---

Hej
Jeg har et ønske om at blokke for 1 pc på lan så det ikke får adgang til
wan.

setup er lidt tricky da jeg ønsker at køre trådløst på wan på en router og
trådført på lan på en anden og maskinen må ikke kunne komme på wan på denne
router.

Jeg gar kikket lidt i setup i routeren og set på wan filter setting kan man
bruge denne indstilling til at udelukke en aktuel ipadresse fra wan adgang ?
og i såfald det er muligt hvad skal jeg angive i Distination port Range.

/Mogens

---

"M. Jørgensen" <ikke@valid.mail> skrev i en meddelelse
news:47c00a07$0$99015$157c6196@dreader2.cybercity.dk...
> Hej
> Jeg har et ønske om at blokke for 1 pc på lan så det ikke får adgang til
> wan.

Fjerne gateway'en eller "Sabotere" routing tabellen ?

> setup er lidt tricky da jeg ønsker at køre trådløst på wan på en router og
> trådført på lan på en anden og maskinen må ikke kunne komme på wan på
> denne router.
>
> Jeg gar kikket lidt i setup i routeren og set på wan filter setting kan
> man bruge denne indstilling til at udelukke en aktuel ipadresse fra wan
> adgang ?
> og i såfald det er muligt hvad skal jeg angive i Distination port Range.

Du må uddybe lidt hvad du mener med "ikke får adgang", set fra et paranoia
synspunkt.

Tag højde for ting som..
En bruger kan måske tilføje gateway'en igen.
En priviligeret bruger kan
Manuelt tildelt ipadresse der omgår router filtreringen.
Fusk med MAC adressen.
Går på via en anden pc på netværket

Løsningen findes i hvor strikst du ønsker det.

---

"Sune Storgaard" <nospam@strueradsl.invaliDK> skrev i meddelelsen
news:47c00c56$0$90262$14726298@news.sunsite.dk...
> "M. Jørgensen" <ikke@valid.mail> skrev i en meddelelse
> news:47c00a07$0$99015$157c6196@dreader2.cybercity.dk...
>> Hej
>> Jeg har et ønske om at blokke for 1 pc på lan så det ikke får adgang til
>> wan.
>
> Fjerne gateway'en eller "Sabotere" routing tabellen ?
>
>> setup er lidt tricky da jeg ønsker at køre trådløst på wan på en router
>> og trådført på lan på en anden og maskinen må ikke kunne komme på wan på
>> denne router.
>>
>> Jeg gar kikket lidt i setup i routeren og set på wan filter setting kan
>> man bruge denne indstilling til at udelukke en aktuel ipadresse fra wan
>> adgang ?
>> og i såfald det er muligt hvad skal jeg angive i Distination port Range.
>
> Du må uddybe lidt hvad du mener med "ikke får adgang", set fra et
> paranoia synspunkt.
>
> Tag højde for ting som..
> En bruger kan måske tilføje gateway'en igen.
> En priviligeret bruger kan
> Manuelt tildelt ipadresse der omgår router filtreringen.
> Fusk med MAC adressen.
> Går på via en anden pc på netværket
>
> Løsningen findes i hvor strikst du ønsker det.
Det er ikke ander brugere af denne maskine end mig selv så brugersikkerheden
er ikke noget problem.

Beskrivelsen er her hvad der foregår

Jeg har 2 internetforbindelser
Jeg har 1 LAN (per2per) som har adgang til server og internet.
Jeg har 1 WLAN som kun kører til intranet.
Disse 2 LAN ønsker jeg at kombinere på 1 pc således at jeg har adgang til
min server men uden adgang til WAN på dette LAN men adgang til internet fra
WLAN forbindelsen.

Men kan det klares blot ved at fjerne gatewayen så er dette fint for mig

/Mogens

---

On Sat, 23 Feb 2008 18:55:59 +0100, M. Jørgensen <ikke@valid.mail>
wrote:

>Det er ikke ander brugere af denne maskine end mig selv så brugersikkerheden
>er ikke noget problem.
>
>Beskrivelsen er her hvad der foregår
>
>Jeg har 2 internetforbindelser
>Jeg har 1 LAN (per2per) som har adgang til server og internet.
>Jeg har 1 WLAN som kun kører til intranet.
>Disse 2 LAN ønsker jeg at kombinere på 1 pc således at jeg har adgang til
>min server men uden adgang til WAN på dette LAN men adgang til internet fra
>WLAN forbindelsen.

Ok, du har altså to internet forbindelser. Hovedparten af maskinerne
skal gå på internettet via den primære forbindelse, men en enkelt
maskine skal gå på internettet via den sekundære forbindelse ?!?!

