sprich Port 3389 von außen zu erreichen sein soll. Soweit so gut.
Der Rechner bekommt von unserem DHCP eine IP und hängt damit im gleichen Segment wie unsere anderen Clients und Drucker.

Wir haben eine Cisco ASA 5510 Firewall und bisher habe ich folgende Einstellungen getätigt:

  • NAT Rule für IP des Rechners nach außen (nur RDP)
  • RDP Freigabe für ein bestimmtes Gateway nach außen

Das klappt auch alles.

Jetzt soll der Rechner aber auch ins Internet können. Auch das klappt, allerdings nur, wenn ich dem Rechner erlaube, den DNS und DHCP Server der Firma zu finden bzw. mit diesem zu kommuniziere.
Klar, die Namensauflösung muss ja geschehen.

Nun ist es aber so, dass durch diese Umstände der Rechner auch mit anderen Clients und Drucker aus dem Segment kommunizieren kann. Das möchten wir natürlich verhindern.
Schalte ich die AccessRule ab, die besagt, dass Port 53, 67 und 68 frei für den Rechner sind, kommt er auch nicht mehr ins Internet.

Wie kann ich nun am besten den Rechner ins Netz lassen, dabei aber die Kommunikation auf gleicher Netzebene untersagen?

Danke schon mal!
Mitglied: aqui
13.01.2011 um 17:53 Uhr
Warum versuchst du es nicht mit einer Host ACL (32 Bit Maske) und Port 53 auf den DNS wie es in solchen Fällen üblich ist ?? Damit kann dieser Client dann nur und ausschliesslich intern mit dem DNS kommunizieren und dein Problem ist gelöst ??
Bitte warten ..
Mitglied: Andre-W-1984
14.01.2011 um 08:19 Uhr
In der Firewall ist ja eine Regel hinterlegt, die dem Client Zugriff auf Port 53, 67 und 68 erlaubt.
Auf der anderen Seite habe ich ebenfalls eine Regel hinterlegt, die dem Client den Zugriff auf das gesamte Servernetz (DMZ) verweigert. Also z.B. kein Zugriff mit \\IP etc.

Funktioniert auch soweit.

Das Problem was ich momentan allerdings habe ist:

Der PC soll zwar ins Internet können aber NICHT mit anderen Clients kommunzieren dürfen. Dadurch, das er vom DHCP eine IP bekommen hat, befindet er sich im gleichen Netzsegment wie die anderen Clients. Soweit ja auch ok, nur soll er z.B. nicht einen anderen Client anpingen können oder evtl. auf eine Freigabe gelangen. Natürlich erscheint im Vorfeld die übliche Windows Loginmaske, allerdings möchte ich es möglichst restriktiv halten.

Nehme ich nun die Regel heraus, die besagt, dass der Clinet Zugriff auf Port 53 und co hat, kommt er auch nicht mehr ins Internet.

Ist es denn überhaupt möcglich, einen Client ins Internet zulassen, allerdings auf gleicher Netzebene keine Verbindung zu anderen Clients aufbauen zu können?
Bitte warten ..
Mitglied: aqui
14.01.2011 um 20:40 Uhr
Wenn dieser Client in exakt demselben IP Segment ist wie der Rest der Clients ist das so nicht möglich bzw. mit der ASA nicht lösbar, denn du hast ja eine komplett transparente Layer 2 Kopplung dieser Clients. Eine L3 ACL greift da nicht mehr.
Denkbar wäre alle Clients in einem sog. Private VLAN zu konfigurieren aber m.E. supportet das die ASA nicht. Ggf. solltest du mal das Handbuch checken.
Ansonsten wäre noch eine Mac basierte ACL denkbar. Dazu müsstest du aber diesen Client portspezifisch konfigureiren und alle Macs der Rest Clients in eine ACL setzen. Das ist dann ziemlich statisch und sowie einer den Port dieses Clients wechselt oder andere Rectclients dazukommen musst du die ACL wieder anpassen...ist nicht besonders Adminfreundlich und wackelig...aber machbar so.
Besser ist du isolierst diesen Client in ein separates VLAN und gut ist...das ist wenigstens wasserdicht !
Bitte warten ..
Ähnliche Inhalte
Firewall

Zugriff auf CISCO ASA 5510 herstellen und Werkseinstellungen herstellen

Frage von Stefan007Firewall5 Kommentare

Hi Leute, ich bin langsam echt ratlos. Ich habe eine Firewall aus einer Hardwareauflösung bekommen und will das Teil ...

LAN, WAN, Wireless

Cisco ASA hinter Router mit NAT

gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing

Cisco Asa VPN Fragen

Frage von brooksRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

LAN, WAN, Wireless

Cisco ASA Passwort Reset

Anleitung von YannoschLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Windows Server
HyperV Failover Cluster Konzeption und Aufbau
Frage von snowboard86Windows Server5 Kommentare

Hallo liebe KollegInnen, Ich habe eine Frage zu Hyper V Failover-Clusters. Wir sind ein mittelständisches Handelsunternehmen und haben aktuell ...