Hallo liebe WL500g Fans,
mein Sohn ist leidenschaftlicher Internet User und vergisst dabei leider oft die Zeit.
Gibt es vielleicht die Möglichkeit beim WL500g für einzelne User (anhand der IP-Adresse oder Mac Adresse) ab 22:00Uhr die Internetverbindung abzuschalten ?
Gruß
Jürgen

Es gibt in den Einstellungen unter "Internet Firewall" ein "WAN & LAN Filter". Genau was Du brauchst.

Gruß

Robert

Jo bei den LAN 2 WAN / WAN 2 LAN Filtern kannst Du Uhrzeiten einstellen zu denen die Regeln gelten sollen. Ist aber bisgen tricky wenn andere PCs nicht betroffen sein sollen. Du musst dann glaub ich jeweils auf ACCEPT (nicht DROP) stellen (Du wirst sehen was ich meine), und dann für die IP Deines Sohnes in jedem der Filter 2 Regeln erstellen (einmal TCP, einmal UDP), die jeden Datenverkehr blockt. Also bei LAN to WAN einfach nur die Source IP, bei WAN to LAN die Destination IP eintragen, die anderen Felder frei lassen.

Und dann das Ganze jeweils von 22:00 bis 6:00 oder so einstellen.


War jetzt wieder etwas viel Info auf einen Haufen ich weiss ... weiter fragen wenn Du nicht weiter weisst :)

Danke TheEagle und akbor,
werde heute abend mein Glück versuchen und hoffentlich kann mein Sohn dann wieder ausschlafen.
:)

Um nur den Internet-Browser lahm zu legen, genügt es eine einzige Regel für das "WAN to LAN Filter" (eingehende Daten): nämlich für die gewünschte Zeit einen einzigen TCP-Port 80 zusammen mit der IP-Adresse des Rechners (Destination IP) in die Liste eintragen. Wenn man keine Port-Nummer definiert, dann werden überhaupt alle Ports gesperrt.

Gruß

Robert

Jo ... aber die Jugend von heute ist ja meist mehr am Zocken als am surfen ^^

habs nach euren Angaben eingestellt, haut aber nicht hin.
Zuerst habe ich es mit dem Vorschlag von theeagle getestet und danach mit dem Vorschlag von akbor. Mit und ohne Port aber der Rechner kommt immer noch ins Netz. Mache ich da was falsch ?
Hier das Bild:
http://home.arcor.de/tricorfo/Max/1b.jpg

Gruß
Jürgen

hmm also für mich schaut das ok aus. Stimmt die IP auch sicher? Muss das gleich nochmal bei mir probieren.

Bei mir funktionierts (bei LAN to WAN meine IP als Source und bei WAN to LAN wie auf Deinem Bild meine IP als Dest). Hast Du den Router auch rebootet nach den Änderungen? Und teste nicht mit der Startseite, die hat er im Cache und es siehst so aus als ob er sie laden würde. (Strg+F5 zwingt den IE zum aktualisieren, dann merkt mans)

ja die IP stimmt, habe hier mit zweitem Lapi getestet und der steht direkt neben meinem Rechner.
Jürgen

Du hast überhaupt keinen Port spezifiziert. Die Einstellung steht aber auf "Packets(LAN to WAN) not specified will be: ACCEPT" so wie es im Bild zu sehen ist. Das bedeutet alle Ports sind immer noch frei. Du musst entweder den Port 80 eingeben damit wenigstens WWW gesperrt ist, oder das Pulldown-Menue auf "Packets(LAN to WAN) not specified will be: DROP" stellen damit einfach alle Ports gesperrt werden.

Geht die Router-Uhr richtig? Nur so nebenbei.

Gruß

Robert

Das ist schon richtig auf dem Bild ... ACCEPT soll gelten während der genannten Uhrzeit für alle Ports die NICHT angegeben sind ... da leer aber heisst dass ALLE angegeben sind wird während der eingestellten Uhrzeit letztendlich DROP auf alle angewendet.

Danke für eure Hilfe, heute Abend werde ich weiter testen.:)

... aber ist die Zeit auch synchronisiert auf deinem Router. ( Ich habe das WLAN interface zeitgesteuert und wenn der Router gebootet wird und der Zeitsync noch nicht gelaufen ist, dann bleibt es eben aus) Hier könnte es auch so sein, da die "default" Einstellung erlauben heist. Ach ja und der LAN -> WAN filter sollte auch wie oben erwähnt gesetzt sein. Bisher sehe ich nur WAN-> LAN da die IPTABLES die Regeln der Reihe nach abarbeiten, und vorher die Systemregel für "established" connection bereits ausgeführt wurde, wird die WAN -> LAN Regel von Dir nicht abgearbeitet. Sicherer ist den Zugang ZUM Internet (LAN-> WAN) zu sperren.

