ubuntuusers.de

Internet-Filter per IP-Alias

Status: Ungelöst | Ubuntu-Version: Ubuntu 14.04 (Trusty Tahr)
Antworten |

whocares02

(Themenstarter)

Anmeldungsdatum:
11. Januar 2013

Beiträge: 454

Jetzt mal abwarten was der TE noch für Überlegungen hat.

Damit bin ich wohl gemeint. Tja, ich komme ehrlich gesagt nicht mehr ganz mit. Ich kann aber schonmal die Vermutung wiederlegen, dass alles per WLAN funktionieren soll. Das habe ich weder gedacht, noch geplant oder gar geschrieben. Die WLAN-Funktion wird derzeit nur von zwei Geräten genutzt. Primär dient der OpenWRT-Router als NAS. Das WLAN im Roueter dient als reiner AP, falls die Reichweite des WLANs des Internetrouters nicht ausreicht. Alles was damit verbindet soll auch ganz normal Internet kriegen.

Zu dem "Overkill": Mir fallen spontan fünf Geräte ein, die (fast) kein Internet kriegen sollen. Per IPtable müsste ich dann ja für alle fünf Geräte Ausnahmeregeln schreiben. Das wird schnell unübersichtlich und dadurch fehleranfällig. Wenn dann noch irgendwas passiert, zum Beispiel dass der Hauptrouter abstürzt und die Config weg ist (schon passiert), dann sind zum Beispiel alle fest vergebenen IP-Adressen weg. Die OpenWRT-Firewall-Einstellungen wären dann nutzlos und dynamisch vergebene IPs können ja zwanglos in's Internet (gerade wegen den WLAN-Geräten, meistens Handys).

Ich glaube immernoch, dass es am einfachsten ist, den bestimmten Geräten eine Gateway-Adresse bereitzustellen, über die fast nichts erreichbar ist. Das ist übersichtlich, ausfallsicher und stört die sonstige Netzwerkkonfiguration nicht.

Welche Lösung dafür jetzt ideal ist, habe ich leider noch nicht durchschaut, aber vielleicht sollte ich mir den Threat nochmal in Ruhe durchlesen und dabei ein wenig googlen.

Hans9876543210

Anmeldungsdatum:
2. Januar 2011

Beiträge: 3741

Moin.

whocares02 schrieb:

Würde ich einfach die Firewall auf dem NAS einschalten, beträfen die Regeln vermutlich alle Geräte, die per WLAN mit dem NAS verbunden sind. Firewall-Einstellungen auf dem Internetrouter würden das ganze LAN betreffen.

Ich hatte das so verstanden, dass das nur für die WLAN Teilnehmer gilt. Vorschlag: mach doch erstmal eine Übersicht der vorhandenen Netzwerkkomponenten und den jeweiligen Teilnehmern (Netzplan wäre hilfreich). Aktuell sehe ich es als die beste Möglichkeit, wenn du ein zweites WLAN aufspannst und dort nur den Traffic zum ersten WLAN erlaubst. Das kommt deiner Lösung (kein Gateway) sehr nah. Danach würde ich mich um die LAN Teilnehmer kümmern. An welchem Switch kommen die an?

whocares02

(Themenstarter)

Anmeldungsdatum:
11. Januar 2013

Beiträge: 454

Was habt Ihr nur immer mit Eurem WLAN? Die meisten Geräte sind per LAN mit dem Internetrouter verbunden, teilweise mit einem Switch dazwischen. Einige WLAN-Geräte kommen natürlich hinzu, sind doch aber unwichtig. Das WLAN am OpenWRT ist stumpf mit dem lokalen Netz verbunden. Auch die IP-Adressen für Geräte am OpenWRT werden vom Hauptrouter aus vergeben (wie alle Adressen im lokalen Netz). Es gibt keine Subnetze oder irgendwelchen Schnickschnack. Ob ein Gerät sich per WLAN mit dem Hauptrouter oder dem OpenWRT-Router verbindet ist egal. Sogar die SSID ist identisch, weil ich das so eingestellt habe. Dadurch verbinden sich Geräte automatisch mit dem stärkeren Signal (jedenfalls theoretisch).

Um einen alternativen Gateway-Server bereitzustellen, ist doch aber das WLAN unwichtig - oder irre ich mich da?

Skizze ist jedenfalls im Anhang.

Edit:

Vielleicht sollte ich noch erwähnen, dass auf dem OpenWRT-Router bislang keine Firewall läuft. Das Gerät ist also ein reiner Client im Netz, genau wie alle anderen Geräte im LAN. Das habe ich so eingestellt, damit WLAN-Geräte am OpenWRT-Router auch ganz sicher und ungefiltert mit dem LAN verbinden: Das NAS hat somit also für WLAN-Geräte eine Repeater-Funktion im ursprünglichen Sinne.

