Hi. Gibt es Slot In PC's, die in einen PCI bzw PCIe Steckplatz eines PC's eingesteckt werden können, und sich dem Hostsystem gegenüber als normale Netzwerkkarte verhalten? Ich suche soetwas, um einen PC mit integrierter IP-cop Firewall auszustatten. falls es sowas gibt, kennt jemand Bezugsquellen? Oder muss ich basteln? Die Bastellösung sieht ähe wie folgt aus: Ich nehme eine handelsübliche Netzwerkkarte. Trenne die Verbindung zur Buchse auf. Löte 2 Patchkabel an. Dann baue ich in den PC ein Routerboard ein, auf dem dann eine Firewall läuft. Die Firewall darf von außen nicht zu erkennen sein, und muss fester Teil des Computers sein, damit es als EIN Netzwerkgerät bzw als ein handelsüblicher PC durch geht. Ich weiß, das ist wohl etwas unüblich, aber es geht nicht anders. Ich muss: 1. Den PC vor den Scriptkiddies im LAN schützen 2. Ich muss den PC vor den Blicken der Admins im LAN schützen, und es muss als ein Gerät durch gehen 3. Ich muss mich selbst davor schützen, durch Fehlkonfiguration eventuell ein offenes System zu haben, wo man dann nachvollziehen kann, welche Software auf der Kiste läuft. Eine richtige Firewall bzw ein Router darf aufgrund der Nutzungsrichtlinien nicht eingesetzt werden. Die Nutzungsordnung sagt folgendes: Es darf nur ein PC mittels direkter Kabelverbindung mit dem Netzwerk verbunden werden. Es dürfen keine Router und keine sonstigen Geräte zwischengeschaltet werden. Ein PC, der Serverdienste oder Routing bietet, darf ebenfalls nicht angeschlossen werden. Erlaubt sind nur klassische Client PC's. Das System muss auch vom Anschein her ein Client sein, es dürfen also keine Serverdienste laufen, und es müssen "typische Clientbetriebssysteme" wie z.B. Windows 7 oder Ubuntu mit Gnome/KDE installiert sein. Außerdem sollten Clienttypische Anwendungen wie z.B. Office und Spiele installiert sein, um die Clienteigenschaft zu bestätigen. Falls "Nebenbei" Serverdienste, (z.B. ein Proxy für TOR bzw VPN Nutzung) oder z.B. eine VM mit einem Linux Server zum "Rumspielen") installiert sind, dürfen diese NICHT über das LAN erreichbar sein. Selbst wenn das unbeabsichtigt erfolgt, gibt es Ärger (Nach dem Prinzip, wer sowas macht, muss wissen was er tut) Da ich es mir aber nicht 100% zutraue, das System wirklich "Wasserdicht" zuzumachen, (Sowohl gegen Scriptkiddis als auch gegen neugierige Admins) möchte ich eine Firewall einsetzen. Selbst eine reine Softwarefirewall auf dem System selbst erscheint mir nicht sicher und fehlertolerant genug Da externe Zusatzgeräte NICHT zulässig sind, MUSS die Firewall IN den PC eingebaut werden, und so ein physikalisches Bauteil des PC's werden. Es muss INTERN mit dem Rest des PC's verbunden werden, und auch die Stromversorgung des PC's verwenden, damit es somit als TEIL DES PC's, und als EIN GERÄT durch geht. Der Grund, warum externe Netzwerkgeräte sowie Serverdienste nicht erlaubt sind, ist einfach, dass man eine Mehrfachnutzung und eine Weiterveteilung der Internetverbindung vermeiden möchte. Und dass man nicht die Kontrolle über das Netzwerk bis zum PC verlieren möchte (z.B. wegen Scan nach verbotenen Serverdiensten, Proxys, Software-NATs usw) Als internes Gerät, als fest eingebauter Teil des PC's, geht die Firewall aber zusammen mit dem PC als EIN GERÄT durch. Ich hoffe, ihr könnt mir helfen, und Tipps geben. Danke. Mit freundlichen Grüßen
Die strengen Richtlinien sind eingeführt worden, weil in der Vergangeheit viel Mißbrauch betrieben wurde und es durch viele "Hobbyadmins" zu Problemen im Netzwerk kam (Z.B DHCP Konflikte durch fremde NAT Router) Außerdem kam es zu Einnahmeverlusten durch Mehrfachnutzung/Weiterverteilen der Internetverbindung. Deswegen hat man jetzt so strenge Richtlinien erlassen, und ist sehr darauf aus, dass nur EIN GERÄT ohne Serverdienste benutzt wird. Da ich aber gerne für mich selbst mit Linux und Serverdienste experimentiere, und mein PC abschotten will, brauche ich eine Firewall. Da nur EIN GERÄT mit Direktanschluss per Kabel zugelassen ist, muss alles in das PC Gehäuse eingebaut werden.
