Mit Regel Gerät vom Internet abkoppeln

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Mit Regel Gerät vom Internet abkoppeln

Beitrag von mrHS »

Hallo zusammen,

ich versuche gerade per Firewall Regel eine IP Kamera vom Internet abzukoppeln. Sie soll nur innerhalb des LAN genutzt werden und selbst nicht ins Internet dürfen.

Dazu habe ich folgende Regel angelegt, allerdings hat die Kamera noch immer Zugang:

Protokolle: ANY
Quelle: %A192.168.1.88 (IP der Kamera)
Ziel: %HINTERNET (so heißt mein INternet Verbindung)
Aktionen: REJECT

Die Regel ist auch aktiv... allerdings ist mir nicht klar, wo der Fehler liegt.
Könnt ihr mir weiterhelfen?

Vielen Dank
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Mit Regel Gerät vom Internet abkoppeln

Beitrag von C/5 »

Hall mrHS,

im Prinzip ist das so. Wenn es auch in einem Detail bei mir geringfügig anders ist (VLAN kannst Du ignorieren):
host_vom_inet_ausschliessen.JPG
Ich meine ANYHOST bei mir statt %HInternet bei Dir. Allerdings arbeite ich i.d.R. mit Lanconfig und nicht via Browser.
Der QNAP soll nirgendwohin Verbindung haben, außer in seinem eigenen Netz. %HInterent wäre nur eine Möglichkeit bei mir, zu der er eine Verbindung aufbauen könnte.

Bist Du sicher, dass die Cam diese IP hat? Statisch konfiguriert oder per DHCP-Reservierung? Wenn letzteres, funktioniert das?
Setzt Du vielleicht auch noch einen Proxy ein? Dann kann die IP zwar nicht direkt, aber via Proxy (wenn transparant) weiter ins Internet.
Hast Du die Verbindung zum Lancom mal getrennt? Ich weiß nicht sicher, wie ein Lancom bereits bestehende Verbindungen handhabt, wenn diese in dem Status durch eine neue Regel verboten werden. Kann sein, dass die Verbindung offen bleibt, bis die Regel erst beim nächsten Verbindungsversuch dann greift.

Gruß
C/5
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Mit Regel Gerät vom Internet abkoppeln

Beitrag von C/5 »

Kleiner Nachtrag: setz mal die Priorität Deiner Regel auf 1, vorausgesetzt alle anderen Regeln sind auf Prio 0, damit Deine 'Blockierregel' vor ggf. anderen Regeln greift. Ich nehme an, dass HTTP/HTTPS und änliche übliche Protokolle bei Dir zugelassen sein werden, basierend auf einer Deny-all-Strategie. In den meisten Regeln ist dann nicht angehakt, dass weitere Regeln beachtet werden sollen. Insofern kommt die Kamera vielleicht durch, bevor die Regel zur IP-Adresse der Kamera durchlaufen wird.

Gruß
C/5
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Mit Regel Gerät vom Internet abkoppeln

Beitrag von plumpsack »

mrHS hat geschrieben: 28 Dez 2019, 11:21 ich versuche gerade per Firewall Regel eine IP Kamera vom Internet abzukoppeln. Sie soll nur innerhalb des LAN genutzt werden und selbst nicht ins Internet dürfen.
Warum löschst du nicht das Gateway in der Kamera?
:G)
mrHS
Beiträge: 35
Registriert: 12 Okt 2019, 09:49

Re: Mit Regel Gerät vom Internet abkoppeln

Beitrag von mrHS »

Erstmal ein frohes neues Jahr euch allen. Vielen Dank für eure Antworten.

Zum Thema Gateway: Es handelt sich um eine Foscam-Kamera, die es mir nicht erlaubt, das Gateway zu löschen. Ich kann auch keine falsche IP für das Gateway eingeben, da erhalte ich auch eine Fehlermeldung und die Eingaben werden nicht gespeichert.
Daher wollte ich sie in der Firewall des Lancom sperren, bevor sie nach draußen geht.

Ich habe jetzt mal ANYHOST gesetzt und die Priorität auf 1 gestellt. Testweise habe ich mal die IP meines Laptops eingegeben. Ich kann manche Seiten nicht mehr aufrufen, dafür kann ich aber weiterhin google.de oder den PlayStore aufrufen :G) Vielleicht war das noch im Cache - komisch ist das aber schon. Grundsätzlich scheint es aber zu funktionieren, zumindest komme ich auf sonst keine Seiten mehr.

Kann ich eigentlich in einer Regel auch eine IP-Range absperren? Also z.B. von 192.168.1.80 bis 192.168.1.90 alle auf einmal. Oder muss man das einzeln eingeben?
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: Mit Regel Gerät vom Internet abkoppeln

Beitrag von C/5 »

mrHS hat geschrieben: 02 Jan 2020, 07:14 Erstmal ein frohes neues Jahr euch allen. Vielen Dank für eure Antworten.
Dito. Bitte.

Wenn Du also die Gateway-Adresse nicht löschen oder bewußt falsch eintragen kannst, wie kommt die CAM an ihre Adresse? Doch DHCP?

Zur Frage IP-Adressbereich aussperren: ja. In Lanconfig heißt es an der relevanten Stelle 'Von IP-Adresse:' und 'Bis IP-Adresse:'. Das wird dann über das WebUI wohl auch möglich sein.

Hört sich aber nach Unsicherheit an, ob die CAM wirklich immer besagte IP hat und nach 'besser gleich eine ganze Range sperren'. Sollte das so sein, wirst Du damit nicht glücklich werden. Es liegt in der Natur von DHCP, dass Devices nicht immer dieselbe IP-Adresse erhalten. Da müsstest Du fortan ständig im Sinn haben, dass eine Range gesperrt ist und deshalb vielleicht ein Gerät in Deinem Netzwerk gerade keine Verbindung bekommt, weil es zu dem Zeitpunkt in der gesperrten Range liegt.

Gruß
C/5

P.S.: Kann mir nicht vorstellen, dass man einer Foscam nicht auch eine statische IP konfigurieren kann, habe aber auf die Schnelle nichts dazu gefunden. Andererseits bekommt man sofort eine Menge Treffer zu Sicherheitsproblemen mit den Dingern. Die nicht mehr ins Internet zu lassen ist sicher eine gute Idee.
Antworten