Nur bestimmte IP-Adressen freigeben

[dagrah]

Hallo zusammen!

Kurze Erläuterung:
Ich habe einen PC (Windows 10) im Netzwerk (192.168.10.50 / 255.255.255.0) . Dieser soll ganz normal surfen können. Ausserdem soll dieser auf 4 Geräte im Netzwerk zugreifen können (192.168.10.51 - 10.54 / 255.255.255.0).
Der Rest soll für ihn nicht erreichbar/sichtbar sein.
Ist dies mit der Windows Firewall oder einem anderen Bordmittel möglich?
Ich bin mir bewusst, dass hier VLAN am sinnvollsten wäre, jedoch ist das aktuell nicht realisierbar.
Wird aber Ende des Jahres realisiert.
Es soll nur eine Übergangslösung sein bis VLAN kommt.

Vielen Dank schon mal!

 

[t0x]

Du könntest ihm ne "falsche" Subnetmaske geben. In dem Subnetz liegen dann nur er selbst, das Gateway und die PCs die er erreichen soll.

 

[DonConto]

https://www.tecchannel.de/a/windows...n-von-bestimmten-ip-bereichen-sperren,2078092

 

[Hancock]

Das versucht? https://superuser.com/questions/268902/how-to-block-all-traffic-but-one-ip-in-windows-firewall

 

[DonConto]

Du könntest ihm ne "falsche" Subnetmaske geben. In dem Subnetz liegen dann nur er selbst, das Gateway und die PCs die er erreichen soll.

Wenn er das Gateway erreichen kann...wie wird denn dann verhindert, dass er die anderen PCs erreicht?

 

[h00bi]

Na über das definierte Subnetz, solange im Gateway kein Routing in andere Subnetze gemacht wird.
Die Gateway IP sollte dann aber auch irgendwo bei 192.168.10.55 oder so liegen sonst wird das Subnetz unnötig groß. In dem vorliegenden Fall müsste man vermutlich die IP-Adressen komplett umstellen.

 

[dagrah]

Vielen Dank für die schnellen Antworten.
Werde es testen und dann nochmal Bescheid geben!

 

[Raijin]

Es kommt darauf an wer Zugang zum PC hat und warum/wieso der Zugiff auf bestimmte Geräte geblockt werden soll. Prinzipiell kann man in der Windows Firewall in den erweiterten Einstellungen bei den ausgehenden Regeln eine benutzerdefinierte Regel erstellen, die

- alle Programme betrifft
- alle Ports betrifft
- nur für die Ziel-IP 1/2/3/etc gilt
- die Verbindung erlaubt/blockt.

Anschließend wählt man Block/Allow je nachdem ob man nu den Zugriff auf diese IP-Adressen zulassen oder blockieren will. Nun wird Windows bei jedem Datenpaket, das nach den PC verlässt gucken ob die Ziel-IP erlaubt ist oder nicht und dementsprechend den Traffic blocken oder zulassen.
Ich habe das hier gerade testweise mal mit Windows 7 gemacht und darüber erfolgreich den Zugriff auf ein Gerät im Netzwerk geblockt. Man kann auch mehrere IP-Adressen angeben oder auch ganze Bereiche von-bis definieren. Es wäre also möglich besagte Blockregel auf die IP-Bereiche 192.168.10.2 - .49 bzw. .55 - .254 einzustellen. So ist weiterhin das Standard-Gateway (.1) erreichbar sowie das Internet.

Das und auch alle anderen vorgeschlagenen Lösungen ist aber immer unter Voraussetzung, dass der Nutzer des PCs keine Admin-Rechte hat bzw. sich nicht anderweitig um die Umgehung dieser Maßnahmen bemüht. Um den Sohnemann am Missbrauch des Internets/Netzwerks zu hindern, ist das also nicht das geeignete Mittel, weil 5 Minuten Youtube ausreicht, um das auszuhebeln.

 

[dagrah]

Dass dies nicht die beste Lösung ist und es recht einfach ist auszuhebeln, ist mir bewusst.
Es soll auch nur eine Übergangslösung sein, um es für den Benutzer etwas schwieriger zu machen.
Admin-Rechte bekommt er natürlich nicht.
Vielen Dank für die Mühe.
Werde es dann so umsetzten und denke, dass es auch mit Win10 nicht recht viel anders sein wird.

 

[Raijin]

Nur so als Hinweis für die Zukunft:

Du hattest ja selbst VLANs ins Gespräch gebracht. Später solltest du daher innerhalb deines Netzwerks besagte VLANs einrichten und Geräte mit eingeschränktem Zugriff innerhalb eines VLANs isolieren. Für das Routing untereinander, also zwischen den VLANs, benötigst du dann allerdings auch einen VLAN-fähigen Router bzw. einen Router mit mehreren unabhängigen LAN-Schnittstellen. Das kann einerseits ein Layer3-Switch mit Inter-VLAN-Routing sein (=teuer) oder ein Netzwerk-Router wie es sie von MikroTik oder Ubiquiti gibt. Als Beispiel sei da mal der EdgeRouter-X mit 5x LAN für ~50€ genannt. Ein 08/15 Internet-Router von Asus, AVM, etc. kann nicht mit VLANs umgehen, zumindest nicht mit Hersteller-Firmware.

 

[DonConto]

Na über das definierte Subnetz, solange im Gateway kein Routing in andere Subnetze gemacht wird.

Davon ist aber auszugehen bei dem gemachten Vorschlag. Also einfach Maske ändern wird nicht reichen.

 

[Raijin]

Es wird ja in andere Subnetze geroutet, weil in der Aufgabenstelleung explizit steht, dass der PC nach wie vor Zugriff auf das Internet haben soll. Das Internet ist wohl der Inbegriff von "anderen Subnetzen"

Die Subnetzmaske zu ändern kann sowieso ungeahnte Folgen haben. Sobald der PC in irgendeiner Form eine Software nutzt, die mit (directed) Broadcasts arbeitet - also die letzte IP des jeweiligen Subnetzes nutzt - geht's nach hinten los.

Darüberhinaus ist das auch nur dann einigermaßen sinnvoll umsetzbar, wenn das Standard-Gateway ebenfalls innerhalb dieses begrenzten IP-Bereichs liegt. Durch reines Ändern der Subnetzmaske kann man also keine Internet-Verbindung über das Standard-Gateway 192.168.10.1 behalten und gleichzeitig nur in einem kleinen /29er Subnetz mitten in dem vermeintlich übergeordneten /24er Subnetz (192.168.10.48/29) sein. Dazu müsste man dann schon den Router ebenfalls in diese Range umziehen (mal ungeachtet der Subnetzmaske), also zB auf die 192.168.10.49 oder so (wurde aber weiter oben bereits erwähnt). Alternativ setzt man die fraglichen Geräte inkl. des PCs und des Gateways (das ist eh schon da) an den Anfang der /24er Range, also zB 192.168.10.1 - .6 (=192.168.10.0/29)

Mit den Subnetzmasken sollte man daher nur rumspielen, wenn man weiß was man tut. In der Theorie könnte man damit kleine Teilbereich des Netzwerks abgrenzen, in der Realität widerspricht das aber den Grundregeln eines Netzwerks und kann wie gesagt unerwartete Probleme nach sich ziehen.

Für die vorliegende Problemstellung kann die Subnetzmaske also bestenfalls eine Krücke sein und sollte mit Vorsicht genossen werden.