Das könnte ein Ausganspunkt sein, ist zwar eigentlich für einen anderen Zweck, ließe sich aber vielleicht umfunktionieren: http://en.wikipedia.org/wiki/Killer_NIC
IT-ler schrieb: > Selbst eine reine Softwarefirewall > auf dem System selbst erscheint mir nicht sicher und fehlertolerant > genug Aha, du suchst eine zusätzliche Hardware auf der dann eine Softwarefirewall rennt um keine Firewall einsetzen zu müssen. Na dann leg dir doch einen Router ins PC Gehäuse hinein und führe die Kabel durch die Slotbleche. Mysteriös.
Als "USB-Netzwerkkarte" gibt es das in Form mancher (ARM-) Eval-Boards. Zum Netzwerk hin hast du dann normal Ethernet, zum PC hin USB, über das per CDC_Ethernet bzw ethernet gadget eine Netzwerkverbindung läuft. Du wirst aber etwas Suchen müssen, viele der neueren haben kein Kabel-Ethernet mehr, stattdessen HDMI + wlan + Bluetooth usw.
Wer hat sich denn den Murks ausgedacht? Bestimmt irgendein BWLer, oder? Muss bestimmt auch billig sein, sonst hätte man sich gleich fachkundigen Rat geholt.
Heiner schrieb: > Wer hat sich denn den Murks ausgedacht? Bestimmt irgendein BWLer, oder? Hört sich eher nach "Studentenwohnheim-Internet" oder so an.
Da gibt es aber wesentlich gescheitere Lösungen für. In den Wohnheimen meiner Uni kommt man z.B. nur per Login überhaupt ins uni-externe Netz und pro User sind am Tag maximal 1 GB Traffic zugelassen, was in 99% der Fälle dicke ausreichen dürfte.
Deine "Bastellösung" wird deutlich einfacher umzusetzen sein und dir auch keine Treiberprobleme auf dem "großen" PC bringen. So ein kleines Board wird auch in fast jedem PC-Gehäuse Platz finden. Wenn du mit IPCop arbeiten möchtest würde ich mir in der Bucht einen Igel Thin Client oder ein Alix Board schießen. Das Gerät kannst du später auch mal außerhalb vom PC gut betreiben, außerdem laufen zumindest die Alix-Boards mit 12V. Mit einem leeren Slotblech und einem Patchverbinder könntest du dir auch einen Teil der Verkabelung ersparen: http://www.reichelt.de/Patchpanel-RJ45-Dosen/MEKP-8-8/index.html?ACTION=3&GROUPID=4317&ARTICLE=37327&SHOW=1&START=0&OFFSET=16&; Hast du mal untersucht, wie sich der IPCop auf seiner roten Schnittstelle meldet? Ich weiß nicht ob der überhaupt auf Anfragen reagiert bzw. sich dann als "IPCop" meldet - was ja für dein Projekt eher schlecht wäre.
