Hallo allerseits, nach einigem Ärger mit einer von heute auf morgen gesperrten Tonerkartusche hab ich den Verdacht, dass mein Lexmark-Drucker (ja ich weiß, wie kann man nur..) heimtelefoniert. Jedenfalls möchte ich ihn vom Internet abtrennen, aber der Drucker soll weiterhin zum Drucken im Netzwerk verfügbar sein. In den Routereinstellungen habe ich was Vielversprechendes gefunden, siehe Anhang. Beim Router handelt es sich um einen Speedport W 504V. Das Netzwerkgerät und damit den Drucker kann man in den Routereinstellungen über eine Liste anhand der MAC-Adresse auswählen. Kann man damit den Drucker zuverlässig vom Internet fernhalten, Updates verhindern usw.? Die MAC-Adresse ändert sich nie? Was muss ich bei den Portbereichen einstellen? Oder verhindert eine solche Sperre auch das Drucken innerhalb vom Netzwerk? Danke für die Hilfe!
Angehängte Dateien:
-
Router.png
59 KB
Der TE schrieb: > Die MAC-Adresse ändert sich nie? Ja Der TE schrieb: > Oder verhindert eine solche Sperre auch das > Drucken innerhalb vom Netzwerk? Sollte nicht müsste man ausprobieren.
Der TE schrieb: > Kann man damit den Drucker zuverlässig vom Internet fernhalten, Updates > verhindern usw.? Die MAC-Adresse ändert sich nie? Was muss ich bei den > Portbereichen einstellen? Du hast bereits die Zeitbeschränkung auf "Nie" gestellt, also darf diese Gerät "Nie" ins Internet.... Auf das Intranet hat das keinerlei Auswirkungen.
Wenn es der Drucker zulässt, könnte man ihm eine statische IP verpassen und die Gateway-Adresse verbiegen, dann kommt der Drucker nicht mehr aus dem Netz heraus.
Man koennte auch einfach dem Drucker in seiner Konfiguration das Default Gateway wegnehmen. Solange man selber keine Subnetze hat.
Danke für die Antworten! Dann bin ich scheinbar auf dem richtigen Weg. Teo D. schrieb: > Du hast bereits die Zeitbeschränkung auf "Nie" gestellt, also darf diese > Gerät "Nie" ins Internet.... OK, aber die zeitliche Einschränkung bezieht sich nur auf die drunterstehenden Regeln, oder? Wenn ich alles anhak, sollte auch kein Protokoll mehr durchkommen? Mario M. schrieb: > Wenn es der Drucker zulässt, könnte man ihm eine statische IP verpassen > und die Gateway-Adresse verbiegen, dann kommt der Drucker nicht mehr aus > dem Netz heraus. Der Drucker hat sowieso schon eine statische IP. Die Gateway-Adresse verbiegen müsste ich dann im Drucker selbst?
Der TE schrieb: > OK, aber die zeitliche Einschränkung bezieht sich nur auf die > drunterstehenden Regeln, oder? Wenn ich alles anhak, sollte auch kein > Protokoll mehr durchkommen? Ich kenn deinen Router zwar nicht, aber "Kein Internet Zugang", heißt normal auch "Kein Internet Zugang". Die darunter stehenden Regeln gelten IMMER. Sowas läuft auch gern unter "Kindersicherung", wo man den Täglichen Internetzugang Zeitlich beschenken kann. Da bleibt kein Auge trocken, bzw. kein Port offen.
Der TE schrieb: > Die Gateway-Adresse verbiegen müsste ich dann im Drucker selbst? Ja, wobei du (wie schon genannt wurde) diese auch komplett entfernen kannst, solange du nur ein einziges Netz hast. Geht aber nur, wenn du die statische IP-Adresse auch am Drucker selbst konfiguriert. Wenn du ihn auf DHCP stellst (und die statische Zuweisung nur über den DHCP-Server absicherst), dann wird er sich wohl alles vom DHCP-Server holen, was er an Informationen von ihm bekommen kann. Vermutlich wirst du derartige Details in deinem DHCP-Server (der vermutlich auf deinem Router läuft) nicht konfigurieren können, damit würde er von diesem auch einen Gateway genannt bekommen.
