Ports nur lokal oeffnen (z.B. remote login via ssh)

Diskutiere mit über: Ports nur lokal oeffnen (z.B. remote login via ssh) im Internet- und Netzwerk-Hardware Forum

  1. Wile E.

    Wile E. Thread Starter MacUser Mitglied

    Beiträge:
    1.862
    Zustimmungen:
    4
    Registriert seit:
    09.03.2005
    Hallo,
    mal ne kleine Frage zur Netzwerkeinrichtung, man moege mich verschieben, falls ich hier falsch bin:

    Ich moechte in meinem Heimnetzwerk die Rechner gegenseitig fuer solche Dinge wie "Entfernte Anmeldung" (remote login / ssh) und "Personal file sharing" (nein, nicht Raubkopieren, sondern afp: ) oeffnen, aber so, dass dies nur fuer mein lokales Subnetz (Bsp. 192.168.1.*) zugaenglich ist, nicht aber fuer das ganze Internet, sobald ich eingewaehlt bin. Das geht doch sicher irgendwie, oder? Ich find das nicht, waer nett, wenn mir wer nen Tip geben wuerde.

    Danke
    Wile
     
  2. xenayoo

    xenayoo MacUser Mitglied

    Beiträge:
    2.110
    Zustimmungen:
    6
    Registriert seit:
    29.02.2004
    Wie geht dein lokales Netz denn Online?
     
  3. Pingu

    Pingu MacUser Mitglied

    Beiträge:
    4.894
    Zustimmungen:
    341
    Registriert seit:
    04.08.2003
    Der Tip wäre: ipfw

    Also ich habe dies ähnlich gemacht. Ich habe ein Windows XP in VirtualPC laufen mit dem ich auf das lokale Netz zugreifen möchte. Allerdings möchte ich nicht, das Windows XP oder andere Programme aus Windows XP heraus aufs Internet zugreifen können. Also habe ich mir ein paar ipfw zusammengestellt, die dies ermöglichen. Für die Regeln habe ich ein Script geschrieben, welches bei jedem Rechnerstart ausgeführt wird.
    Nachteil dieser Lösung: die Mac OS X eigene Firewall (die auf ipfw basiert) meint immer es läuft eine andere und wird deaktiviert. Deswegen muß man ab dann immer alles über das Terminal machen.

    Pingu

    EDIT: Zum Beispiel die Regeln für VirtualPC innerhalb des Netzes 192.168/16:
    Code:
    ##
    # Enable lokal net only for VirtualPC aka Windows
    ##
    /sbin/ipfw add 0010 skipto 0051 tcp from 192.168.0.1/16 to 192.168.0.1/16 29000-29500
    /sbin/ipfw add 0011 skipto 0051 udp from 192.168.0.1/16 to 192.168.0.1/16 29000-29500
    /sbin/ipfw add 0012 deny tcp from any to any 29000-29500
    /sbin/ipfw add 0013 deny udp from any to any 29000-29500
    
     
    Zuletzt bearbeitet: 28.11.2005
  4. Wile E.

    Wile E. Thread Starter MacUser Mitglied

    Beiträge:
    1.862
    Zustimmungen:
    4
    Registriert seit:
    09.03.2005
    Der im Netz aus Macs und Linuxrechnern befindliche Mini geht via ISDN-"Modem" (USB) online.

    Ich bin gerade quasi im Aufbau, wollte dann auch den anderen Rechnern per "Internet Sharing" Netzzugang auf dem Weg ermoeglichen, hab allerdings noch nicht raus, ob das so vom Provider her ok geht (funktionieren tut es). (Dann muss ich nur noch loesen, von beliebigen Rechnern die Leitung auf und Abbauen zu koennen, aber das ist ein anderes Thema.)

    @pingu: Die Loesung mit ipfw sieht doch ganz gut aus, das schau ich mir mal an. Ich dachte nur, OSX bietet mir dafuer direkt eine Moeglichkeit an. (Ich versuche immer, erst die OSX-UI-Moeglichkeiten zu nutzen, um auch ein bisschen das System zu entdecken.)

    Wile
     
    Zuletzt bearbeitet: 28.11.2005
  5. xenayoo

    xenayoo MacUser Mitglied

    Beiträge:
    2.110
    Zustimmungen:
    6
    Registriert seit:
    29.02.2004
    Pingu: Wenn WindoofXP keinen Standardgateway hat, kommt es auch nicht ins Internet - egal wie die übrigen Einstellungen sind.....
     
  6. xenayoo

    xenayoo MacUser Mitglied

    Beiträge:
    2.110
    Zustimmungen:
    6
    Registriert seit:
    29.02.2004
    Ah so, hier gilt eigentlich das Gleiche: Wenn du die IPs statisch vergibst, aber die Router-Adresse leer läßt, ist das erreicht...
     
  7. Incoming1983

    Incoming1983 MacUser Mitglied

    Beiträge:
    7.597
    Zustimmungen:
    1
    Registriert seit:
    23.07.2005
    wie gepostet:

    ipwf inbound -> deny any
    ipwf inbound -> allow ssh, xxx, yyy vom Subnetz, in dem du hockst.

    die Syntax findest du in jeder gutsortierten Manpage bzw. Tutorial ;-)
     
  8. Pingu

    Pingu MacUser Mitglied

    Beiträge:
    4.894
    Zustimmungen:
    341
    Registriert seit:
    04.08.2003
    Das ist zwar richtig. Aber dann müßte ich alle IPs und alles von Hand vergeben. So kann ich über all sonst die Standardeinstellungen belassen, die da auf DHCP lauten. Vorallem wenn man ständig in verschiedenen Netzen unterwegs ist (in Minimum Firmennetz und Heimnetz). Denn dadurch wird alles bereits so früh wie möglich geblockt. :cool:

    Pingu
     
  9. Incoming1983

    Incoming1983 MacUser Mitglied

    Beiträge:
    7.597
    Zustimmungen:
    1
    Registriert seit:
    23.07.2005
    Doch, das könnte gehen, wenn die Subnetzmaske von des Windows nur einen Hostanteil beinhaltet, und der router einen arpdaemon laufen hat.

    Habs allerdings noch nicht ausprobiert.
     
  10. Wile E.

    Wile E. Thread Starter MacUser Mitglied

    Beiträge:
    1.862
    Zustimmungen:
    4
    Registriert seit:
    09.03.2005
    Aeh, ich wollte verhindern, dass was von draussen reinkommt, nicht umgekehrt. ;)

    @incoming: Danke, ich schaus mir nachher an. Ja, man-Pages kann ich lesen. :)

    Wile
     
Die Seite wird geladen...
Ähnliche Themen - Ports nur lokal Forum Datum
Ethernet Ports bei Airport Extreme Internet- und Netzwerk-Hardware 30.08.2012
Citrix Access Gateway funzt nicht - Ports öffnen? Internet- und Netzwerk-Hardware 02.02.2011
Time Capsule an Speedport. Wie gebe ich jetzt Ports frei? Internet- und Netzwerk-Hardware 02.01.2011
Ports freischalten Internet- und Netzwerk-Hardware 18.07.2010
30 ports und mehr weiterleiten, wie? nur ca. 20 geht. Internet- und Netzwerk-Hardware 21.07.2005

Diese Seite empfehlen

Benutzerdefinierte Suche