Εrnst B✶ schrieb: > Hört sich eher nach "Studentenwohnheim-Internet" oder so an. Bingo. Thomas Klima schrieb: > Aha, du suchst eine zusätzliche Hardware auf der dann eine > Softwarefirewall rennt um keine Firewall einsetzen zu müssen. Na dann > leg dir doch einen Router ins PC Gehäuse hinein und führe die Kabel > durch die Slotbleche. Mysteriös. Das geht nicht durch. Ein eigener NAT-Router/Firewall zum abschotten des Systems kann nur verwendet werden, wenn es "Fest" eingebaut ist, und intern verkabelt ist. Und somit als "EIN PC" durchgeht. Ein Slotblech mit einer RJ45 Kupplung, ein 0815 Consumerrouter in das PC Gehäuse stellen, und intern anklemmen, das ginge natürlich auch. Den dann über ein kurzes Patchkabel durch eine offene Slotblende an den Mainboard NIC angeschlossen. Das mit dem Patchkabel, dass zwar das PC Gehäuse im Prinzip wieder verlässt, aber unmittelbar wieder ans MAinboard geht, würde eventuell noch durchgehen. Mir wurde vom Admin folgendes gesagt: Sie kennen die Richtlinien. Sie können innerhalb ihres PC's auf eigene Verantwortung machen was sie wollen. Solange es nur ein pysikalisches Gerät ist und keine Serverdienste bereit gestellt werden. Ein "Versehen" z.B. durch Fehlkonfiguration des Rechners, wird allerdings nicht anerkannt. Eine VM alleine bzw eine reine Softwarefirewall auf dem Betriebssystem des Rechners selbst ist mir daher nicht sicher genug. Und das pysikalische Gerät muss so aufgebaut sein, dass es bei einer Vor-Ort Kontrolle auch als ein einzelnes Gerät identifiziert werden würde.
Irgendwelches Quota haben wir hier im Wohnheim Netz nicht. Die Switches des Hauses lassen auch Port-To-Port Kommunikation zu. Wäre es richtig gemacht, könnte man es sich sparen, so strikt auf "Nur ein PC, direkt per Kabel an der Netzwerkdose angeschlossen, ohne im LAN sichtbare Serverdienste" zu pochen. Würden die Sitches keine Port-To-Port Kommunikation erlauben, und gäbe es ein Quota/Trafficckontinggent pro bezahltem Account, wäre das Problem technisch gelöst. Man bräuchte keine organisatorischen Maßnahmen mit strengen Regeln und Kontrollen. Aber die haben hier im Netz mehr oder weniger auf etwas bessere SOHO Technik gesetzt.
IT-ler schrieb: > Und das pysikalische Gerät muss so aufgebaut sein, dass es bei einer > Vor-Ort Kontrolle auch als ein einzelnes Gerät identifiziert werden > würde. Kommt denn die Kontrolle wie der Blitz aus dem Himmel? Ohne dein einverständnis kommen die doch nicht rein. Wenn sie vor der Tür stehen, dann muss sich deine Freundin halt erst was anziehen. In der Zwischenzeit klemmst du die Firewall und PC ab und versenkst sie im Schrank, steckst statt dessen ein LAN-Radio drann. Sollte die Kontrolle wirklich ohne dein Einverständnis erfolgen, dann wäre das ein Straftatbestand, Hausfriedensbruch. Wie ist das denn gesichert? Per MAC Adresse? Die kann man ganz leicht Faken, sprich, du gibst die MAC Adresse deines Radios an und fakest die Adresse vom Router oder PC.
