Netzwerk per Macaddressen filtern und trennen

#1 Hi leude,

hab ein großes Firmennetzwerk und habe nicht die möglichkeit das netzwerk physisch zu trennen. Nun will ich das mein dhcp server nur an vertauenswürdige clients eine ip verteilt (beispiel: 178.12....) un alle "gäste" kriegen eine andre(beispiel: 168.10....) nun sollen alle 168er nummern direkt ins internet geroutet werden un kein zugriff auf das interne netz bekommen.

hat jmd. ne idee oder nen paar tool-vorschläge mit denen sich das realisieren liese?
fummel grad mit IPCop rum ob es damit geht.

im voraus danke

MFG
Motey

#2 google hilft zb.:

http://66.249.93.104/search?q=cache:kkKBsNzN6kQJ:involution.com/iptables_demo/+MAC,+filtering,+iptables&hl=de&gl=de&ct=clnk&cd=1

Edit:

Noch mal kurz nachgedacht eigentlich würd ich ne OBSD box aufsetzen weil pf doch viel cooler als iptables ist und da kann man auch mehr mit anstellen und OBSD ist mehr secure und vorallem productive - was hat ipcop in einem Firmen netzwerk zu suchen? Das ist zusammengewürfelter mist ohne QA.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Moment,

du hast ein "großes" Firmennetzwerk (wie groß? Anzahl Hosts?), musst mehrere logische Netze darin verwalten (Gastnetz, Internes Netz, Internes Netz mit Internet Zugang) und du darfst es nicht physisch trennen? Unter physischer Trennung verstehe ich, dass ein Router/Firewall dazwischen gesetzt wird oder sehe ich das falsch?! Wo hattest du denn vor gehabt deinen IPCop hin zu hängen?

Zitat

weil pf doch viel cooler als iptables ist

Aber mit iptables kennen sich im Zweifel mehr Leute im Bekanntenkreis aus, als mit z.B. pf. Zudem finde ich z.B. iptables viel cooler

Motey, wenn dein Netz wirklich sehr groß ist, dann frage jemanden, der sich damit auskennt (den Admin oder einen Admin innerhalb der Firmengruppe, falls es das gibt). Falls du aus irgendeinem Grunde der Admin bist und trotzdem noch vor der Aufgabe stehst ein großes "gewachsenes" Netz (>100 Hosts) sichern zu müssen, dann beauftrage einen externen Dienstleister, der sich damit auskennt. Wenn du ein kleines Netz hast (<20 Hosts), dann kannst du den IPCop nehmen oder mit pf/iptables umher testen oder gar nen Cisco PIX oder ne andere Appliance kaufen. Kommt drauf an, wieviel Zeit und Geld du hast.

Wenn du möchtest, dass dir in diesem Forum besser geholfen werden kann, musst du mehr Info über das Netz Preis geben (Netzwerkplan, Anzahl Hosts, Soll-Zustand, Budget).

Viele Grüße, Donni

#4

Zitat

Aber mit iptables kennen sich im Zweifel mehr Leute im Bekanntenkreis aus, als mit z.B. pf. Zudem finde ich z.B. iptables viel cooler

Mag sein ist aber irellevant weil pf A) besser dokumentiert ist B) ist Linux nunmal nicht am sichersten sondern OpenBSD.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#5

Zitat

Mag sein ist aber irellevant weil pf A) besser dokumentiert ist B) ist Linux nunmal nicht am sichersten sondern OpenBSD.

Deine beiden Punkte sind ziemlich subjektiv, oder? Iptables ist sehr gut dokumentiert und ob Linux oder OpenBSD sicherer sind, hängt wohl hauptsächlich vom Einsatzzweck und dem Admin ab.

Don

#6

Zitat

Iptables ist sehr gut dokumentiert

Hat auch keiner was anderes behauptet aber fast immer third-party mäßig.
Bei BSD kommt alles von der Quelle

Zitat

hängt wohl hauptsächlich vom Einsatzzweck und dem Admin ab.

Auch und unteranderem von den Fähigkeiten des Admins.
Trotzdem ist OpenBSD technisch gesehen und von der Umsätzung nun mal sicherer als Linux.
Du brauchst hier nichts zu verteidigen, ich setze Linux selber produktiv und privat ein - ich weiß das.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Hi

Wären nicht vlans eine ideale Lösung für dich?




PS: Iptables ist cooler