Hab das jetzt mal mit dem Handy getestet, welches bei entsprechender Einstellung auch geblockt wird. Und anschließend dann den Drucker gesperrt. Obs funktioniert, kann ich kann ich für den Drucker nicht überprüfen, aber ich trau dann der Sache einfach. Danke an alle für die Hilfe! @Teo D.: Die Sperre hat sich tatsächlich nur mit ausgewählten Sperregeln aktivieren lassen. Ich hab dann "Alle Ports TCP" und "Alle Ports UDP" ausgewählt. Hoffe da gibt es kein Schlupfloch mehr. @Jörg W.: Dem Drucker trau ich ja nicht, deshalb möcht ich mich nicht auf seine Einstellungen und Firmware verlassen.
Der TE schrieb: > Dem Drucker trau ich ja nicht, deshalb möcht ich mich nicht auf seine > Einstellungen und Firmware verlassen. Naja, wenn er eine manuell zugewiesene IP-Adresse bekommt und dabei eben keinen Gateway konfiguriert hat, dann kann er sich nicht einen Gateway irgendwo her zaubern. Ein Gerät, das trotz manueller IP-Konfiguration noch DHCP macht, könnte man schon als kaputt bezeichnen. Habe ich auch noch nicht erlebt.
Angehängte Dateien:
Also das der Drucker aus der Ferne die Toner gesperrt bekommt hab ich auch noch nicht gehört. Um welches Modell handelt es sich denn? Hast du den Netzwerkverkehr mal gesharkt? Ansonsten einfach den/die DNS Server aus der Config löschen.
Der TE schrieb: > @Teo D.: Die Sperre hat sich tatsächlich nur mit ausgewählten Sperregeln > aktivieren lassen. Ich hab dann "Alle Ports TCP" und "Alle Ports UDP" > ausgewählt. Hoffe da gibt es kein Schlupfloch mehr. Nu musste ich doch noch mal nachsehen. Leider wurde ich fündig, da wird nur UDP/TCP gesperrt (bei meiner FB). Also kein Schlupf-LOCH eher ein Scheunentor. :( Aber da wissen Andere mehr als ich.
:
Bearbeitet durch User
Was anderes als UDP und TCP wird sowieso nicht geNATtet.
Mario M. schrieb: > Was anderes als UDP und TCP wird sowieso nicht geNATtet. ESP/GRE/ICMP meint meine FB zumindest noch zu kennen (und Sperren zu können) und ich könnt was Wetten, da gibts noch'n Dutzend weitere Exoten. @TE So wie ich das auf die schnelle blicke, wird wirklich nur UDP/TCP über die Zeitsperre geblockt, alles weitere (ESP/GRE/ICMP) muss unter "Netzwerkanwendungen" erst eingetragen werden.
Der TE schrieb: > @Teo D.: Die Sperre hat sich tatsächlich nur mit ausgewählten Sperregeln > aktivieren lassen. Ich hab dann "Alle Ports TCP" und "Alle Ports UDP" > ausgewählt. Hoffe da gibt es kein Schlupfloch mehr. Gibt es sicher. Es gibt nämlich eine ziemliche Vielfalt "dokumentierter" weiterer Protokolle, die auf IP aufsetzen und somit routingfähig sind. Dass Otto-Normal-DAU nur TCP und UDP kennt (wenn überhaupt), ändert daran nix... Zusätzlich kann man jederzeit beliebige proprietäre Protokolle auf IP aufsetzen lassen. Die sind dann formal zwar nicht "legal", aber die meisten Router werden sie trotzdem transportieren... Oh' heilige Einfalt...
c-hater schrieb: > Zusätzlich kann man jederzeit beliebige proprietäre Protokolle auf IP > aufsetzen lassen. Klar, aber wie schon erwähnt worden ist, solange wir vorrangig mit IPv4 leben und daher der Router NAT machen muss, ist es jenseits von TCP und UDP (und ICMP echo) schnell Essig mit Eigenkreationen.