Mich würde mal interessieren, was das für ein ominöses Wohnheim sein soll wo man seinen eigenen Rechner nicht ans Netz klemmen darf und welches den Bewohnern PCs zur Verfügung stellt? Da sollte dann aber jeder einen großen Bogen drum machen. IT-ler schrieb: > Die Switches des Hauses lassen auch Port-To-Port Kommunikation zu. Das ist ja auch irgendwie der Sinn eines Switches, oder? IT-ler schrieb: > Wäre es richtig gemacht, könnte man es sich sparen, so strikt auf "Nur > ein PC, direkt per Kabel an der Netzwerkdose angeschlossen, ohne im LAN > sichtbare Serverdienste" zu pochen. Dann sollte man es jetzt richtig machen. IT-ler schrieb: > Würden die Sitches keine Port-To-Port Kommunikation erlauben, und gäbe > es ein Quota/Trafficckontinggent pro bezahltem Account, wäre das Problem > technisch gelöst. Man bräuchte keine organisatorischen Maßnahmen mit > strengen Regeln und Kontrollen. Richtig, da haben wir also eine super Lösung ohne komisches Gebastel am Rechner. IT-ler schrieb: > Aber die haben hier im Netz mehr oder weniger auf etwas bessere SOHO > Technik gesetzt. Das ist natürlich Pech, aber wenn man es immer nur billig haben will kommt dabei halt Murks raus.
IT-ler schrieb: > Solange es nur ein pysikalisches Gerät ist und keine Serverdienste > bereit gestellt werden. Und wie bitte stellen die sich denn ein System ohne bereitgestellte Serverdienste vor? Da muss man gängige netzwerkfaehige Betriebsysteme ja erstmal aufwändig verbiegen, bis kein Windows-Verzeichnisdienst oder ssh oder sonstwas mehr läuft. Das ist doch Humbug. Steht dein Studentenwohnheim in Schmalkalden?
Also ich denke, ich bestelle mal ne Netzwerkkarte "zum Verbasteln". Ich vermute, selbst wenns diese Slot In PCs in der benötigten Form geben sollte, werden diese wohl recht teuer sein, da Spezialtechnik. Denke, ich bau es wohl so auf: Billige Netzwerkkarte zum Verbasteln kaufen, zwischen Übertrager und Buchse die Leiterbahnen auftrennen. 2 Patchkabel anlöten. So sieht man von außen gar nix. Dann noch nen einfachen Router dazu, der muss ja nur ne Netztrennung machen. NAT und einfache Firewall reichen dafür ja schon. Muss nur schauen, dass die MAC Adresse änderbar ist, und ich dann ne Realtek MAC nutze Idealerweise sollte der Hostname wählbar sein, dann gebe ich dem Ding nen Clienttypischen Namen. Und natürlich darf auf der WAN Seite keine Config Oberfläche, SSH, Telnet oder sowas sein. Werde schauen, dass er sich möglichst unauffällig verhält. Um bei Netzwerkscans keine Aufmerksamkeit zu erregen. Außerdem kein WLAN, und keine Abgriffe des "internen" LAN nach Außen, so dass man mir kein "Internetsharing" vorwerfen kann. Und dann den Router auch noch mit ner Schraube fest gemacht, und über das PC Netzteil mit Strom versorgt So sollte das dann schon "durchgehen" bzw toleriert werden, und als ein normaler PC / ein Gerät angesehen werden. Was fürn Router würdet ihr für so ein Vorhaben nehmen?
