Gastzugang im eigenen LAN

[Haennerson 10]

Hallo zusammen,

 

ich selber finde leider kein Lösung so auf die Schnelle zum Problem.

Wir haben hier ein LAN mit DSL Internetzugang, DMZ - das übliche halt.

Nun möchte man ein "Gast" über das LAN mit seinem eigenen Gerät ins Internet lassen. Ich bin strikte gegen eine solche Anwendung, den User einfach mit dem Laptop ins LAN zu lassen.

 

Wie würdet ihr das lösen?

Ziel wäre es, dass der User nur über Port 80 raus kann, sonst auf keinen Server weder im LAN noch in der DMZ, auch kein Broadcast abhören etc. etc....

 

Müst wohl nochmals einen eigenen Bereich mit Firewall machen.

 

Gruss

Haennerson

[Otaku19 33]

nicht in die domain aufnehmen :)

[Haennerson 10]

nicht in die domain aufnehmen :)

 

ja aber das ist nicht wirklich eine Sicherheit... Den Verkehr kann er trotzdem abhören, könnte Attacken auf Server starten etc.

 

Klar dies sind nun Extrem-Szenarien, aber besser wie nachher vor einem Scherbenhaufen zu stehen.

 

Das mit der Domäne kommt für mich nicht in Frage.

 

Gruss & Dank

[carlito 10]

@ Otaku19

 

Wie schon geschrieben, hat das mit Sicherheit nichts zu zun.

 

@ Haennerson

 

Hast du VLAN fähige Switches?

[BlackShadow 12]

in meiner vorherigen firma habe ich das so gemacht aufgrund dessen das wir KundenPCs hatten die mit Viren voll gewesen sind diese unser netzwerk weitgehend lahm gelegt haben.

 

Habe ich mich dazu entschlossen den DSL Anschluss zu teilen ..

nun ist dort ein LINUX PC mit 3 Netzwerkkarten

 

eine zum router der am DSL hängt

und die beiden anderen Karten ins Firmen und Kunden Netzwerk als software ist dort Linux im einsatz.

 

was auch funktioniert aber nicht so besonderst ist ist ein 2ten router zu betreiben und nur die Ports 80,21,25,110,443 zu öffnen ... alle anderen zu schließen ..

habe ich zu hause so gemacht

dabei vom Router den WAN Port an den Netzwerkanschluss des Router verbunden und in der WebConfig unter WAN "StaticIP" konfiguriert. Die Firewall noch eingestellt und fertig.

Inet geht aber Datentauschen aufs vorherige Netzwerk ist nicht möglich.

 

 

gruß Frank

[Haennerson 10]

Hi Carlito,

 

ja hätte ich - habe ich auch schon daran gedacht, allerdings kenne ich mich mit VLANs noch zu wenig aus... Sind VLANs so "sicher", dass man überhaupt nichts von den anderen VLANs sieht? Habe gemeint sei nur zur Trennung des Broadcast-Vekehrs?

 

Ich habe evtl. noch eine alte Firewall rumliegen, die könnte ich quasi direkt zwischen Patchpanel und Switch anschliessen und nur Port 80 durchlassen.

 

Das wäre ja relativ sicher oder? Könnte ihn natürlich noch in die DMZ patchen :-)

[carlito 10]

Sind VLANs so "sicher", dass man überhaupt nichts von den anderen VLANs sieht?

 

Wenn man sie richtig konfiguriert.

 

Habe gemeint sei nur zur Trennung des Broadcast-Vekehrs?

 

Nein.

[Haennerson 10]

Wenn man sie richtig konfiguriert.

 

 

ja dann lasse ich diese Variante mal noch bei Seite, weil am Montag müsste das Ganze laufen und Morgen bin ich weg...

 

Evtl. die Version mit dem Firewall?

[pinos2k4 10]

VLANs trennen ein Netz physikalisch. Ein Zugriff von einem VLAN ins andere ist dann nur noch mit einem Router oder einem Layer-3-Switch möglich.

 

Von daher sicher!

 

Gruß

[Haennerson 10]

VLANs trennen ein Netz physikalisch. Ein Zugriff von einem VLAN ins andere ist dann nur noch mit einem Router oder einem Layer-3-Switch möglich.

 

Von daher sicher!

 

Gruß

 

ja das glaube ich ja auch - nur wäre die Variante mit der Firewall für mich einfacher zu konfigurieren - könnte jemand dazu noch Stellung nehmen? :D

[Otaku19 33]

VLANs sind je nach Switch relativ einfach in der Handhabung. natürlich sollte man dann das ganze so konfigurieren das das "Gast VLAN" nicht ins Firmen LAN kann und umgekehrt. Beide können aber trotzdem aufs Internet zugreifen.