Tomy Tom 10 Geschrieben 22. Mai 2006 Melden Teilen Geschrieben 22. Mai 2006 Ein Kunde von uns benutzt auf dem SBS2003 mit Routing und RAS um über den SBS2003 den Clients den Zugriff auf das Internet zu gewähren. Auf dem ROUTER sind die entsprechenden Ports geöffnet, alle anderen werden blockiert. Jetzt soll ein neuer Client in die Domäne aufgenommen werden, auf dem spezielle und wichtige Daten liegen sollen. Dieser Client soll sich an der Domäne anmelden und auch auf die entsprechenden Freigaben auf dem SBS2003 Server zugreifen können, allerdings soll Ihm der Zugriff auf das Internet verboten werden. Eigentlich wäre dies eine Sache für den ISA SERVER, aber der Kundenwunsch ist das der ISA SERVER nicht installiert wird (Gründe hat er eher nicht genannt, sondern eher Ausreden, aber der Kunde ist nunmal König und hat ja auch immer Recht ;) ). Die Windows Firewall kann man auf jeden Fall nicht mehr starten, da laut Meldung die Datei IPNAT.SYS von einem anderne Programm oder DIENST ausgeführt wird (klar Routing und RAS hat ja den Eintrag der BASIS FIREWALL aktiviert). Jetzt stellt sich mir die Frage und Aufgabe ob man mit Routing und RAS die Sache bewältigen kann, so das nur dieser eine Client keinen Internetzugang bekommt. Ist dies überhaupt mit Routing und RAS möglich ?? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Mai 2006 Melden Teilen Geschrieben 22. Mai 2006 Du kannst mit dem RRAS doch Eingehende und/oder Ausgehende Filter setzen (z.B. IP-Adressen basierend) ... Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 22. Mai 2006 Autor Melden Teilen Geschrieben 22. Mai 2006 Thx für die Antwort. Wenn ich das nun richtig verstehe muß ich nur folgendes machen: In RRAS auf der EXTERNEN NETZWERKKARTE den AUSGEHENDEN FILTER mit folgenden Eigenschaften eingeben: Quellnetzwerk = Interen IP des Clients Subnetmaske = Subnetz des Clients Protokoll = TCP Quellport = 80 Zielport = 80 In der Filterfunktion setze ich dann noch Alle Pakete übertragen außer den Paketen die unten aufgeführten Kriterien erfüllen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. Mai 2006 Melden Teilen Geschrieben 22. Mai 2006 Ich würde es an der internen Schnittstelle mit eingehenden Filtern konfigurieren. Angenommen, der Client hat 192.168.100.100/24, dann würde ein Filter Quelladresse : 192.168.100.100 Quellmaske: 255.255.255.255 Ziel: nichts konfigurieren, also alle Protokoll: TCP Port : Quellport leer (also alle), Zielport 80 Alle Pakete empfangen außer ... dann kann er nicht mehr surfen, alles andere aber schon noch ... Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 24. Mai 2006 Autor Melden Teilen Geschrieben 24. Mai 2006 Hmm ich hab mal meine Variante getestet und damit kam der Client in's I-Net. Bei Deiner Variante ist das zwar nicht mehr der Fall, aber dafür kommt auch kein anderer Client mehr über den Server in das I-Net. Ich denke das Problem liegt daran das es sich um zwei Subnetze handelt. Das INTERNE Subnetz hat eine 10.2.24er Range, welche im C-Class Subnetz aufgebaut wurde (weiß nicht wer das gemacht hat, dies war vor unserer Zeit). Die EXTERNE Netzwerkkarte liegt im 192.168.0er Netz und an diesem ist auch der ROUTER angeschlossen. Leider kann ich keine andere IP Range im INTERNEN Netz einstellen, da diverse Software im Einsatz ist, welche speziell für das LAN programmiert wurde und diese IP Range intern programmiert hat. Dumm ist nur das die Firma die diese Software entworfen und geliefert hat schon seit Jahrn nicht mehr auf dem Markt ist und somit niemand greifbar ist der diese eventuell umstellen oder ändern könnte. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 24. Mai 2006 Melden Teilen Geschrieben 24. Mai 2006 Hast Du auch 255.255.255.255 eingegeben ? edit : Ich habe es nochmal überprüft, dieser Filter arbeitet so wie er soll, er sperrt diesem einen Client den Zugriff auf Port 80, jeder andere Client hat keine Einchränkung ... Zitieren Link zu diesem Kommentar
Tomy Tom 10 Geschrieben 29. Mai 2006 Autor Melden Teilen Geschrieben 29. Mai 2006 Thx für die Antwort, ich hatte den Filter doch glatt an der FALSCHEN ENTZWERKKARTE angelegt. Bei diesem RRAS sehe ich in der NAT/Firewall 3 Netzwerkkarten, 2 x für das INTEREN NETZ (die 10er Range) und eine für das EXTERNE NETZ (192er Range). Ich hatte zuerst die erste INTERNE Netzwerkkarte genommen und dort funktionierte dies leider nicht, erst als ich die 2. INTEREN Netzwerkkarte ebenfalls mit dem Filter konfiguriert habe hat es dann geklappt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.