Internen Datenverkehr verbieten

Sabine

Ich habe hier einen Access Point an einer Endian in einen zweiten Netz hängen und leite den Datenverkehr durch das Schulnetz auf meine Haupt Endian.
An dem Access Point hängen ein paar Laptop von der Schule dran, jetzt möchte ich das auch andere Laptops von Schülern den Zugang nutzen können.

Wie sperre ich den Datenverkehr auf der Internen Schnittstelle ?
So das sich Würmer und Trojaner nicht von den Privat- Laptops auf die Schul- Laptops schlingel.
Jemand noch irgendeine Idee ?

Gruß Sabine

matze

Mal ganz doof gefragt:

Kannst du das nicht direkt im Access Point sperren? Alle Access Points die ich kenne, bieten die Möglichkeit die Kommunikation der Clients untereinander zu verbieten.

Gruß Matze

Sabine

Die Idee hatte ich auch schon, ich kenne das nur von teuren Access Points wie Lancon oder Funkwerk.
Die billigen Netgear und Level-One die ich hier habe können das wohl nicht.

Gruß Sabine

ffischer

Hallo Sabine,
also das mit den APs verbieten ist denke ich das einfachste.
Vielleicht erreichst du das ja schon wenn du n Firmware Update machst. Layer2 Isolation

Alternativ, schon mal versuch, ist mal ein Gedanke, wenn du in der Firewall sagst
von BLAU ==> Port 21 ==> 21 ==> BLAU = verweigert ob das geht?

gruß

Sabine

Hi, die hängen in Grün, die Rote Schnittstelle hängt am Schulnetz !

Sabine

Kennt denn jemand eine günstigen Access Point der die Möglichkeit hat die " Lokale Kommunikation " zu verbieten ?

Gruß Sabine

ffischer

schau dir mal
NWA-3100 Zyxel an die Business Class hat das mit der Layer2Isolation

Sabine

Na ja 150.- Euro ist auch nicht wenig, bisher habe ich nicht mehr als 50.- Euro ausgeben dürfen !

Sabine

Ich habe auch mal die Software Endian mit 3 Jahren Maintenance beantragt !!
Mal sehen was da noch kommt !

matze

Sabine

Wir haben auf Arbeit auch Netgear Access Points (http://www.netgear.de/products/busin…ints/WG302.aspx). Der kann das! Unter Funktionen steht: "Wireless Isolation erlaubt Peer-to-Peer Blocking, um Benutzern den Zugriff auf andere PC's zu verweigern". Welchen hast du denn auf Arbeit? An sonsten hätte ich es vielleicht mit zwei Subnetzen versucht abzugrenzen. Das sollte doch eigentlich kein Problem sein.

Zu der Software Endian: Wir haben auf Arbeit seit kurzen auch die Enterprise inkl. Sophos als Hardware. Und ich muss sagen, dass diese auf jeden Fall "runder" läuft als die CE. Hast du schon mal die Preise verglichen? Die Hardware Appliance ist auf lange Sicht auf jeden Fall günstiger als die Software Version. Und wenn man den Sophos Scanner mit dazu nimmt ist die Advanced Maintenance günstiger als die Basis Maintenance. Klingt zwar komisch, ist aber so

Gruß Matze.

Sabine

Ich habe hier so einen Billigheimer Level-One WAP-3000 für 40.- Euro und ein Netgear WG602 für 50.- Euro wenn ich mich nicht täusche.
Die haben das nicht

Als Schule kriegen wir die Software Endian auch noch etwas billiger, wenn die das genehmigen

Gruß Sabine

ffischer

ja stimmt .. Education Price

brauchst wieder welche?

Sabine

Wie gesagt, habe das mal beantragt, bis jetzt noch kein Cent da !
Sobald ich was weiß und ich kaufen darf, melde ich mich bei dir für die Aktuellen Preise.

Gruß Sabine

Sabine

So habe mal nach einem günstigen Access Point gesucht, der Netgear WN604 WiFi-N 150 kann das wohl auch ( ab 60.- Euro )

Sabine

So habe hier noch einen Linksys WRT120N Wireless Router gefunden der kann das auch

Was ich nicht verstehe ist das ich Interne Firewall Regeln und normale Firewall Regeln habe und nicht Rechner A verbieten kann
auf Rechner B zuzugreifen.

Wozu dann die Regeln ?

Gruß Sabine

matze

Hallo,
ich vermute ganz stark, dass die beiden PC´s mit dem Access Point über W-Lan verbunden sind und sich im gleichem Subnetz befinden. Wenn dass so ist, dann können die PC´s direkt über den Access Point kommunizieren, ohne dass die Pakete an die Endian weitergleitet werden. Ich schätze mal, dass die Sperrfunktion Blau => Blau dann greift, wenn man mehrere Access Points über Lan direkt an die Endian angebunden hat, denn dann haben die einzelnen Access Points keine Möglichkeit die Kommunikation untereinander zu verbieten. Und dass kann man dann über die Endian Regeln!
Gruß Matze.

Sabine

Moin,
ich habe alle möglichen Konstellationen ausprobiert.
Unter anderem beide Rechner am Switch ( Acces Point aus ), Firewall Regeln verbiete von Grün auf die IP des Rechner,
IP des Rechner verbieten auf die IP des andern Rechners.
Alles ohne erfolg !!!
Ping von Rechner 1 auf Rechner 2 und umgekehrt, geht alles !
Ein Webserver auf dem einem Rechner, zugriff vom andere Rechner, geht immer !

Gruß Sabine

matze

Hallo Sabine,
bei dem Switch ist das die gleiche Problematik wie mit dem Access Point. Wenn beide Rechner an dem gleichen Switch hängen, dann lässt dieser die Kommunikation zu ohne die Pakete an die Endian weiter zu leiten. Das Problem müsste man analog zu den Access Points direkt an den Switches lösen (z.B. durch Subnetting oder VLAN´s). Die Endian könnte erst dann wieder eingreifen wenn man 2 Switches hat und diese jweils an einen Port der Endian angeschlossen sind. In der Endian kann man dann die Kommunikation zwischen den Rechnern an Switch A und den Rechnern an Switch B unterbinden, dann dieser Traffic dann zwangsweise durch die Endian müsste.
Gruß Matze

Sabine

matze,
an die Möglichkeit das die Rechner sich über den Switch unterhalten habe ich noch gar nicht gedacht.
Leuchtet aber ein, dann muss ich mich ja jetzt nicht mehr aufregen.

Gruß sabine