Portbezogene VLANs via Firewall (IPTABLES) Proxy Port sperren
Hallo Allerseits!
Ich bin seit Wochen auf der Suche nach einer Lösung für eine portbezogene, partielle Netzwerksperrung des Internetzugangs.
Irgendwie ist das alles etwas schwierig, weil bestimmte Strukturen beibehalten werden müssen.
Ich versuche zu erklären, IST Zustand ist (Alle IP Adressen im Haus werden via DHCP vergeben und das soll auch so bleiben!)
Server (Hausverteiler) -> Switch (Etagenverteiler) -> Switch(e) (Schulungsräume)
FW; Router GW; Proxy; Switch Je Port, ein Raum Hausnetz (LAN) Internet (Proxy)
SOLL Zustand soll sein
Server (Hausverteiler) -> Firewall -> managebarer Switch (Etagenverteiler) -> Switch(e) (Schulungsräume)
FW; Router GW; Proxy; Switch IPTABLES (Scripte) Je Port ein VLAN, ein Raum Hausnetz (LAN) INternet (Proxy)
Script 1 VLAN Nr.* Internetzugang Proxy Port Nr. * sperren
Script 2 VLAN Nr. * Internetzugang Proxy Port Nr. * freigeben
Das Ganze soll den Sinn haben, dass man in Schulungsraum 1. (VLAN 1) den Internetzugang sperren kann, ohne das Hausnetz (LAN) zu unterbrechen.
Ich bin jetzt schon einige Theorien durch gegangen, da aber DHCP bleiben muss und ich sonst keine Möglichkeit habe, feste IP Adressen zu vergeben, habe ich mir
nun diese Variante ausgedacht. Vielleicht kann mir jemand sagen, ob er schon Erfahrung damit gemacht hat oder ob das grundsätzlich so realisierbar wäre oder eher nicht...
Sprich über Firewall-Regeln (IPTABLES) den Switch anzusprechen (Port Nr./VLAN Nr.) udn somit den Internetzugang (Proxy PortNr.) zu sperren bzw. wieder frei zu geben.
Ich wäre für Tips, Erfahrungen, Anregungen sehr dankbar.
Lieber Gruß
Jotta
Ich bin seit Wochen auf der Suche nach einer Lösung für eine portbezogene, partielle Netzwerksperrung des Internetzugangs.
Irgendwie ist das alles etwas schwierig, weil bestimmte Strukturen beibehalten werden müssen.
Ich versuche zu erklären, IST Zustand ist (Alle IP Adressen im Haus werden via DHCP vergeben und das soll auch so bleiben!)
Server (Hausverteiler) -> Switch (Etagenverteiler) -> Switch(e) (Schulungsräume)
FW; Router GW; Proxy; Switch Je Port, ein Raum Hausnetz (LAN) Internet (Proxy)
SOLL Zustand soll sein
Server (Hausverteiler) -> Firewall -> managebarer Switch (Etagenverteiler) -> Switch(e) (Schulungsräume)
FW; Router GW; Proxy; Switch IPTABLES (Scripte) Je Port ein VLAN, ein Raum Hausnetz (LAN) INternet (Proxy)
Script 1 VLAN Nr.* Internetzugang Proxy Port Nr. * sperren
Script 2 VLAN Nr. * Internetzugang Proxy Port Nr. * freigeben
Das Ganze soll den Sinn haben, dass man in Schulungsraum 1. (VLAN 1) den Internetzugang sperren kann, ohne das Hausnetz (LAN) zu unterbrechen.
Ich bin jetzt schon einige Theorien durch gegangen, da aber DHCP bleiben muss und ich sonst keine Möglichkeit habe, feste IP Adressen zu vergeben, habe ich mir
nun diese Variante ausgedacht. Vielleicht kann mir jemand sagen, ob er schon Erfahrung damit gemacht hat oder ob das grundsätzlich so realisierbar wäre oder eher nicht...
Sprich über Firewall-Regeln (IPTABLES) den Switch anzusprechen (Port Nr./VLAN Nr.) udn somit den Internetzugang (Proxy PortNr.) zu sperren bzw. wieder frei zu geben.
Ich wäre für Tips, Erfahrungen, Anregungen sehr dankbar.
Lieber Gruß
Jotta
Please also mark the comments that contributed to the solution of the article
Content-Key: 108469
Url: https://administrator.de/contentid/108469
Printed on: April 26, 2024 at 11:04 o'clock
1 Comment
Das kommt darauf an was fuer einen Switch du hast. Ist das ein Layer 3 Switch der zwischen den VLANs routen kann, dann schickst du ihm per Script einfach einen Accessliste die das Internet fuer das Schulungs LAN sperrt (oder oeffnet) aber die Kommunikation zum internen LAN immer offen laesst.
Eigentlich einen sehr einfache Sache, den richtigen Switch vorausgesetzt natuerlich !
Ansonsten musst du dieses ACL immer dort aufsetzen wo du zwischen den VLANs routest !!
Eigentlich einen sehr einfache Sache, den richtigen Switch vorausgesetzt natuerlich !
Ansonsten musst du dieses ACL immer dort aufsetzen wo du zwischen den VLANs routest !!