Gastzugang im eigenen LAN

[Haennerson]

Hallo zusammen,

ich selber finde leider kein Lösung so auf die Schnelle zum Problem.
Wir haben hier ein LAN mit DSL Internetzugang, DMZ - das übliche halt.
Nun möchte man ein "Gast" über das LAN mit seinem eigenen Gerät ins Internet lassen. Ich bin strikte gegen eine solche Anwendung, den User einfach mit dem Laptop ins LAN zu lassen.

Wie würdet ihr das lösen?
Ziel wäre es, dass der User nur über Port 80 raus kann, sonst auf keinen Server weder im LAN noch in der DMZ, auch kein Broadcast abhören etc. etc....

Müst wohl nochmals einen eigenen Bereich mit Firewall machen.

Gruss
Haennerson

[Otaku19]

nicht in die domain aufnehmen

[Haennerson]

Zitat von Otaku19 nicht in die domain aufnehmen

ja aber das ist nicht wirklich eine Sicherheit... Den Verkehr kann er trotzdem abhören, könnte Attacken auf Server starten etc.

Klar dies sind nun Extrem-Szenarien, aber besser wie nachher vor einem Scherbenhaufen zu stehen.

Das mit der Domäne kommt für mich nicht in Frage.

Gruss & Dank

[carlito]

@ Otaku19

Wie schon geschrieben, hat das mit Sicherheit nichts zu zun.

@ Haennerson

Hast du VLAN fähige Switches?

[BlackShadow]

in meiner vorherigen firma habe ich das so gemacht aufgrund dessen das wir KundenPCs hatten die mit Viren voll gewesen sind diese unser netzwerk weitgehend lahm gelegt haben.

Habe ich mich dazu entschlossen den DSL Anschluss zu teilen ..
nun ist dort ein LINUX PC mit 3 Netzwerkkarten

eine zum router der am DSL hängt
und die beiden anderen Karten ins Firmen und Kunden Netzwerk als software ist dort Linux im einsatz.

was auch funktioniert aber nicht so besonderst ist ist ein 2ten router zu betreiben und nur die Ports 80,21,25,110,443 zu öffnen ... alle anderen zu schließen ..
habe ich zu hause so gemacht
dabei vom Router den WAN Port an den Netzwerkanschluss des Router verbunden und in der WebConfig unter WAN "StaticIP" konfiguriert. Die Firewall noch eingestellt und fertig.
Inet geht aber Datentauschen aufs vorherige Netzwerk ist nicht möglich.


gruß Frank

[Haennerson]

Hi Carlito,

ja hätte ich - habe ich auch schon daran gedacht, allerdings kenne ich mich mit VLANs noch zu wenig aus... Sind VLANs so "sicher", dass man überhaupt nichts von den anderen VLANs sieht? Habe gemeint sei nur zur Trennung des Broadcast-Vekehrs?

Ich habe evtl. noch eine alte Firewall rumliegen, die könnte ich quasi direkt zwischen Patchpanel und Switch anschliessen und nur Port 80 durchlassen.

Das wäre ja relativ sicher oder? Könnte ihn natürlich noch in die DMZ patchen :-)

[carlito]

Zitat von Haennerson Sind VLANs so "sicher", dass man überhaupt nichts von den anderen VLANs sieht?

Wenn man sie richtig konfiguriert.

Habe gemeint sei nur zur Trennung des Broadcast-Vekehrs?

Nein.

[Haennerson]

Zitat von carlito Wenn man sie richtig konfiguriert.

ja dann lasse ich diese Variante mal noch bei Seite, weil am Montag müsste das Ganze laufen und Morgen bin ich weg...

Evtl. die Version mit dem Firewall?

[pinos2k4]

VLANs trennen ein Netz physikalisch. Ein Zugriff von einem VLAN ins andere ist dann nur noch mit einem Router oder einem Layer-3-Switch möglich.

Von daher sicher!

Gruß

[Haennerson]

Zitat von pinos2k4 VLANs trennen ein Netz physikalisch. Ein Zugriff von einem VLAN ins andere ist dann nur noch mit einem Router oder einem Layer-3-Switch möglich. Von daher sicher! Gruß

ja das glaube ich ja auch - nur wäre die Variante mit der Firewall für mich einfacher zu konfigurieren - könnte jemand dazu noch Stellung nehmen?