Bilder

Hans9876543210

Anmeldungsdatum:
2. Januar 2011

Beiträge: 3741

Moin!

whocares02 schrieb:

Was habt Ihr nur immer mit Eurem WLAN?

VLAN und WLAN sein ein Unterschied.

Skizze ist jedenfalls im Anhang.

Also nach der Skizze würde ich sämtliche Firewall Einstellungen beim "Internetrouter" durchführen. Was ist denn das für ein Gerät und welche Optionen bietet es diesbezüglich?

whocares02

(Themenstarter)

Anmeldungsdatum:
11. Januar 2013

Beiträge: 454

Hans9876543210 schrieb:

VLAN und WLAN sein ein Unterschied.

eben.

Hans9876543210 schrieb:

Also nach der Skizze würde ich sämtliche Firewall Einstellungen beim "Internetrouter" durchführen. Was ist denn das für ein Gerät und welche Optionen bietet es diesbezüglich?

Das ist glaube ich ein Linksys-Router. Natürlich hat er eine Firewall. Aus genannten Gründen will ich da aber nicht d'ran rumspielen.

Hans9876543210

Anmeldungsdatum:
2. Januar 2011

Beiträge: 3741

Moin.

Also der Hauptrouter ist tabu? Wenn dann nur beim Openwrt (mit dem repeater WLAN) rumbasteln?

Also für mich würde das keinen Sinn machen, da man dann einfach zu Haupt WLAN AP gehen könnte, um ungefiltert per WLAN zu surfen. Bei kabelgebundenen Clients würde ein Filter auch nur dann relevant sein, wenn alle an den Openwrt gepatcht sind. Kannst du ausschließen, das sich die Clients an einen anderen Switch klemmen?

Für mich ist das ganze Setup etwas unstruktiert. Etwas anderes als zentral auf dem Linksys zu filtern würde ich nicht machen.

whocares02

(Themenstarter)

Anmeldungsdatum:
11. Januar 2013

Beiträge: 454

Ich will ja aber gar nichts zentral filtern. Außerdem steht da ja schon wieder "WLAN".

Der OpenWRT-Router soll einen alternativen Gateway-Server anbieten können. Einer, der nicht in's Internet weiterleitet. Einfach eine alternative IP-Nummer, die ich in die Geräte eintragen kann. Ist denn das so schwer?

Hans9876543210

Anmeldungsdatum:
2. Januar 2011

Beiträge: 3741

Das was du willst, geht imho nicht. Wie will denn der Router erkennen, welche Clients ins Netz (WAN) sollen oder eben nicht ins Netz sollen? Du brauchst ja ein Unterscheidungsmerkmal.

misterunknown Team-Icon

Ehemalige
Avatar von misterunknown

Anmeldungsdatum:
28. Oktober 2009

Beiträge: 4403

Wohnort: Sachsen

Wenn das OpenWRT-System eh kein Default-Gateway im Netz ist, dann würde ich einfach ein Subnetz für alle Geräte machen, die nicht ins Internet sollen, und dort das NAS als Gateway einstellen. Dort kannst du dann alle iptables-Regeln auf dem Quellnetz basierend konfigurieren.

Wenn du kein separates Subnetz willst, kannst du am NAS eine Netzwerkbrücke erstellen und dort zwei Interfaces mit separaten IPs konfigurieren. Dann kannst du in den iptables-Regeln das Interface als Kriterum nehmen.

whocares02

(Themenstarter)

Anmeldungsdatum:
11. Januar 2013

Beiträge: 454

misterunknown schrieb:

Wenn du kein separates Subnetz willst, kannst du am NAS eine Netzwerkbrücke erstellen und dort zwei Interfaces mit separaten IPs konfigurieren. Dann kannst du in den iptables-Regeln das Interface als Kriterum nehmen.

Ja, das hört sich doch brauchbar an. Ich glaube sowas suche ich. Ich hatte das nur so verstanden, dass das nicht geht.

Wenn ich mich recht erinnere erlaubt die Weboberfläche von OpenWRT nämlich eine Firewallkonfiguration pro Interface. Wenn ich also ein Interface kreieren könnte, mit eigener MAC und eigener IP, die gebridged ist (wie du vorgeschlagen hast), dann müsste mein Plan funktionieren. Dann hätte ich das normale Interface (den physischen LAN-Anschluss) mit vollem Netzzugriff und das künstliche Interface mit eigener IP. Das erlaubt dann nur ganz wenige Verbindungen. Soweit jedenfalls die Theorie.

Antworten |