Einzelnen Computer in einem Schritt per Firewall sperren oder vom Nachbarnetz trennen

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
problemkunde40
Beiträge: 25
Registriert: 20 Mär 2019, 12:49

Einzelnen Computer in einem Schritt per Firewall sperren oder vom Nachbarnetz trennen

Beitrag von problemkunde40 »

Hallo Lancom-Freunde.

Ich würde gerne wissen, wie man am einfachsten im Lancom-Router einen einzelnen Computer oder sonstigen Client mit der Firewall sperren kann, also dem Computer den Zugriff ins Internet oder in andere lokale Netze entziehen. Gibt es hierfür eine gängige Vorgehensweise, ohne für jeden derartigen Computer ein eigenes IPv4- und IPv6-Netz und VLAN zu erstellen und jeweils einen eigenen Netzwerkanschluss an einem extra Switch bereitzustellen, an dem das VLAN ausgegeben wird (Access-Port)?

Angenommen, man weist dem Computer per DHCP immer dieselbe IPv4-Adresse zu, könnte man diese in der IPv4-Firewall leicht sperren, aber dann wäre der Computer noch per IPv6 verbunden und die ändert sich ja üblicherweise (SLAAC). Nehmen wir der Einfachheit halber an, dass die Netzwerkkonfiguration des Computers unter unserer Kontrolle ist, denn ein fremder Nutzer könnte sich selbst ja eine andere IPv4-Adresse geben, um die Sperre zu umgehen.

Lässt sich so etwas anhand der MAC-Adresse realisieren, um den Computer je nach Bedarf oder Laune in einem Schritt zu sperren oder freizugeben? Auch hier nehmen wir einfach mal an, dass es sich nicht um ein fremdes Gerät handelt, dessen Besitzer ja seine MAC-Adresse ändern könnte.
Was ich probiert habe:

Für den IPv4-Traffic:
Firewall > IPv4 Rules > Object table > Add
Value: "%E" gefolgt von der MAC-Adresse ohne Doppelpunkte (%Ef46d...)
(Wo ist diese Syntax eigentlich dokumentiert?)
Dann in der IPv4-Firewall eine neue Regel mit diesem Stationsobjekt als Quelle, ANYHOST als Ziel und REJECT als Aktion.

Und für den IPv6-Traffic:
Firewall > IPv6 Rules > Station objects > Add
Type: Host identifier
In der Dokumentation steht zwar, dass man hier "MAC address" auswählen können soll, aber dieser Eintrag fehlt in der Auswahlliste:
https://www.lancom-systems.com/docs/LCO ... jects.html
Nach einiger Sucherei hat sich herausgestellt, dass man einen Doppel-Doppelpunkt gefolgt von der EUI64-Adresse eingeben muss. Also schnell die MAC-Adresse heraussuchen und umrechnen lassen:

Code: Alles auswählen

$ ipv6calc --mac_to_eui64 f4:6d:04:12:34:56
No action type specified, try autodetection...found type: geneui64
f66d:4ff:fe12:3456
Address: ::f66d:4ff:fe12:3456
Dann in der IPv6-Firewall eine neue Regel mit diesem Stationsobjekt als Quelle, ANYHOST als Ziel und REJECT als Aktion.

Für eine Workstation hat das sogar funktioniert, für eine VM im selben Netz hingegen nicht.
Jedenfalls lässt sich diese Regel nicht "in einem Schritt" umschalten. Man muss zur IPv4-Regel gehen und das Häkchen entfernen und danach noch das Häkchen bei der IPv6-Regel. Vergisst man einen der beiden Schritte, ist der Computer weiterhin online. Wie lässt sich das in einem Schritt machen?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: Einzelnen Computer in einem Schritt per Firewall sperren oder vom Nachbarnetz trennen

Beitrag von tstimper »

problemkunde40 hat geschrieben: 30 Dez 2022, 15:49 Gibt es hierfür eine gängige Vorgehensweise, ohne für jeden derartigen Computer ein eigenes IPv4- und IPv6-Netz und VLAN zu erstellen und jeweils einen eigenen Netzwerkanschluss an einem extra Switch bereitzustellen, an dem das VLAN ausgegeben wird (Access-Port)?
Nein, wenn es sicher sein soll, geht das nur mittels VLAN und expliziter Deny-ALL Firewall Strategie.
Alle anderen von Dir genannten Möglichkeiten können am Client durch Manipulation (MAC Adresse ändern, IP ändern) umgangen werden.

Wenn Du das dann so aufgebaut hast, also separates VLAN und IP Netz, kannst Du einfach und ggf auch zeitgesteuert ALLOW Firewall Regeln ein und ausschalten.

Willst Du das in jeweils nur einem Schritt an und ausschalten, erstelle Dir einfach ein ON und ein OFF Script, was die Firewall Regel an und ausschaltet.

Das lädst Du dann einfach per Lanconfig oder per SSH auf den Router.

Wir haben das mal als Prototyp mit nem Raspberry Pi gemacht, der hatte dann einen Knopf und bei. Drücken wurde ein Script zum Router geschickt.

Damit hatten wir dann ein WLAN Ein / AUS Schalter.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten