Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3353 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rechner im internen Netzwerk

denniswerner
Hi @ all,

wir haben einen Kunden mit einer UTM 220. Alles läuft wunderbar.
Jetzt zur Herausforderung :

Es kommt ein neuer Client ins Netzwerk. Dieser soll jedoch lediglich NUR auf den Drucker im Netzwerk zugreifen können. Er soll nicht ins Internet oder auf den Server zugreifen können.

Kann mann "Regeltechnisch" die Geschichte so konfigurieren, das der Rechner über einen bestimmten Port o.ä ausschließlich nur auf den Drucker zugreifen darf ? 

Wenn ja, gebt mir bitte einen Hinweis für die Regelerstellung...

Danke 
Viele Grüße
Dennis


This thread was automatically locked due to age.
  • 0
    VLAN und / oder "DMZ" wäre Dein Stichwort.
    Abhängig davon, wo der Client und Drucker angeschlossen sind, wie die physikalischen Strukturen sind (manche Switche können sowas) etc.


    Alles andere grenzt schon sehr an Wissen, das ein Admin in einem Firmennetzwerk entweder selbst oder durch DL aufbringen sollte.
  • 0
    Naja , der Drucker soll ja für alle im Netzwerk erreichbar sein, nur dieser eine Rechner soll lediglich nur den Drucker ansteuern können. Ich glaube mit VLAN werden wir da nix...
  • 0
    Du wirst dafür ein zusätzliches Netz benötigen in das du solche "Quarantäne"-Clients verschieben kannst. Denn auf Layer-2, also wenn der Client mit dem Drucker im gleichen Netz hängt, kannst du über die Sophos da meines Wissens keine Einschränkungen machen da die Firewall erst auf Layer-3, also bei Routing, greift.
    Du könntest zwar über eine Firewall-Regel (Source: Client - Services: any - Destination: any) den Internet-Zugriff sperren aber nicht verhindern, dass dieser Rechner andere Adressen im Netz erreichen kann.

    Zusätzlich zu dem Netz in dem sich der Drucker befindet legst du also ein weiteres Interface mit dem neuen Netz an. Idealerweise trennst du dabei die Netze über VLAN, ansonsten musst du eine weitere physikalische Struktur für dieses "Quarantäne"-Netz aufbauen.

    Dann kannst du eine Firewall-Regel definieren in der du als Source entweder das komplette Netz einträgst oder eben den spezifischen Client.
    Bei Service kannst du dich dafür entscheiden nur die entsprechenden Druck-Protokolle einzutragen oder "any" stehenzulassen.
    Destination: Die IP Adresse des Druckers.
  • 0
    @denniswerner

    Wenn sich der Client und der Drucker in unterschiedlichen Netzen befinden,
    dann kannst du problemlos per Firewall-Regel(n) konfigurieren,
    dass dieser Client NUR auf den Drucker zugreifen darf und sonst nichts.

    Wenn sich Drucker und Client im GLEICHEN Netz befinden ( wie "tehjanosch" bereits erklärt hat ) hast du über die UTM keine Kontrolle über den Client,
    dann musst du das auf Layer-2-Ebene ( also über managedbare Switche ) regeln.

    Falls du den "Transparenten Proxy" nutzt, musst du den betreffenden Client in die "Transparent Mode"-Skip-Liste eintragen, damit dieser nicht über den Proxy ins Internet gehen kann.

    Über die Firewall wäre der Zugriff ( wenn richtig konfiguriert ) verboten,
    so dass der Client keinen Zugriff aufs Internet hat.

    Gruß, Datax
Cookie Information Banner