Warum sollte der Drucker überhaupt ins Internet gehen? Wenn man die vom TO vermutete Sperre wirklich realisieren will geht das doch am PC über Treiber/ fancy Steuersoftware viel einfacher. Thomas
Thomas Z. schrieb: > Warum sollte der Drucker überhaupt ins Internet gehen? WENN es ein NETZWERKdrucker ist, hat er eine IP und hängt im LAN. Was soll da Dein PC blocken? Du kannst höchstens den Drucker konfigurieren. Was seine eingebaute Druckersoftware jetzt so im LAN anstellt wissen wir noch nicht. Man könnte es höchstens protokollieren. Irgendwann sendet er evtl. Statusmeldungen und versucht Toner zu bestellen? Lexmark-Drucker sind SNMP-kompatible Geräte.
Zumindest bei HP hat es schon den Fall gegeben - Drucker zieht automatisch Updates und sperrt von heute auf Morgen alle Zubehörpatronen aus. Daher haben meine Netzwerkdrucker auch keine Internetberechtigung.
Mario M. schrieb: > Was anderes als UDP und TCP wird sowieso nicht geNATtet. Das hieße, dass man mit anderen Protokollen sowieso nicht ins Netz kommt? Kann man das vom Computer aus irgendwie testen, den kann ich ja in gleicher Weise im Router sperren. @Teo D.: "Netzwerkanwendungen" gibts bei mir im Routermenü nicht, auch nicht in der Bedienungsanleitung. Domi N. schrieb: > Also das der Drucker aus der Ferne die Toner gesperrt bekommt hab ich > auch noch nicht gehört. Um welches Modell handelt es sich denn? Es handelt sich um einen Lexmark MS310dn. Der ("Alternativ"-) Toner war gerade ein paar Wochen alt, hat anfangs einwandfrei funktioniert. Plötzlich haben die Lichtchen geleuchtet und in der Konfigurationsseite stand "Fremdtoner erkannt". In der Anleitung stand dann man kann Fremdtoner mit einer Tastenkombination freischalten, was ich dann gemacht habe. Vielleicht war das ein Fehler... Anschließend war der Status "Black Cartridge ~ 1%" und "Very Low, 5000 estimated pages remain". Nach noch einer gedruckten Seite kam dann "Replace, 0 estimated pages remain". Der Händler hat mir eine neue Kartusche geschickt, ebenfalls keine Originale, und jetzt funktioniert er erstmal wieder. Da stellt sich mir halt die Frage was da wohl passiert ist. Die Kartusche ist gechipt mit einem 4-poligen Stecker, vermutlich USB. Die Kommunikation mit dem Chip hat offensichtlich funktioniert, sonst hätte der Drucker ein falsches Einlegen, fehlende Kartusche o.Ä. reklamieren müssen, aber nicht einen "Fremdtoner". Meine Vermutung ist ein Update der Firmware und eine Blackliste mit Seriennummern, aber keine Ahnung... Automatische Udates waren sogar deaktiviert. Die Sache, dass der Drucker sich die Fremdpatrone bestätigen lässt und diese dann nach einem Druck als leer abstempelt, finde ich schon eine riesen Schweinerei. Dass mans aus Garantiegründen bestätigen muss, sehe ich soweit noch ein. Jörg W. schrieb: > Ein Gerät, das trotz manueller IP-Konfiguration > noch DHCP macht, könnte man schon als kaputt bezeichnen. Naja, mittlerweile traue ich denen alles zu. Könnte ja sein, dass sich der Drucker beim Starten kurz eine IP über DHCP zuteilen lässt (weil er schon seit Wochen keinen Kontakt mehr nach Hause hatte) und anschließend in seine feste IP umschält. Ich kenn mich da aber im Detail nicht aus, was alles möglich wäre, will auch keinen Druckerhersteller auf dumme Ideen bringen ;-)
Markus -. schrieb: > Daher haben meine Netzwerkdrucker auch keine Internetberechtigung. Wie sperrst du die aus, bzw. ein? Über den Router?
