PC am Router komplett vom Internet abschotten

[Langly]

ich hatte hier seit längerem zwei getrennte Netzwerke bestehen. Eins mittels Router, an dem die Rechner ins Internet gehen können sollten, und ein anderes mittels seperatem Switch ohne Internetzugang, das nur intern genutzt werden sollte.

Im Zuge einiger größerer Veränderungen möchte ich nun das zweite Netz, das früher über den Switch gelaufen ist, komplett auflösen. Alles, was davon noch übrig bleiben soll, ist ein kleinerer Rechner und meine Dbox. Der Rechner sollte nur noch NFS-Freigaben für von der Dbox aufgenommene Filme anbieten.

Die Besonderheit dabei ist jetzt, dass ich beide Geräte an den vorhandenen Router hängen möchte, insbesondere der Rechner jedoch keinen Zugriff aufs Internet bekommen sollte, da die Software noch auf einem schon zur damaligen Zeit nicht aktualisiertem Sarge läuft. Deshalb mache ich mir ein wenig Gedanken um die Sicherheit des Rechners. Ehrlich gesagt möchte ich aber auch vermeiden, jetzt ein neues System aufzusetzen und dann regelmäßig mit Updates zu versorgen. Die Kiste soll ja nur ein paar Freigaben und SSH im internen Netz anbieten.

Wie ich eine Abschottung vom Internet erreichen kann, obwohl ja ein physischer Zugang besteht, ist mir allerdings nicht klar. Iptables dürften wegen der nicht aktualisierten Software nicht zu gebrauchen sein. Weiterhin hätte ich noch die Möglichkeiten, in der Netzwerkkonfiguration des Servers einfach den Eintrag für den Gateway zu löschen oder aber im Router für die entsprechende IP den Internetzugang zu sperren.

So richtig wohl ist mir mit beiden Lösungen nicht. Wer kennt noch Alternativen?

[Blackbox]

Welchen Router setzt du denn ein, vielleicht kannst du dem Rechner schon über den Router den Zugriff auf das Internet verwehren ?

Dies wäre die einfachste Lösung !

Eine wichtige Frage ist vielleicht auch, ob eher wichtig ist, dass Zugriffe von außen nach innen vermieden werden sollen, oder ob der Rechner nicht ins I-Net gelangen darf - eine Kombination aus beiden Möglichkeiten, wäre ja auch denkbar...

[Langly]

Router ist ein Linksys WRT54GL mit orginaler Software. Wie gesagt gibt es im Router tatsächlich die Möglichkeit, bestimmten Rechnern den Internetzugang zu verweigern, aber nur darauf möchte ich mich ehrlich gesagt nicht verlassen.

Ich suche deswegen eine Möglichkeit, auch innerhalb des Aufnahmerechners jeglichen Kontakt mit dem Internet (sowohl ein- als auch ausgehend) zu blockieren und nur noch lokale Anfragen zuzulassen.

[bmario]

setze doch den REchner und deine DBox in ein privates subnet?
Läuft also z.b. dein normales Netz im ip Bereich 192.168.1.0/255.255.255.0 kannst du die DBox und den NnfsKnecht z.B. in 192.168.2.0/255.255.255.0 setzen. Dann sind sie fast wieder physikalisch getrennt. Und vor allem selbst wenn sich wer in deinen Router hackt, hat er zunächst einmal nur das Subnet 192.168.1.0 vor der Nase und sucht auch sicher nicht nach dem anderen.
Nach außen kommen dann die beiden auch nicht mehr, ohne das du Routen setzt. Aber auch von innen ist kein rankommen.

Mario, der offen für andere Lösungen ist

[Langly]

Hört sich gut an!

