PC nur für´s Internet freigeben nicht für LAN

[eufel]

Hallo zusammen,

ich besitze einen Asus 500 g Router und möchte meiner Nachbarin den Zugang zum Internet über WLAN ermöglichen, damit sie meine Flatrate mitbenutzen kann. Sie sollte aber nicht auf mein Netzwerk zugreifen können damit sie nicht im meinem Netzwerk stöbern kann .

Wie stelle ich meinen Router ein ohne eine personal-Firewall zu benutzen ?

Besten dank für jeden Beitag!

[Barnosch]

Wie es gehen könnte:

Ist aber nicht die optimale Lösung!!

Du stellst Ihre IP (wenn Du Sie per Static-DHCP vergibst) in die DMZ
Siehe DMZ bei Wikipedia
Sie ist völlig ungeschützt von der Router FW im Internet kann aber nicht auf Dein LAN zugreifen.
Sie müsste sich dann halt selber per Software-FW schützen.

Soweit die Theorie.
Ob es so reibungslos funktioniert musste selber testen.

Edith: meint noch, das Du ja auch je nach BS mit Freigabeberechtigungen arbeiten kannst.

[Barnosch]

okay hab noch mal darüber nachgedacht.
wird wohl so nicht funktionieren, d.h. das NB wird doch ins LAN kommen, weil bei den Routern DMZ lediglich heisst, es werden alle Ports forgewarded.

Wird wohl nur funktionieren, wenn Du einen Fli4l, IPCop oder was weiss ich Hardware Router hinstellst der mehrere NIC´s verwalten kann.

[Holli]

Du kannst auch wenn du dich etwas mit Linux auskennst die Bridge herausnehmen.
Dann kannst du das LAN Interface und das W-LAN Interface mit seperaten IP-Bereichen versehen und das Routing so anpassen, dass das W-LAN Netz ins Internet kann aber nirgendswo anders. Das ist das sicherste. Ist nur etwas tüftelei mit der aktuelle Fimeware.

[andywhy]

gäähn noch so früh am morgen :P...

iptables (die linux firewall) auf dem router anpassen...

hier die manpage dazu -> http://www.linuxguruz.com/iptables/h...niptables.html

lösungsansatz (keine funktionsgarantie):

Code:

WAN=$(nvram get wan_ifname)
LAN=$(nvram get lan_ifname)

iptables -A FORWARD --mac-source XX:XX:XX:XX:XX:XX -o $WAN -j ACCEPT
iptables -A FORWARD --mac-source XX:XX:XX:XX:XX:XX -o $LAN -j DROP

blöd zwar wenn sie ihre mac adresse ändert, aber da weiß ja auch nicht jeder wie das geht ;-)

für den fall, dass sie sowas doch weiß, zieh ein vpn auf (zertifikat basierend) mit dem router als pp2p openvpnserver, so hab ich das hier bei mir zuhause, dann kannst du sie (ihren rechner) EINDEUTIG identifizieren und sie entsprechend einschränken, das nenn ich dann mal sicher... desweiteren läuft die ganze kommunikation dann schön verschlüsselt (z.b blowfish, twofish etc) ab, keiner kann deinen traffic abhören oder in dein netz eindringen. falls du angst hast vor einem performance loss im 100base-t kannst du ja auch nur die kommunikation vom wlan her mit einem vpn versehen, die 100base-t verbindung lässt du einfach offen weiterlaufen.

[andywhy]

Du kannst auch wenn du dich etwas mit Linux auskennst die Bridge herausnehmen.
Dann kannst du das LAN Interface und das W-LAN Interface mit seperaten IP-Bereichen versehen und das Routing so anpassen, dass das W-LAN Netz ins Internet kann aber nirgendswo anders. Das ist das sicherste. Ist nur etwas tüftelei mit der aktuelle Fimeware.

Aber was ist, wenn du mit deinem Laptop der via WLAN angebunden ist vom Garten aus, auf einen via ethernet gebunden rechner zugreifen willst??? z.B auf deine MP3s welche auf deinen Mediaserverliegen und welcher via ethernet angebunden ist ???

wenn man nun das routing so anpasst, dass der lappi bzw. dessen ip ins richtige subnet geroutet wird, macht man ja wieder tür und tor auf... da ja die nachbarin ebenfalls diese ip setzen kann