Die Gateway-Adresse dient dem einzigen Zweck, IP-Adressen zu erreichen, die sich nicht im eigenen Subnet befinden. Also diese auf z.B. 0.0.0.0 oder 127.0.0.1 setzen und Ruhe ist. Definitiv. Geräte, die quasi zur Infrastruktur eines LAN gehören, müssen entweder eine feste IP-Adresse haben ODER über ihren Hostnamen per DNS im LAN aufgelöst werden. Das muss dann aber auch so eingerichtet sein, und dann fuktioniert das auch.
Frank E. schrieb: > und dann funktioniert das auch. So Deine Hoffnung! Bei einem Besen kann man den Stiel kontrollieren, bei Software muß man hoffen, daß sie in Ordnung ist. Da erinnere ich nur an einige geheime Zeichen zur Erkennung des einzelnen Druckers (Machine Identification Code (MIC). Bei einigen Farbdruckern sind das gelbe Pünktchen. https://de.wikipedia.org/wiki/Machine_Identification_Code Wie es in diesem Lexmark-Fall sich verhält, ist mir noch unbekannt. Der CCC könnte evtl. etwas wissen? Abgesehen davon gibt es einige Toner, die einfach Schrott sind.
Teo D. schrieb: > Ich kenn deinen Router zwar nicht, aber "Kein Internet Zugang", heißt > normal auch "Kein Internet Zugang". Die darunter stehenden Regeln gelten > IMMER. > Sowas läuft auch gern unter "Kindersicherung", wo man den Täglichen > Internetzugang Zeitlich beschenken kann. Da bleibt kein Auge trocken, > bzw. kein Port offen. Das dachte ich auch mal. Allerdings kam der Windows-PC mit Admin-Konto sporadisch ins Netz, obwohl er in der FritzBox per Kindersicherung komplett gesperrt war. Trotz Erklärung des Supports habe ich bis heute nicht verstanden weshalb das möglich war. Beitrag "Re: Gesamten Datenverkehr im Heimnetz kontrollieren"
Micha schrieb: > Das dachte ich auch mal. Allerdings kam der Windows-PC mit Admin-Konto > sporadisch ins Netz, obwohl er in der FritzBox per Kindersicherung > komplett gesperrt war. Die meisten Drucker japanischer Hersteller, Canon, Kyocera, OKI, usw arbeiten intern mit μiTron. Da passiert unerlaubter Netzwerkzugriff genauso wenig wie bei anderen, vernünftigen OS. Windows kann ich leider nicht dazu zählen.
Micha schrieb: > Das dachte ich auch mal. Ja, man lernt halt nie aus. Micha schrieb: > Allerdings kam der Windows-PC mit Admin-Konto > sporadisch ins Netz, obwohl er in der FritzBox per Kindersicherung > komplett gesperrt war. Das muss ich mal testen (FBxyz/W7,64).... Irgend wann.
Benutz einfach keinen "Fake"Toner. So teuer ist der Originale von Lexmark jetzt auch nicht und Ausserdem geht der Drucker dann weniger schnell inne Fritten.