Die Zeit stimmt, zumindest wird die richtige Zeit auf der web-cam angezeigt.
Das andere werde ich heute mal testen.

Mit Accept und Port 80 TCP UDP (kein Rechner kommt mehr ans Netz)
Mit Drop und Port 80 TCP UDP (alle Rechner kommen ans Netz)
Router mit save.. neu gestartet, IP Stimmt und die Zeit auch.

Hat noch jemand eine Idee

Ehm.. mir gehen langsam die Ideen aus... nur dass Du das "WAN to LAN Filter" jetzt von 00:00 bis 23:59 eingestellt hast das heisst praktisch für die ganze Zeit.

Aus meiner Sicht sollte es reichen, WAN->LAN Richtung zu sperren, das heist Browser würde keine Seite mehr anzeigen, Timeout. Ob er dann immer noch Requests (LAN->WAN) verschicken kann ist eigentlich fast egal. OK, wenn man es 100%ig sauber machen will, dann sollte man beide Richtungen sperren.

Gruß

Robert

P.S.: Deine Webcam sieht super aus!

:) Nu haut es hin.............
Mit der Einstellung wie ihr es auch geschrieben habt.
Ich habe gemeint die Uhrzeit kann man für jede Einstellung individuell einstellen.
(z.B. IP Adresse 192.168.1.222 von 22:05 -06:00, IP Adresse 192.168.1.5 von 23:00-06:00Uhr). Das ist natürlich nicht möglich.
Diese Zeiten wurden nicht übernommen und der Filter hat nicht gewirkt.
Der Satz von akbor hat mich wach werden lassen (man war ich blöd):
"Ehm.. mir gehen langsam die Ideen aus... nur dass Du das "WAN to LAN Filter" jetzt von 00:00 bis 23:59 eingestellt hast das heisst praktisch für die ganze Zeit."
Vielen Dank für eure tolle Hilfe akbor, TheEagle, sleuther

Hier nochmal meine Einstellungen:
http://wl500g.info/attachment.php?attachmentid=717&stc=1&d=1139648369

sag ich doch :cool:

Wenn das Söhnchen nun nicht dumm ist:p und die IP-Adresse ändert ist er ist er ja wieder im Netz unterwegs. ..
Wo kann ich einstellen welche IP-Adressen ins Internet gehen dürfen ??

Gruß
Jürgen

Na das ist einfach. Du mimmst Deinem Sohn die Administrator-Rechte weg, dann KANN er die IP-Adresse nicht Ändern.

Oder Du konfigurierst DHCP im Router so, dass wenn er die Adresse ändert, dann kriegt er keine andere. D.h. unter "IP Config" -> "DHCP Server" sagst Du "Assign IP Address Manually - Yes" und dann folgt eine Zuordnung MAC -> IP. Abgesehen davon muss Du die dynamische Adressvergabe abschalten, oder den Pool entsprechend klein machen. So ist meine Theorie.

Dein Lösungsansatz enthält eine potenzielle Sicherheitslücke. So wie ich es verstanden habe, willst Du die übrigen IPs vom Internet ganz ausschliessen. Aber Deine eigene doch nicht, oder? Wenn Dein Sohn sage ich mal überdurchsnittlich intelligent ist, dann kann er ja bei seinem Rechner Deine IP-Adresse eintippen. Wenn Dein Rechner eingeschaltet ist, dann knallt es, wenn aber nicht - bingo, er kann weiter surfen!

Ich würde es mit den Adminrechten versuchen, die andere Methode bedeutet mehr Aufwand. Spätestens dann wenn Du neue Rechner ans Netz anschliesst :)

Gruß

Robert

dann spielt er sich ein neues Image auf den Rechner und hat die Admin-Rechte wieder.
Ich werde mal die "Assign IP Address Manually" Methode probieren.
Wie bekommt man eigentlich die Mac Adresse bei einer D-Box sowie bei der Fritz-Box fon heraus (die hängen auch noch hinter dem WL500g und müssten ja auch freigegeben werden).
Gruß
Jürgen

bei einer Fritz-Box steht die MAC-Adresse auf einem der Aufkleber auf dem Gehäuse, da bin ich mir relativ sicher :)

Bei der Dbox vielleicht auch, vielleicht auch nicht, auf meiner waren keine Aufkleber drauf.

Wenn Du jetzt (d.h. ich nehme an die Dbox und die Fritz-Box sind mit dem Router verbunden, eingeschaltet und haben eine IP-Adresse bekommen!) das Web-Interface öffnest, dann auf "Status & Log" und dann auf "DHCP Leases" gehst, dann siehst Du alle Teilnehmer samt IP und MAC in einer Tabelle.

