PC im LAN Zugriff auf Internet verbieten
O'Brien
- sonstiges
1 Der Martin0 Auge0 Der Martin0 apsel
0 O'Brien0 apsel
Hi,
bin leider sehr unbeleckt, was Windows-Netzwerke angeht. Darum frage ich euch einfach mal, wo ich am einfachsten (ggf. reichen mir auch schon die passenden Suchbegriffe) entsprechende Informationen finde.
Situation:
Anforderung: ein einzelner Labor-PC soll
Ist das einfach einzurichten?
Bin dankbar für jeden Hinweis. :)
Schönen Sonntag noch!
O'Brien
Hallo,
Situation:
- firmeninternes Netzwerk, nur Windows-PCs
Anforderung: ein einzelner Labor-PC soll- Zugriff auf den firmeninternen Server haben, firmeninterne Netzwerkzugriffe sollen freigegeben sein
- _keine_ Möglichkeit haben, sich mit einem Server außerhalb des firmeninternen Netzwerks zu verbinden (kein HTTP, FTP oder sonstiges)
Ist das einfach einzurichten?
kommt drauf an[tm].
Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein). Dann hat dieser PC keinen Dunst, wohin er IP-Pakete senden soll, deren Netzwerkadresse nicht seiner eigenen entspricht. Ergo: Er ist innerhalb seines Netzes "gefangen".
Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
So long,
Martin
Grundlage für Zitat #1622.
Hallo
Situation:
- firmeninternes Netzwerk, nur Windows-PCs
Anforderung: ein einzelner Labor-PC soll- Zugriff auf den firmeninternen Server haben, firmeninterne Netzwerkzugriffe sollen freigegeben sein
- _keine_ Möglichkeit haben, sich mit einem Server außerhalb des firmeninternen Netzwerks zu verbinden (kein HTTP, FTP oder sonstiges)
Ist das einfach einzurichten?kommt drauf an[tm].
Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein). Dann hat dieser PC keinen Dunst, wohin er IP-Pakete senden soll, deren Netzwerkadresse nicht seiner eigenen entspricht. Ergo: Er ist innerhalb seines Netzes "gefangen".
Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Der Rechner kann dann aber auch nicht im Intranet agieren, oder?
Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
Das wäre wohl die saubere Lösung, denn *im* Firmennetzwerk soll der Laborrechner agieren dürfen.
Tschö, Auge
Hi,
Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein).
Der Rechner kann dann aber auch nicht im Intranet agieren, oder?
doch, solange es dasselbe IP-Subnetz ist (wovon ich ausgehe). Dann braucht man kein Routing und folglich auch kein "gateway".
So long,
Martin
Om nah hoo pez nyeetz,
Ich mach mal ein bisschen Werbung: Im Schulbereich gibts den schulfilterplus Damit kann man ohne viel Ahnung ziemlich viel ein- und verstellen. Im Verbund mit sogenannten Wächterkarten ist diese Lösung relativ sicher, solange an den PC's nicht unerlaubt gebastelt werden kann und die Passwörter nur den Berechtigten bekannt sind.
Matthias
Hi Martin,
kommt drauf an[tm].
:)
Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein). Dann hat dieser PC keinen Dunst, wohin er IP-Pakete senden soll, deren Netzwerkadresse nicht seiner eigenen entspricht. Ergo: Er ist innerhalb seines Netzes "gefangen".
Innerhalb seines Netzes oder innerhalb "sich selbst"? Bedeutet das nicht, dass er dann auch auf die firmeninternen Netzlaufwerke nicht zugreifen kann?
Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Dass das nicht passiert, dafür kann ich sorgen.
Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
Das wird vermutlich der sichere Weg sein. Dafür muss der PC aber eine feste IP zugewiesen bekommen, sehe ich das richtig?
Zusatzfrage (die sich mir gerade so stellt):
Gäbe es eine Möglichkeit, den Internet-Zugang für bestimmte Programme (z. B. für Software-Updates) freizugeben, für andere (z. B. Browser) aber zu sperren? (Ich wage es kaum, den Begriff "Software-Firewall" in den Mund zu nehmen, aber das ist nunmal das erste, was mir dazu einfällt, worüber ich "mal was gehört habe".)
Schönen Sonntag noch!
O'Brien
Hi!
Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
Das wird vermutlich der sichere Weg sein. Dafür muss der PC aber eine feste IP zugewiesen bekommen, sehe ich das richtig?
Kommt auf Deine Technik an. Mein Router mag auch gern mit MAC Adressen gefuetert werden. Damit waers kein Problem.
All das koennte aber durch einen Proxy ausgehebelt werden, den sich evtl jemand aus einem anderen PC bastelt.
