Wie Zugriff auf Management-LAN korrekt verhindern?
Hallo nochmal,
mein Management-LAN hat die IP-Range 192.168.254.0/24 und es liegt (neben diversen VLANs) untagged auf eth0 an.
Aktuell hab ich eine Firewall-Regel MANAGEMENT_OUT erstellt mit der Default Action drop und dem interface eth0.
Als Regeln innerhalb von MANAGEMENT_OUT habe ich für jede IP-Range, die auf das Management-LAN zugreifen dürfen soll eine accept Regel erstellt, wobei ich die zugreifende IP-Range als source angegeben habe.
Ist das so richtig?
mein Management-LAN hat die IP-Range 192.168.254.0/24 und es liegt (neben diversen VLANs) untagged auf eth0 an.
Aktuell hab ich eine Firewall-Regel MANAGEMENT_OUT erstellt mit der Default Action drop und dem interface eth0.
Als Regeln innerhalb von MANAGEMENT_OUT habe ich für jede IP-Range, die auf das Management-LAN zugreifen dürfen soll eine accept Regel erstellt, wobei ich die zugreifende IP-Range als source angegeben habe.
Ist das so richtig?
Please also mark the comments that contributed to the solution of the article
Content-Key: 304555
Url: https://administrator.de/contentid/304555
Printed on: April 17, 2024 at 18:04 o'clock
3 Comments
Latest comment
Moin,
Wir haben sogar "Hop"-Server in den VLANs stehen. Sprich die Admins gehen per RDP bzw. SSH auf den "Hop"-Server und von dort aus ist es erst möglich, auf die Netzwerk-Geräte zuzugreifen.
Gruß,
Dani
Als Regeln innerhalb von MANAGEMENT_OUT habe ich für jede IP-Range, die auf das Management-LAN zugreifen dürfen soll eine accept Regel erstellt, wobei ich die zugreifende IP-Range als source angegeben habe.
Könnten man noch auf einzelene IP-Adressen und Protokolle herunterbrechen.Wir haben sogar "Hop"-Server in den VLANs stehen. Sprich die Admins gehen per RDP bzw. SSH auf den "Hop"-Server und von dort aus ist es erst möglich, auf die Netzwerk-Geräte zuzugreifen.
Gruß,
Dani