Ports nur lokal oeffnen (z.B. remote login via ssh)

  1. Wile E.

    Wile E. Thread StarterMacUser Mitglied

    Mitglied seit:
    09.03.2005
    Beiträge:
    1.864
    Zustimmungen:
    4
    Hallo,
    mal ne kleine Frage zur Netzwerkeinrichtung, man moege mich verschieben, falls ich hier falsch bin:

    Ich moechte in meinem Heimnetzwerk die Rechner gegenseitig fuer solche Dinge wie "Entfernte Anmeldung" (remote login / ssh) und "Personal file sharing" (nein, nicht Raubkopieren, sondern afp: ) oeffnen, aber so, dass dies nur fuer mein lokales Subnetz (Bsp. 192.168.1.*) zugaenglich ist, nicht aber fuer das ganze Internet, sobald ich eingewaehlt bin. Das geht doch sicher irgendwie, oder? Ich find das nicht, waer nett, wenn mir wer nen Tip geben wuerde.

    Danke
    Wile
     
    Wile E., 28.11.2005
  2. xenayoo

    xenayooMacUser Mitglied

    Mitglied seit:
    29.02.2004
    Beiträge:
    2.109
    Zustimmungen:
    6
    Wie geht dein lokales Netz denn Online?
     
    xenayoo, 28.11.2005
  3. Pingu

    PinguMacUser Mitglied

    Mitglied seit:
    04.08.2003
    Beiträge:
    4.900
    Zustimmungen:
    341
    Der Tip wäre: ipfw

    Also ich habe dies ähnlich gemacht. Ich habe ein Windows XP in VirtualPC laufen mit dem ich auf das lokale Netz zugreifen möchte. Allerdings möchte ich nicht, das Windows XP oder andere Programme aus Windows XP heraus aufs Internet zugreifen können. Also habe ich mir ein paar ipfw zusammengestellt, die dies ermöglichen. Für die Regeln habe ich ein Script geschrieben, welches bei jedem Rechnerstart ausgeführt wird.
    Nachteil dieser Lösung: die Mac OS X eigene Firewall (die auf ipfw basiert) meint immer es läuft eine andere und wird deaktiviert. Deswegen muß man ab dann immer alles über das Terminal machen.

    Pingu

    EDIT: Zum Beispiel die Regeln für VirtualPC innerhalb des Netzes 192.168/16:
    Code:
    ##
    # Enable lokal net only for VirtualPC aka Windows
    ##
    /sbin/ipfw add 0010 skipto 0051 tcp from 192.168.0.1/16 to 192.168.0.1/16 29000-29500
    /sbin/ipfw add 0011 skipto 0051 udp from 192.168.0.1/16 to 192.168.0.1/16 29000-29500
    /sbin/ipfw add 0012 deny tcp from any to any 29000-29500
    /sbin/ipfw add 0013 deny udp from any to any 29000-29500
    
     
    Pingu, 28.11.2005
  4. Wile E.

    Wile E. Thread StarterMacUser Mitglied

    Mitglied seit:
    09.03.2005
    Beiträge:
    1.864
    Zustimmungen:
    4
    Der im Netz aus Macs und Linuxrechnern befindliche Mini geht via ISDN-"Modem" (USB) online.

    Ich bin gerade quasi im Aufbau, wollte dann auch den anderen Rechnern per "Internet Sharing" Netzzugang auf dem Weg ermoeglichen, hab allerdings noch nicht raus, ob das so vom Provider her ok geht (funktionieren tut es). (Dann muss ich nur noch loesen, von beliebigen Rechnern die Leitung auf und Abbauen zu koennen, aber das ist ein anderes Thema.)

    @pingu: Die Loesung mit ipfw sieht doch ganz gut aus, das schau ich mir mal an. Ich dachte nur, OSX bietet mir dafuer direkt eine Moeglichkeit an. (Ich versuche immer, erst die OSX-UI-Moeglichkeiten zu nutzen, um auch ein bisschen das System zu entdecken.)

    Wile
     
    Wile E., 28.11.2005
  5. xenayoo

    xenayooMacUser Mitglied

    Mitglied seit:
    29.02.2004
    Beiträge:
    2.109
    Zustimmungen:
    6
    Pingu: Wenn WindoofXP keinen Standardgateway hat, kommt es auch nicht ins Internet - egal wie die übrigen Einstellungen sind.....
     
    xenayoo, 28.11.2005
  6. xenayoo

    xenayooMacUser Mitglied

    Mitglied seit:
    29.02.2004
    Beiträge:
    2.109
    Zustimmungen:
    6
    Ah so, hier gilt eigentlich das Gleiche: Wenn du die IPs statisch vergibst, aber die Router-Adresse leer läßt, ist das erreicht...
     
    xenayoo, 28.11.2005
  7. Incoming1983

    Incoming1983MacUser Mitglied

    Mitglied seit:
    23.07.2005
    Beiträge:
    7.545
    Zustimmungen:
    1
    wie gepostet:

    ipwf inbound -> deny any
    ipwf inbound -> allow ssh, xxx, yyy vom Subnetz, in dem du hockst.

    die Syntax findest du in jeder gutsortierten Manpage bzw. Tutorial ;-)
     
    Incoming1983, 28.11.2005
  8. Pingu

    PinguMacUser Mitglied

    Mitglied seit:
    04.08.2003
    Beiträge:
    4.900
    Zustimmungen:
    341
    Das ist zwar richtig. Aber dann müßte ich alle IPs und alles von Hand vergeben. So kann ich über all sonst die Standardeinstellungen belassen, die da auf DHCP lauten. Vorallem wenn man ständig in verschiedenen Netzen unterwegs ist (in Minimum Firmennetz und Heimnetz). Denn dadurch wird alles bereits so früh wie möglich geblockt. :cool:

    Pingu
     
    Pingu, 28.11.2005
  9. Incoming1983

    Incoming1983MacUser Mitglied

    Mitglied seit:
    23.07.2005
    Beiträge:
    7.545
    Zustimmungen:
    1
    Doch, das könnte gehen, wenn die Subnetzmaske von des Windows nur einen Hostanteil beinhaltet, und der router einen arpdaemon laufen hat.

    Habs allerdings noch nicht ausprobiert.
     
    Incoming1983, 28.11.2005
  10. Wile E.

    Wile E. Thread StarterMacUser Mitglied

    Mitglied seit:
    09.03.2005
    Beiträge:
    1.864
    Zustimmungen:
    4
    Aeh, ich wollte verhindern, dass was von draussen reinkommt, nicht umgekehrt. ;)

    @incoming: Danke, ich schaus mir nachher an. Ja, man-Pages kann ich lesen. :)

    Wile
     
    Wile E., 28.11.2005
Die Seite wird geladen...