Zusatzfrage (die sich mir gerade so stellt):
Gäbe es eine Möglichkeit, den Internet-Zugang für bestimmte Programme (z. B. für Software-Updates) freizugeben, für andere (z. B. Browser) aber zu sperren? (Ich wage es kaum, den Begriff "Software-Firewall" in den Mund zu nehmen, aber das ist nunmal das erste, was mir dazu einfällt, worüber ich "mal was gehört habe".)
Nun wirds interessant. Du kannst natuerlich bestimmte Ports sperren. Aber das ist nur maessig effektiv.
Normalerweise updatet sich in so einem Netz nichts selbst. Dafuer gibts den Admin, der das gewoehnlich automatisiert auf die PCs im Netzwerk verteilt. Unsere Babys hier gehen fuer Patches und Updates mittlerweile von allein an, sollten sie zur Updatezeit ausgeschaltet sein. Die aelteren Modelle holen sich die Updates beim Start bzw. waehrend des Betriebs.
Bei kleineren Netzwerken, kann sich der Admin auch mal selbst bemuehen und setzt sich halt mal persoenlich an jede Maschine.
Wenn Du bestimmte Programme verbieten moechtest wirds sowieso auf eine Ueberwachung der PCs hinauslaufen. Eine Firewall auf den Maschinen ist dabei noch das niedlichste.
Hallo,
Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein).
Innerhalb seines Netzes oder innerhalb "sich selbst"? Bedeutet das nicht, dass er dann auch auf die firmeninternen Netzlaufwerke nicht zugreifen kann?
nein, siehe /?t=194724&m=1302497.
Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Dass das nicht passiert, dafür kann ich sorgen.
Also gut. Dann kommt die Lösung eventuell doch in Frage.
Lösung 2: Erkundige dich, ob der Router die Möglichkeit bietet, bestimmte interne Clients vom Internet-Zugang auszuschließen.
Das wird vermutlich der sichere Weg sein. Dafür muss der PC aber eine feste IP zugewiesen bekommen, sehe ich das richtig?
Jein. Er muss vom Router eindeutig identifizierbar sein. Eine feste, statische IP-Adresse wäre eine Möglichkeit. Falls aber der Router gleichzeitig DHCP-Server ist[1], kann man den sicher auch so konfigurieren, dass derselbe Client auch immer dieselbe IP-Adresse bekommt.
Zusatzfrage (die sich mir gerade so stellt):
Gäbe es eine Möglichkeit, den Internet-Zugang für bestimmte Programme (z. B. für Software-Updates) freizugeben, für andere (z. B. Browser) aber zu sperren? (Ich wage es kaum, den Begriff "Software-Firewall" in den Mund zu nehmen, aber das ist nunmal das erste, was mir dazu einfällt, worüber ich "mal was gehört habe".)
Genau *das* ist für mich auch der primäre Grund, eine Software-Firewall einzusetzen.
Aber es wäre natürlich auch denkbar, dem (den) Browser(n) einen nicht existierenden Proxy (z.B. 127.0.0.1) zu konfigurieren. Dann könnte der keine Verbindung nach draußen (d.h. nach außerhalb des Rechners) aufbauen, während andere Programme, die normal konfiguriert sind, ungehindert ins Internet können.
So long,
Martin
[1] Zumindest bei den SOHO-Geräten ist das der Regelfall; bei größeren Lösungen, wo ein PC als Router fungiert, könnten diese Dienste aber ebenso zusammengefasst sein.
Hi Martin,
Lösung 1: Konfiguriere in den Netzwerkeinstellungen dieses Rechners kein Default Gateway (bzw. setze 0.0.0.0 ein).
Innerhalb seines Netzes oder innerhalb "sich selbst"? Bedeutet das nicht, dass er dann auch auf die firmeninternen Netzlaufwerke nicht zugreifen kann?nein, siehe /?t=194724&m=1302497.
OK, OK, ich war zu langsam ;)
Sobald ein User mit Admin-Rechten daherkommt, kann er diese Einstellung natürlich "korrigieren".
Dass das nicht passiert, dafür kann ich sorgen.Also gut. Dann kommt die Lösung eventuell doch in Frage.
Das werde ich erstmal ins Auge fassen, parallel mir mal Software-Firewalls ansehen. Kann man die Netzwerkeinstellungen eines Rechners unter Windows user-bezogen festlegen?
Wegen der Router-Lösung frage ich mal unseren Admin, wenn der wieder mal im Hause ist (externer Dienstleister).
Schönen Sonntag noch!
O'Brien
Hallo O'Brien,
Kann man die Netzwerkeinstellungen eines Rechners unter Windows user-bezogen festlegen?
leider nein. Das sind systemweite, globale Einstellungen.
So long,
Martin
Om nah hoo pez nyeetz,
kommt drauf an[tm].
:-D
Matthias