trotz upnp ausgrenzung bestimmter geräte möglich?

[REXX]

hmm, ich hab mal wieder ein problem...

also ich habe zusätzlich in mein netzwerk ein samsung wave und ein iphone in mein wlan aufgenommen.

ich möchte aber das diese geräte nur www surfen dürfen und nicht auf die upnp ordner photo und video zugreifen dürfen.

in der fritz!box kann ich das nicht regeln.
mein gastkonto ist deaktiviert. die ordner sind im netz unsichtbar aber die handys finden sie trotzdem.

wie kann ich hier regeln definieren das diese geräte keinen zugriff auf diese ordner haben? kann mir da jemand einen tip geben?

 

[Ap0phis]

Eine Lösung wäre:
Einfach die IP´s der Geräte in der Firewall der DS sperren

 

[REXX]

das war meine befürchtung das es nur über fw geht...
wie gehe ich beim einrichten systematisch am besten vor?
die erste regel mit alle alles zu erstellen ist denke ich sinnvoll, oder?

danach die definierten regeln mit expliziten ausschlüssen, oder?

was muss ich einstellen wenn ich den musik und puplic ordner in upnp offen halten möchte auch für die beiden gasthandys? hätte dazu jemand einen vorschlag?

 

[Ap0phis]

Ich weiß nicht, ob deine erste Regel alle/alles hier unbedingt sein muß, da ja ohne Regeln eh alle alles dürfen.
Es sei denn, du baust die Regel umgekehrt auf, dass erstmal keiner was darf und danach die Regeln, was doch darf.
So, wie es eigentlich bei Internet-Firewalls üblich ist.

In den Firewall-Einstellungen kannst du auch explizit die vorhandenen Dienste/Anwendungen sperren/bzw. zulassen. Schau´s dir mal genauer an.

Wenn du öfter "Gäste" hast, kannst du z.B. auch ein Teilnetz wie z.B. deinen DHCP-Bereich extra regeln.
Deine eigenen Clients bekommen dann halt feste IP´s, und Gäste per DHCP sind von vornherein "beregelt".

 

[REXX]

hallo und danke nochmal für den hinweis, du hast recht und eigentlich logisch nach der priorisierung mit den FW profiles erst mit dem total ausschluss anzufangen.

ich habe das jetzt so gemacht wie du sagtest und konnte schon mal wenigstens die zwei ip´s soweit aussperren. vielen dank!

meine frage ist jetzt mit der feineinstellung mit den ports unter DHCP. ich möchte ja das der puplic ordner (lese /schreib) und der music ordner (only read) von beiden ip´s benutzt werden kann. nur ich kann bei aller suche nicht ermitteln welche ports ich dann für die zwei ip´s dann aufmachen muss. wie bekomme denn raus welche ports das speziell sind? hinter den upnp ordnern stehen ketten mit verschiedenen ports.

 

[Ap0phis]

Also der Zugriff auf public-Ordner wird ja auf Dateiebene mit dem Windows/MAC-Dateiserver-Dienst geregelt, den du ja als Zusatzregel freigeben kannst. Die Zutrittsberechtigung stellst du normal über das Bedienfeld unter Benutzer, Gruppe und Ordner ein.

Beim Mediaserver per UPnP habe ich da keine Trennung zwischen photo, music und video gesehen. Würde also bedeuten: Entweder alle 3 oder keiner.

 

[REXX]

ja, du hast recht... das thema ACL hab ich zur genüge durch inzwischen

schade das du nur meine schlimmsten befürchtungen bestätigen kannst

ich muss da jedenfalls was grundsätzlich umorganisieren, ich finde es erschreckend was auf den handys anderer auf einen schlag zu sehen ist wenn ich denen zugang zum wlan gebe. sowas wirft schlagartig das bisherige security konzept über den haufen. an die smartphones der gäste zu denken...

aber der tip mit den dhcp ip bereichen... hat schon mal etwas geholfen da den überblick nicht zu verlieren. das habe ich gleich umgesetzt. kann man bei den ip adressen in der fw dann auch mit wildcards arbeiten?

 

[Ap0phis]

Nein, mit Wildcards geht da nichts, dafür ist die Subnetzmaske gedacht, die ja nicht nur aus den Zahlen 255 und 0 bestehen kann.

Wie viele IP´s brauchst du denn für DHCP? 128, 64 oder 32 wären günstige Angaben.

 

[REXX]

ich seh schon anhand deiner mengenangaben das sich das nicht wirklich lohnt.. ich hätte im letzten term ab .1** pauschal zugemacht und meine fb würde jedem gast gerät nur noch eine > .100 automatisch zuteilen. ich dachte damit könnte ich erreichen das die von dem fw automatisch abgeklatscht werden.

da es sich ja bei mir immer noch um einen privathaushalt handelt weiss ich ja jetzt wo ich drauf achten muss und werde dir regeln schnell erstellen. ausserdem gewähre ich ja jetzt nicht jedem einfach so zugang. das handelt sich momentan bei potentiellen smartphones <= 10

aber ich werde sowieso die daten umorganisieren in nicht mediaserver ordner. das wird das einfachste sein. muss halt probieren ob das alle meine privaten clients können.
schade das die ACL nicht auf den upnp ordnern zieht. zumindestens habe ich das nicht hinbekommen.

 

[Ap0phis]

Ne ne, so schwierig ist das nicht.

Wenn du deinen DHCP-Bereich im Router einfach z.B. auf xxx.xxx.xxx.128 bis xxx.xxx.xxx.191 stellst, dann hast du 64 Adressen.

Als Teilnetz für die Firewall der DS wäre das ganz einfach:
IP-Adresse: xxx.xxx.xxx.128
TeilnetzMaske: 255.255.255.192

(Die 192 am Ende der Teilnetzmaske hat nichts mit der 191 am Ende des DHCP-Bereichs zu tun!)

 

[REXX]

wow, vielen dank. ich lerne noch richtig was

dann werde ich das genau so auch machen. so in dieser richtung hatte ich mir das gedacht.

perfekt!

 

[Ap0phis]

Na dann hoffen wir nur mal, dass es auch wirklich klappt!?

Neee, sollte schon.

Viel Spass

Nachtrag:
Hab´s vorsichtshalber bei mir selber nochmal getestet. Geht einwandfrei.

 

[REXX]

YEP! that´s it. vielen dank!

funzt perfekt!

 

[Ap0phis]

Danke für die Rückmeldung.