Daniel H. schrieb: > Mich würde mal interessieren, was das für ein ominöses Wohnheim sein > soll wo man seinen eigenen Rechner nicht ans Netz klemmen darf und > welches den Bewohnern PCs zur Verfügung stellt? Da sollte dann aber > jeder einen großen Bogen drum machen. Rechner werden nicht gestellt. MAn darf aber nur EIN GERÄT an das Netzwerk anschließen, per Kabel, ohne weitere Zwischengeräte wie z.B. NAT-WLAN Router. Und Serverdienste (Damit ist z.B. Proxy, NAT Gateway, FTP Server usw gemeint) sind nicht erlaubt, sie dürfen zumindest nicht übers LAN erreichbar sein. Rechnerintern kann man wie gesagt machen was man will. Es geht ja nur drum, dass ja keiner den Internetzugang teilt, und man sogenannte "mitesser" hat. Dafür gibts die Regeln. > > IT-ler schrieb: >> Die Switches des Hauses lassen auch Port-To-Port Kommunikation zu. > > Das ist ja auch irgendwie der Sinn eines Switches, oder? Ja, es gibt aber Switches, die kann man so konfigurieren, dass die Client Ports unternander nicht kommunizieren können. Sondern nur über den Uplinkport mit dem Server/Gateway > > IT-ler schrieb: >> Wäre es richtig gemacht, könnte man es sich sparen, so strikt auf "Nur >> ein PC, direkt per Kabel an der Netzwerkdose angeschlossen, ohne im LAN >> sichtbare Serverdienste" zu pochen. > > Dann sollte man es jetzt richtig machen. > > IT-ler schrieb: >> Würden die Sitches keine Port-To-Port Kommunikation erlauben, und gäbe >> es ein Quota/Trafficckontinggent pro bezahltem Account, wäre das Problem >> technisch gelöst. Man bräuchte keine organisatorischen Maßnahmen mit >> strengen Regeln und Kontrollen. > > Richtig, da haben wir also eine super Lösung ohne komisches Gebastel am > Rechner. Richtig, aber für mich nicht änderbar. Ich muss basteln, oder einfach nur ne dumme Download und Zockermaschine ans Netz hängen und z.B. für Linux Experimente nen zweiten Rechner + UMTS kaufen. > > IT-ler schrieb: >> Aber die haben hier im Netz mehr oder weniger auf etwas bessere SOHO >> Technik gesetzt. > > Das ist natürlich Pech, aber wenn man es immer nur billig haben will > kommt dabei halt Murks raus. Full ack.
Klaus Kaiser schrieb: > IT-ler schrieb: >> Solange es nur ein pysikalisches Gerät ist und keine Serverdienste >> bereit gestellt werden. > > Und wie bitte stellen die sich denn ein System ohne bereitgestellte > Serverdienste vor? Da muss man gängige netzwerkfaehige Betriebsysteme ja > erstmal aufwändig verbiegen, bis kein Windows-Verzeichnisdienst oder ssh > oder sonstwas mehr läuft. Das ist doch Humbug. Steht dein > Studentenwohnheim in Schmalkalden? Naja, das Zeug was bei Windows standardmäßig aktiv ist, darüber beschwert sich ja keiner. Mit Serverdiensten meinen die Sachen wie Proxys oder Gateways, FTP Server. Halt alles, was eine "Ressorcenteilung" an dritte oder mehrere eigene Endgeräte darstellt, ohne dass bezahlt wird, oder zu einem Kontrollverlust führen kann.
Installiere dir doch einfach ein Linux mit Firewall (das was dein SlotinPC halt wäre) und lass darauf VirtualBox laufen mit Windows oder was dir sonst so beliebt.
Angehängte Dateien:
-
P5050097s.JPG
320 KB
In der Industrie werden PICMG-Slot-CPU-Karten verwendet, die in passive Backplanes eingesteckt werden. Hier gibt es auch geteilte Backplanes, wo Du zwei Slot-CPU-Karten einstecken kannst, die dann jeweils ihre eigenen Slots haben. Das sind dann zwei getrennte PCs an einem Netzteil in einem Gehäuse. Solche Lösungen sind aber deutlich teurer als Standard-Mainboards. Das nur mal so als Anregung, was es alles so gibt. Das Foto zeigt einen 19" Rechner mit einer 4'er Backplane und zwei Slot-CPU-Karten. Zwei weitere konnten nachgesteckt werden. fchk
Ich schlage mal folgendes Gerät vor: https://eshop.phoenixcontact.de/phoenix/treeViewClick.do?UID=2989213&parentUID=852612474 Das Gerät ist eine Firewall, welche in einen PCI-Port (kein PCI Express) des PC eingesteckt wird und sich dort dann wie eine normale Netzwerkkarte verhält. Sprich: Unter Windows wird eine neue Netzwerkkarte eingerichtet, welche sämtlichen Traffic durch die Firewall der Karte durchschiebt. Bei den Standalone-Geräten läuft ein kleines Linux auf der Kiste, ich vermute mal das diese Karte sich nicht anders verhält. Eine Variante mit integrierter VPN-Funktionalität ist ebenfalls erhältlich, zudem gibt es diverse Softwarelizenzen welche z.B. einen Virenscanner nachrüsten der den Traffic scannt. Die Karte dürfte allerdings ihren Preis haben... Blätter einfach mal durch das Handbuch im "Download"-Reiter.
