Einen Rechner im Netzwerk vom rest des Netzwerkes "Abschotten"???

[Brian!]

Hallo Zusammen,

ich habe mal eine Frage die ich für mich zwar sehr mit meiner DiskStation verbinde, die aber direkt nicht unbedingt was mit ihr zu tun haben muss (daher hab ich sie mal im Offtopic gestellt).

Ich würde gerne einen Rechner in meinem kleinen Heimnetz vom Rest innerhalb des Netzes abschirmen.

Der Grundgedanke von mir ist halt der, dass ich am liebsten einen Rechner komplett nur über die DS im Netzwerk betreiben würde, also IP vom DS DHCP und alles andere schön über den Squid und SquidGuard auf der DS damit ich volle Kontrolle habe auf was dieser bestimmte Rechner nun innerhalb des Netzwerkes sowie im Internet zugreifen darf und auf was nicht.

Als Router verwende ich die FritzBox 7270 (an der auch die DS hängt) und da fängt es bei mir im Kopf dann an schwierig zu werden, denn wenn alle Rechner erst mal über die FritzBox verbunden sind, müsste ja an für sich diese auch dafür zuständig sein, einzelnen Rechnern den Zugriff auf bestimmte Ressourcen innerhalb des Netzwerkes zu verbieten?

Oder kann man das doch irgendwie Trixen?

Liebe Grüße,
Brian

 

[itari]

Es gibt Proxies, die man per IPKG auf der DS installieren kann.

Itari

 

[jahlives]

Squid gibt es afaik als ipkg Paket und SquidGuard müsstest du aus den Quellen kompillieren. Das geht habe ich auch schon so gemacht. Mittels Squid hast du aber nur "Kontrolle" über http Verbindungen.
Auf andere Verbindungen hast du relativ wenig Einfluss. Auch kann der User des Clients, wenn er admin Rechte hat, den Weg über den Proxy abschalten. Da müsstest du dann also sicherstellen, dass der Router einen solchen direkten Request des fraglichen Client gar nicht nach aussen durchlässt. Dazu wäre es aber besser wenn der Router das dhcp übernimmt. Sonst muss er sich darauf verlassen können, dass die DS via dhcp dem Client immer die gleiche IP gibt
Was du vorhast geht grundsätzlich, ist aber nicht nur mit einem Progi wie Squid erledigt. Zusätzlich musst du Firewalls aufsetzen und entsprechend konfigurieren. Ist also ein ziemlicher Aufwand.
Ich habe nur den DNS Port und den SMTP Port ausgehend für alle Client gesperrt, da ich will, dass alle DNS Abfragen über meine DS laufen und das für alle E-Mails die Mailstation der DS verwendet wird.
Genaugenommen brauchst du keinen http Proxy, wenn du den DNS Server im LAN hast. Du kannst "einfach" in deinem DNS Malware Domains mit einer lokalen IP auflösen und niemand kann mehr darauf zugreifen. Auch ein Virus nicht der weitere Malware nachladen will.
Zusätzlich kannst du über DNS z.B. bestimmte Webseiten sperren. Es gibt dafür fertige Sperrlisten, die man für den DNS Server nur noch etwas anpassen muss.

Gruss

tobi

 

[Brian!]

Hallo itari, hallo jahlives,

das es Proxys bzw. auch den Squid und SquidGuard für die DS gibt weiß ich. Habe auch beides schon, u.A. dank der Tipps von jahlives in seinem Blog, erfolgreich zum laufen bekommen (Squid 3.1.1 und SquidGuard 1.4).
Soweit ich die Konfigurationsmöglichkeiten vom Squid/SquidGuard verstanden habe ist es durchaus auch möglich den Zugriff auf bestimmte IP's innerhalb des Netzwerkes und auf bestimmte Ports zu begrenzen.
Allerdings ergibt sich hierbei ja das Problem, dass der Router vor der DS hängt und meines Wissens nach keine Zugriffseinschränkungen innerhalb des Netzwerkes zulässt. Was der Router allerdings kann ist bestimmten Rechnern im Netz das Internet zu sperren. Also zumindest für das Internet könnte ich auf einem Rechner den Proxy einrichten, für diesen Rechner im Router das Internet sperren und nur das Internet via Proxy (eingeschränkt) freigeben. Allerdings müsste dieser Rechner dann weiterhin ungehindert auf alle anderen Ressourcen im Netz (welche nicht alle per Passwort geschützt werden können) zugreifen können - was eben gerne ebenfalls verhindern würde.
Unabhängig davon nurtze ich Squid sowieso noch als Cache und SquidGuard u.A. noch als Ad blocker.

@jahlives:
Wie meinst du das mit dem DNS Server denn? Soweit ich das bisher im Forum verfolgt habe nutzt du doch den Dnsmasq welcher nicht für externe DNS Anfragen gedacht ist sondern mehr für das interne Netz? Oder filterst du die internen Anfragen an den DNS Server schon nach bestimmten vorgaben, bevor du sie an deinen ISP weiter schickst?
Und wie hast du für alle deine Clients den DNS und den SMTP Port geblockt?

Grüße,
Brian

 

[jahlives]

Da Blocken der Client ist ja relativ einfach. Du legst einfach auf dem Router eine Regel an und sagst z.B. für alle Clients ausser der IP der Mailstation ist SMTP ausgehend verboten. Und für alle Clients ausser der IP des DNS Servers ist der Zugriff auf Port 53 ausgehend blockiert.
Ich verwende den DNS Server, damit meine Clients ihre DNS Abfragen nur im LAN absetzen. Nur die IP der DS mit dnsmasq darf upstream Server (also DNS Server im I-net) abfragen.
Der Vorteil ist dass du genau kontrollieren kannst worauf deine Clients zugreifen können. Ich lade mir 1 oder 2 Mal im Monat eine Liste mit den Top Domains für Malware und trage diese Domains im dnsmasq so ein dass sie mit einer ungültigen IP aufgelöst werden. Der Rst wird falls nötig an den DNS meines Providers geschickt.