Bestimmte IP-Adresse für bestimmte Nutzer im LAN sperren

Internet Internet Sicherheit
#1

Hallo :smile:

leider hab’ ich mit der suche nichts gefunden.

Wie kann ich mit „Hausmitteln“ bestimmte IP-Adressen im lokalen Netzwerk für bestimmte User sperren?

Zugegriffen wird mit Handy, PC und Tablet.

Besten Dank im voraus.

Paul

#2

Gar nicht.

Gruß,
Steve

#3

Hallo,

was genau willst Du machen? IP-Adressen sind jetzt nicht unbedingt das beste Kriterium für entsprechende Ansätze. Da gibt es andere Möglichkeiten, die je nach Zweck der ganzen Veranstaltung besser sein dürften.

Z.B. kannst Du natürlich einen Proxy aufsetzen, der den Standard-Gateway spielt, und die Nutzer über eine Anmeldung identifiziert, und dann bestimmte Zieladressen ermöglicht, oder auch nicht.

Gruß vom Wiz

#4

Hallo Wiz,

konkret geht es um die Haustechnik.
Bisher wird ein Gerät über das LAN eingestellt bzw bedient. Mittel- bzw. langfristig sollen es nach und nach alle Geräte im Haus können.

Aktuell basiert die Steuerung auf einem Raspberry Pi (PowerPi).
Da das Gerät Schaltungstechnisch noch nicht sooo :wink: ausgereift ist (ist eher eine Bastellösung), hat falsches Schalten durchaus negative Folgen.

Da ich weiß wie das Gerät zu bedienen ist, hab’ ich mit diesem Handicap kein Problem.

Sollte jetzt allerdings (natürlich rein zufällig) die Kids auf die Seite des Gerätes kommen und da schalten, wäre das mehr als Sch…

Die Lösung die ich suche sollte nicht allzu aufwendig sein, und lösungen a’la LAN - Kabel ausstecken sind nicht praktikabel.

Gruß :smile:

#5

Hallo,

grundsätzlich kannst Du so eine Proxy-Geschichte ebenfalls mit einem PI machen. Es gibt fertige Images mit Squid. Der kleine Nachteil des PI ist der, dass er nur eine LAN-Schnittstelle onboard hat. Für einen Proxy im Sinne eines vorgeschalteten Zwangsproxys braucht es aber zwei LAN-Schnittstellen. Die zweite Schnittstelle kann man natürlich über einen USB WLAN-Stick zur Verfügung stellen, aber das geht dann natürlich schon ins Basteln. D.h. dann würdest Du den Proxy mit der LAN-Schnittstelle ins vorhandene Netz nehmen, und die beiden PIs nur noch über das durch den Proxy abgesicherte WLAN miteinander sprechen lassen (oder von mir aus auch umgekehrt). Besser für solche Spielchen wären Einplatinen-Lösungen mit zwei Schnittstellen onboard. Die kosten aber dann schon ein paar Euro mehr.

BTW: Die PowerPI-Geschichte habe ich mir auch mal angesehen und überlegt, bin aber aufgrund des fehlenden Rückkanals dann doch gerade eben auch aus Sicherheitsgründen davon abgekommen. Du weißt halt nie, ob ein Befehl tatsächlich erfolgreich war, ob nicht jemand zwischendurch manuell geschaltet hat, und kannst Dich daher nie auf einen Schaltzustand verlassen.

Gruß vom Wiz

#6

Hi :smile:

vorhanden ist eine FritzBox 7360.

Die meisten Geräte im Haus haben feste IP-Adressen.
Variable über den DHCP der FB eigentlich nur die Smartphones und Tablet.
PC, Drucker, NAS etc. und eben bisher der einzige Raspberry haben eine feste IP-Adresse.

Letzendlich soll eigentlich nur 2 oder 3 feste IP-Adressen (bzw. definierte Geräte) Zugriff auf den „zu sperrenden“ Bereich haben.

192.168.0.1 FB
192.168.0.2 PC
.
. etc
.
192.168.0.20 RaspberryPi
.
.
192.168.0.150 Smartphone XY
.
192.168.0.153 Tablet
.
192.168.0.162 Sonstiges (Gast etc.)

Jetzt soll quasi der Zugriff auf 192.168.0.20 von allen Geräten ausser von 192.168.0.2, 192.168.0.150 und 192.168.0.151 unterbunden/verhindert werden.

Gruß :smile:

#7

Hallo,

Jetzt soll quasi der Zugriff auf 192.168.0.20 von allen
Geräten ausser von 192.168.0.2, 192.168.0.150 und
192.168.0.151 unterbunden/verhindert werden.

Das Werkzeug der Wahl wäre „iptables“

http://www.gtkdb.de/index_36_2167.html
https://www.tu-chemnitz.de/urz/archiv/kursunterlagen…

HTH,

Sebastian

#8

Hallo,

Jetzt soll quasi der Zugriff auf 192.168.0.20 von allen
Geräten ausser von 192.168.0.2, 192.168.0.150 und
192.168.0.151 unterbunden/verhindert werden.

Das Werkzeug der Wahl wäre „iptables“

… aber nur, wenn Du dem, was im internen Netz passiert wirklich traust. Die IP-Adresse als Kriterium für eine Authentifizierung ist generell keine sehr gute Idee.

Gruß,

Sebastian

#9

Hallo,

der Aufwand soll den Nutzen nicht übersteigen.
Das ganze soll ohne großen Aufwand zu betreiben sein, bzw. vor Zugriff geschützt werden…

#10

Hallo,

führst Du Selbstgespräche oder antwortest Du auf ein spezeillen Beitrag?

der Aufwand soll den Nutzen nicht übersteigen.

Da wir den Nutzen nicht kennen, ist der erträgliche Aufwand nicht abzuschätzen. Wenn iptables jedoch zu viel Aufwand ist, dann kann es mit dem Nutzen nicht weit her sein …

Das ganze soll ohne großen Aufwand zu betreiben sein, bzw. vor
Zugriff geschützt werden…

Ähh … ja. Klar.

Sebastian