Hallo, was ich an der ganzen Diskussion nicht verstehe: PC und Router können ja nicht die gleiche IP-Adresse haben, nicht mal das gleiche Netzwerk, es ist also am PC auf einen Blick feststellbar, dass er garnicht am bereitgestellten Netzwerk hängt. Das macht doch die Lösung sinnlos, da kann man gleich ein Schild dranhängen "Router inside". Ein Durchreichen der IP-Adresse ginge höchstens mit einer Bridge, aber darauf läuft keine Firewall. Gruss Reinhard
Man kann ja den Router als Bridge konfigurieren (etwas iptables frickelage), so dass er quasi "unsichtbar" und ist und (zumindest nach außen hin) keine eigene IP hat. Filtern mit der iptables Firewall könnte man dann dennoch. Oder man verwendet einfach NAT...
Reinhard Kern schrieb: > Ein Durchreichen der IP-Adresse ginge höchstens mit einer Bridge, aber > darauf läuft keine Firewall. doch. Es gibt auch professionelle Firewall-Geräte die man nur zwischen das Kabel hängt und nichts umkonfigurieren braucht. Sie arbeiten von aussen wie ein Switch.
Du brauchst gar keine Netzwerkkarte zerschnippeln. Es gibt RJ-45 Durchführungsbuchsen, die clipst du ins Gehäuse ein: https://www.buerklin.com/default.asp?event=ShowArtikel%2873F1422%29&l=d&jump=ArtNr_73F1422&ajaxLoad=true
irgendwie der internet zugang über die rwth aachen?
IT-ler schrieb: > Wäre es richtig gemacht, könnte man es sich sparen, so strikt auf "Nur > ein PC, direkt per Kabel an der Netzwerkdose angeschlossen, ohne im LAN > sichtbare Serverdienste" zu pochen. Kommt darauf an was der Admin bezweckt. Er könnte das auch anderweitig erzwingen. Teils sind die vorgaben auch durch die Hochschule da und nicht durch den Admin (glaube mir ich weiss zu gut wovon ich rede) IT-ler schrieb: > NAT ...Warscheinlich meinst du PAT... IT-ler schrieb: > Ja, es gibt aber Switches, die kann man so konfigurieren, dass die > Client Ports unternander nicht kommunizieren können. Sondern nur über > den Uplinkport mit dem Server/Gateway Kann man schon, man kann sich aber auch nen switch an die backe tackern. Wie wäre es wenn du dich einfach bei euch inner netz ag erstmal beteiligst ... genug ahunung von netzen zu haben scheints du jedenfalls erstmal nicht... aber die können dir bestimmt noch was beibringen. Wenn ich mir anschaue das unser wohnheim für seine ca 350 User aktuell schon Technik jenseits der 50k€ rumstehen hat, nettes hochperformantes spielzeug was noch so einiges mehr kann aus DU dir vorstellen kannst. Ich seh das ganze aktuell von der netzadmin seite...
Peter II schrieb: > Es gibt auch professionelle Firewall-Geräte die man nur zwischen das > Kabel hängt und nichts umkonfigurieren braucht. Ich dachte mir schon, dass es sowas sinnvollerweise geben sollte, habe es aber noch nirgends gesehen. Ob so ein Gerät auch preislich studentenwohnheimkompatibel ist und in einen PC innen reinpasst? Ich bin mir nicht so recht sicher, dass der Fragesteller einen Router aus dem Geiz-ist-Blöd-Segment entsprechend umstellen kann. Da müsste ich selbst auch noch das eine oder andere nachlesen. Gruss Reinhard
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.