So. Zusätzlich zur besprochenen Massnahme ("Assign IP Address Manually") vergiss aber bitte nicht die dymamische Lease-Vergabe ganz abzuschalten oder zu beschränken. Zudem würde ich auch unter "Internet Firewall" das "MAC Filter" einschalten und mit bekannten MACs aus Deinem Netzwerk programmieren. Dein Sohn (mittlererweile habe ich das Gefühl, dass wir hier von einem gerissenen Hacker reden ;)) könnte ja neben Windows-Neuinstallation auch eine neue Netzwerkkarte einbauen!

Gruß

Robert

EDIT: P.S.: nochmal zurück zu den Admin-Rechten. BIOS-Passwort rein, Booten vom CD-Laufwerk und Diskette unterbinden. Dann kann Dein Sohnemann auch kein Windows neu installieren. Obwohl, nee vergiss es gleich wieder - man kann ja BIOS-Passwort meistens per Jumper oder durch das Entfernen der Batterie zurücksetzetn :D

Hallo Robert,
der Sohnemann soll ruhig an seinem PC schalten und walten.
Habe jetzt unter Internet Firewall - MAC Filter alle Mac Adressen die auf das Internet zugreifen dürfen eingetragen sowie die Zuordnung, IP-Adresse-Mac Adresse unter IP Config - DHCP Server eingestellt. Und es haut bestens hin.
Die Mac Adressen der D-Box und der Fritz-Box habe ich unter Start/Programme/Zubehör/Eingabeaufforderung mit arp -a herausbekommen.

Vielen Vielen Dank Robert.

Gruß
Jürgen

Das hindert Deinen Junior aber nicht dran, lokal aufm PC statt DHCP ne statische IP einzustellen und dann weiterzusurfen (wenn er so schlau is natürlich). Um wirklich Deine Vorstellungen exakt zu verwirklichen reicht meiner Meinung das Webinterface nichtmehr aus. Du müsstest von Hand mit iptables spielen, da kannst Du dann (soweit ich weiss) für jede Regel einzeln ne Uhrzeit einstellen usw. Und dann eben auch zB der einen IP immer Zgriff, der anderen IP begrenzt, und den restlichen IPs gar keinen Zugriff.

Jetzt hast Du nur das Problem, dass Du Dich mit iptables beschäftigen musst. Das wollte ich auch schon ewig machen, aber is mir noch zu aufwändig. (Weil die Tutorials unnötig kompliziert sind wie ich finde :P )

Ich glaube, TheEagle hat recht! :eek: Hast Du schon ausprobiert, was passiert, wenn Du beim Client die IP-Adresse manuell festlegst und nicht über DHCP beziest?

Das wird funktionieren, weil sich die Mac nicht ändert, und man auch in einem DHCP versorgten Netzwerk sich selber ne IP einstellen kann. Diese darf natürlich nicht mit einer bereits automatisch verteilten übereinstimmen, und muss aus einem gültigen Bereich kommen.

werd ich heute abend mal testen und dann berichten

ihr habt natürlich Recht...............
man kommt auch mit einer anderen IP-Adresse ins Netz.
Naj warten wir mal ab, wie lange das gut geht.
Wenn jemand vielleicht noch ein Tip hat?
Mit den iptables werde ich mich vorerst nicht beschäftigen, dazu fehlt mir zuviel Hintergrund.
Gruß
Jürgen

hi,

die idee mit dem mac filter ist ganz gut, in den iptables einfach -m bzw --mac-source und dann die mac mit doppelpkt getrennt. dafür kannst du einfach die erstellten rules in der console mit vi ändern und die ips durch die macs ersetzen.

jedoch was wenn dein sohn einfach die mac seiner karte gegen eine valide mac (welche gerade nicht online ist) aus dem netz ersetzt, kommt er ja wieder rein... und das setzen einer anderen mac ist ja heute kein problem, bei mir geht das im bios oder per software.

wenn dein sohn jedoch direkt an den switch des routers angebunden ist kannst du einfach die ports des switches an denen die hardware deines sohnes hängt in ein anderes vlan packen und das fährt dann cron jeden abend genn' 22 Uhr via ifdown vlan(x) down runter. schon war es das mit dem internet :)

guter thread,
kann man immer gebrauchen die tips. währe was für die faq in deutsch

hallo meine tochter chattet den ganzen tag am pc.wie kann ich die internetverbindung einschränken?ich hoffe jemand kann mir helfen da dies nicht so weiter gehen kann.danke im voraus

Hi,

Wenn Du den gesamten Zugang zum Internet sperren willst, kannst Du genau so wie hier im Threat auf Seite 2 beschrieben (siehe Bilder) vorgehen. Einfach mal von vorne lesen und ausprobieren. Bei den IP Adressen musst Du aber die Deiner Tochter verwenden.

Falls Du eine FritzBox davor hast, kannst Du auch dort die zeitlichen Beschränkungen vornehmen. In der aktuellen Firmware ist das per Webinterface möglich.

Norbert

Mir würde noch ein Konstrukt aus cron und iptables einfallen.

wengi