Det bør ikke give de store problemer...

Du bevarer den primære router uændret, lad os sige at den har
LAN-adressen 192.168.1.1

På den sekundære router (wlan) deaktiverer du DHCP-serveren. Du giver
den en passende LAN ip-adresse, f.eks 192.168.1.2. Til sidst kabler du
de to routere LAN <-> LAN.

Den ene maskine der skal gå på internettet via den sekundære router
opsætter du med fast ip-adresse, f.eks 192.168.1.3. DNS-server og
standard gateway sættes til 192.168.1.2 (dvs den sekundære router's
ip-adresse).

Mon ikke det løser dit problem....

Hovedparten af dine maskiner anvender den primære router. En enkelt
maskine anvender den sekundære router, men den kan stadig 'se' alle
netværksenheder på dit lokalnet....

<mlr>

---

"Michael Rasmussen" <michael@invalid> skrev i meddelelsen
news:8qs0s3d9em43ru0kd1dela535cd7g8voau@4ax.com...
> On Sat, 23 Feb 2008 18:55:59 +0100, M. Jørgensen <ikke@valid.mail>
> wrote:
>
>>Det er ikke ander brugere af denne maskine end mig selv så
>>brugersikkerheden
>>er ikke noget problem.
>>
>>Beskrivelsen er her hvad der foregår
>>
>>Jeg har 2 internetforbindelser
>>Jeg har 1 LAN (per2per) som har adgang til server og internet.
>>Jeg har 1 WLAN som kun kører til intranet.
>>Disse 2 LAN ønsker jeg at kombinere på 1 pc således at jeg har adgang til
>>min server men uden adgang til WAN på dette LAN men adgang til internet
>>fra
>>WLAN forbindelsen.
>
> Ok, du har altså to internet forbindelser. Hovedparten af maskinerne
> skal gå på internettet via den primære forbindelse, men en enkelt
> maskine skal gå på internettet via den sekundære forbindelse ?!?!
>
> Det bør ikke give de store problemer...
>
> Du bevarer den primære router uændret, lad os sige at den har
> LAN-adressen 192.168.1.1
>
> På den sekundære router (wlan) deaktiverer du DHCP-serveren. Du giver
> den en passende LAN ip-adresse, f.eks 192.168.1.2. Til sidst kabler du
> de to routere LAN <-> LAN.
>
> Den ene maskine der skal gå på internettet via den sekundære router
> opsætter du med fast ip-adresse, f.eks 192.168.1.3. DNS-server og
> standard gateway sættes til 192.168.1.2 (dvs den sekundære router's
> ip-adresse).
>
> Mon ikke det løser dit problem....
>
> Hovedparten af dine maskiner anvender den primære router. En enkelt
> maskine anvender den sekundære router, men den kan stadig 'se' alle
> netværksenheder på dit lokalnet....
>
> <mlr>
>
>Det var lige det
Tak for hjælpen
/Mogens

---

On Sat, 23 Feb 2008 12:56:59 +0100, M. Jørgensen <ikke@valid.mail>
wrote:

> Jeg har et ønske om at blokke for 1 pc på lan så det ikke får adgang til
> wan.

Hvis du skal have reel hjælp skal vi have en nøje specificeret
beskrivelse af hele dit netværk...

Men jeg er bange for vi kommer til at skuffe dig. Der er ganske vist
mange måder hvormed man begrænse brugernes udfoildelser, men der er
endnu flere måder hvorpå brugerne kan omgå disse begrænsninger...

Den eneste effektive metode er såmæn nok at klippe netkablet, men det
er næppe den løsning du ønsker...

<mlr>

---

"Michael Rasmussen" <michael@invalid> skrev i en meddelelse
news:uo40s3hibggkgm3gsc856pgqebajvjjhln@4ax.com...
> On Sat, 23 Feb 2008 12:56:59 +0100, M. Jørgensen <ikke@valid.mail>
> wrote:
>
>> Jeg har et ønske om at blokke for 1 pc på lan så det ikke får adgang til
>> wan.
>
> Hvis du skal have reel hjælp skal vi have en nøje specificeret
> beskrivelse af hele dit netværk...
>
> Men jeg er bange for vi kommer til at skuffe dig. Der er ganske vist
> mange måder hvormed man begrænse brugernes udfoildelser, men der er
> endnu flere måder hvorpå brugerne kan omgå disse begrænsninger...
>
> Den eneste effektive metode er såmæn nok at klippe netkablet, men det
> er næppe den løsning du ønsker...
>
> <mlr>
mange soho routewre har da mulighed for at spærre udgående for ønskede
macadresser - Jeg bruger pt linksys som kan

---

On 2008-02-23, fix <fix@faxe.dk> wrote:
>
>> Den eneste effektive metode er såmæn nok at klippe netkablet, men det
>> er næppe den løsning du ønsker...
>>
> mange soho routewre har da mulighed for at spærre udgående for ønskede
> macadresser - Jeg bruger pt linksys som kan

Mange (alle) PC'er kan skifte mac-adresse i et snuptag.