Ich muss jetzt mangels weitergehenden Netzwerkkenntnissen nochmal rückfragen: Dass ich einem einzelnen Rechner gleichzeitig eine IP aus jeweils verschiedenen Subnetzen zuweisen kann, habe ich mir bereits angelesen. Damit wäre also gesichert, dass ich per ssh aus dem normalen Netz noch auf den Server ins Subnetz komme. Ist aber jetzt eine Kommunikation zwischen den beiden Subnetzen technisch wirklich unmöglich? Ziel soll ja schließlich sein, dass ich im Subnetz 192.168.1.* und 192.168.2.* keinerlei Kontakt mehr habe außer den oben beschriebenen Rechner, der in beide Subnetze darf.

[Hobo]

Naja so einfach sehen tun sie sich dann nciht mehr...

Un dazu KEIN Gateway und DNS Server definieren, weil dann weiß der Rechner auch nicht, wie er nach außen kommt...

[Langly]

Naja so einfach sehen tun sie sich dann nciht mehr...

Okay, das ist jetzt interpretierbar. Gibt es nun Kontakt zwischen den Rechnern in verschiedenen Subnetzen oder nicht? Ziel soll ja schließlich sein, dass das kleine Subnet mit Router und Dbox keine Chance mehr hat, den Router zu finden, der ja im anderen Subnet wäre.

Willkommen im Forum übrigens!

[Blackbox]

Naja so einfach sehen tun sie sich dann nciht mehr...

Okay, das ist jetzt interpretierbar. Gibt es nun Kontakt zwischen den Rechnern in verschiedenen Subnetzen oder nicht? Ziel soll ja schließlich sein, dass das kleine Subnet mit Router und Dbox keine Chance mehr hat, den Router zu finden, der ja im anderen Subnet wäre.

Beide Netzwerke müssen natürlich den Router kennen, denn dieser ist wahrscheinlich ebenfalls dein Switch, aber der Router sollte so konfiguriert sein, dass der Router, keinen deiner Rechner (welche nicht ins I-Net sollen) in das Internet läßt.
Dies könnte zum Beispiel per Mac-Filter geschehen oder anhand einer statischen IP.
Beides unterstützt dein Router.

[bmario]

Beide Netzwerke müssen natürlich den Router kennen, denn dieser ist wahrscheinlich ebenfalls dein Switch,

Nein müssen sie nicht. Die 2 Rechner die nicht ins Internet sollen und auch nicht vom Netz erreichbar sein sollen, bekommen jeweils eine feste IP aus einem anderem Subnetz und sind somit zunächst weder von außen erreichbar, noch können auf das Internet zugreifen. Erstellst du aber an einem Rechner eine Route (man route) oder gar in deinem Router,
ist das leicht zu umgehen. Deshalb ist *physikalische* Trennung in der Beziehung besser. Aber für deine Zwecke söllte es auch so gehen. Nur behalte im Hinterkopf, dass du damit nicht die Verbindung unterbunden hast, sondern du hast sie schlicht und einfach nicht konfiguriert. Und das ist jederzeit, wenn man weiß wie recht schnell nach zuholen.

Mario

[Langly]

Danke für die zahlreichen Antworten.

Ich werde die Tage jetzt wirklich damit beginnen, die Netze umzustellen und wie empfohlen eigene Subnetze einzurichten. Nachteil davon ist leider, dass ich nicht mehr die zusätzliche Möglichkeit habe, auch per Konfig im Router bestimmten IPs den Internetzugriff zu verbieten, weil es ja dann getrennte Subnetze sind und der Router nur sein eigenes Subnet kennt.

Ist letzten Endes aber nicht schlimm. Ich traue einer Einstellung, die ich selber vorgenommen habe, dann doch mehr als einer vom Hersteller eingebauten Funktion. Getrennte Subnetze, alle Routen, Gateway und DNS austragen und nochmal nach nicht benötigten Diensten schauen und damit sollte es getan sein. Allerstrengsten Sicherheitsrichtlinien muss das Ganze auch gar nicht genügen, auf der Platte des Servers ist wirklich nicht viel mehr als meine noch nicht angesehenen Filme. Ich möchte nur vermeiden, eine weitere Spamschleuder ins Netz zu stellen oder potentiellen Angreifern einen Brückenkopf fürs interne Netz anzubieten.