--
Andreas

---

On Sat, 23 Feb 2008 13:39:36 +0100, Michael Rasmussen
<michael@invalid> wrote:

>Men jeg er bange for vi kommer til at skuffe dig. Der er ganske vist
>mange måder hvormed man begrænse brugernes udfoildelser, men der er
>endnu flere måder hvorpå brugerne kan omgå disse begrænsninger...

Hvis det drejer sig om en bruger på nettet man vil forhindre adgang,
så er det rigtigt at det er svært at forhindre. Men man kan gøre det
besværligt.

Med den scriptgenerator jeg skrev om i
<news:47bedcdd.771286156@dtext.news.tele.dk>
kan man lave det sådan at kun MAC adresser der er med i scriptet kan
få WAN adgang.
Samtidig kan man i routerens Access Restriction lukke for den
pågældende computers MAC adresse, så den ikke kan få WAN adgang.

Det vil gøre at man ikke får adgang bare ved at skifte MAC adresse.
Men hvis brugeren af den pågældende computer kender en anden MAC
adresse på lokalnetværket, som har WAN adgangsret, er man selvfølgelig
lige vidt.

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On 2008-02-23, Jens G <nospam061106@kabelmail.dk> wrote:
>
> Det vil gøre at man ikke får adgang bare ved at skifte MAC adresse.
> Men hvis brugeren af den pågældende computer kender en anden MAC
> adresse på lokalnetværket, som har WAN adgangsret, er man selvfølgelig
> lige vidt.

Og andre mac-adresser på samme LAN er ualmindeligt nemme at finde og
endda at hi-jacke selvom de er tændt på samme tid.

Se bl.a. på dsniff-projektet: http://www.monkey.org/~dugsong/dsniff/

--
Andreas

---

On Sat, 23 Feb 2008 16:43:15 +0000 (UTC), Andreas Plesner Jacobsen
<apj@daarligstil.dk> wrote:

>On 2008-02-23, Jens G <nospam061106@kabelmail.dk> wrote:
>>
>> Det vil gøre at man ikke får adgang bare ved at skifte MAC adresse.
>> Men hvis brugeren af den pågældende computer kender en anden MAC
>> adresse på lokalnetværket, som har WAN adgangsret, er man selvfølgelig
>> lige vidt.
>
>Og andre mac-adresser på samme LAN er ualmindeligt nemme at finde og
>endda at hi-jacke selvom de er tændt på samme tid.
>
>Se bl.a. på dsniff-projektet: http://www.monkey.org/~dugsong/dsniff/

Men hvad siger routeren hvis der pludselig er to tilsluttede enheder
med samme MAC?

--
Jens G
Kan anbefale http://www.everlove.dk til IP telefoni.
Besøg http://voip-user.dk for debat om ip-telefoni og udstyr.

---

On 2008-02-23, Jens G <nospam061106@kabelmail.dk> wrote:
>>
>>Og andre mac-adresser på samme LAN er ualmindeligt nemme at finde og
>>endda at hi-jacke selvom de er tændt på samme tid.
>>
>>Se bl.a. på dsniff-projektet: http://www.monkey.org/~dugsong/dsniff/
>
> Men hvad siger routeren hvis der pludselig er to tilsluttede enheder
> med samme MAC?

Som udgangspunkt ikke noget, den har jo ikke nogen måde at genkende den
rigtige fra den spoofede.

--
Andreas

---

Andreas Plesner Jacobsen wrote:

> Som udgangspunkt ikke noget, den har jo ikke nogen måde at genkende den
> rigtige fra den spoofede.

Det kan så bare forvirre switchen en del, og det er jo ikke sikkert det
lige er det, man er efter

---

M. Jørgensen <ikke@valid.mail> wrote:

>Hej
>Jeg har et ønske om at blokke for 1 pc på lan så det ikke får adgang til
>wan.

Nu fortæller du ikke hvilket udstyr du har, men jeg ville lave et
specifikt subnet & VLAN for den (de) maskine(r) der skal have
specielle begrænsninger, og styre adgange og begrænsninger på en
firewall eller router.

Dette subnet kan du dermed (afhængigt af udstyr) smide på sit eget
SSID.

Begrænsningen skal ikke laves på den enkelte pc men i netværket.

--
Gustaf Hyllested Servé