nun ich halte es für viel wahrscheinlich daß die Nachbaukartuschen einfach nicht korrekt funktionieren. Sollte das so sein wirst du das Problem wieder bekommen. Wenn nicht hast vermutlich eine defekte Kartusche erwischt. Das der Hersteller aus der Ferne deine Kartuschen abschaltet wäre zwar möglich aber ziemlich unwahrscheinlich. Thomas
JA N. schrieb: > Benutz einfach keinen "Fake"Toner. Nach so Aktionen kriegen die sicher keinen mueden Pfennig mehr von mir. Thomas Z. schrieb: > nun ich halte es für viel wahrscheinlich daß die Nachbaukartuschen > einfach nicht korrekt funktionieren. Sollte das so sein wirst du das > Problem wieder bekommen. Wie soll denn der Drucker feststellen, dass es sich um eine Nachbaukartusche handelt? Was denkst du koennte falsch gelaufen sein, dass die Firmware auf eine Nachbaukartusche "tippt" (explizite Fehlermeldung). Das muss ja ein "nicht korrekt[es] Funktionieren" sein, das bei Originalpatronen garantiert nicht auftreten kann. Im Ernst, erklaer mir bitte ein moegliches Szenario. PS: Die FTDI-Treibergeschichte war auch "ziemlich unwahrscheinlich", trotzdem wurde es gemacht...
Der TE schrieb: > Wie soll denn der Drucker feststellen, dass es sich um eine > Nachbaukartusche handelt? Was denkst du koennte falsch gelaufen sein, > dass die Firmware auf eine Nachbaukartusche "tippt" (explizite > Fehlermeldung). Das muss ja ein "nicht korrekt[es] Funktionieren" sein, > das bei Originalpatronen garantiert nicht auftreten kann. > Im Ernst, erklaer mir bitte ein moegliches Szenario. Nun zum einen kann es sein das der Chip im Nachbau sich nicht immer genauso verhält wie ein Originalchip. Der Hersteller des Nachbautoner muss ja das Chipprotokoll selbst dekodieren oder einen Chip zukaufen. Sowas kann die Firmware des Druckers erkennen und das ist bei dir ja auch sonst würdest du nicht die Warnung erhalten. Ich kenne solches Verhalten aus einem ganz anderen Bereich (Laptop Akkus). Da sitzen in China ganze Teams daran möglichst das komplette Protokoll nachzubauen und trotzdem gibt es Serien bei dehnen auf einmal die (Nachbau) Akkus nicht mehr laden. Sony war da in der Vergangenheit berüchtigt. Aber auch bei Acer gab's einen Akku der nach einer Änderung auf einmal in vielen Laptops nicht arbeiten wollte obwohl Original Teil. Da keinerlei Informationen zugänglich sind ob und wie die Chips arbeiten kann ein Fehler auch nach mehreren Wochen passieren, z.B. wenn der Drucker alle 4 Wochen ein spez. Kommando absetzt. Sowas ist in der FW sicher einfacher zu implementieren als als über das Internet den Fremdtoner auszuknipsen. Thomas
Thomas Z. schrieb: > bei Acer gab's einen Akku der nach einer Änderung auf einmal in vielen > Laptops nicht arbeiten wollte obwohl Original Teil. OK, allerdings kam da die Änderung wohl von Außen (Firmwareupdate). > Da keinerlei Informationen zugänglich sind ob und wie die Chips arbeiten > kann ein Fehler auch nach mehreren Wochen passieren, z.B. wenn der > Drucker alle 4 Wochen ein spez. Kommando absetzt. Das kann natürlich sein, in diesem Fall wäre keine Internetverbindung nötig. Jedoch scheint mir das müsste dann fast Absicht sein, so einen Befehl nur sporadisch zu senden (und dem arglosen Kunde das Leben möglichst schwer zu machen:-). > Sowas ist in der FW > sicher einfacher zu implementieren als als über das Internet den > Fremdtoner auszuknipsen. Der Knackpunkt für mich ist immer noch, dass sich der Treiber ja offensichtlich sicher ist, dass es eine Fremdpatrone ist und nicht nur ein Fehler des Chips. Aber letztlich kann man nur spekulieren. Auf jeden Fall möchte ich nicht mehr dem Drucker die Möglichkeit geben nach hause zu telefonieren, egal, was er zu sagen hat.
Der TE schrieb: > nur spekulieren. Auf jeden Fall möchte ich nicht > mehr dem Drucker die Möglichkeit geben nach hause zu telefonieren, Es bleibt nun für mich noch die Frage, WER überhaupt nach Hause telefoniert haben könnte. A) Der Drucker direkt über seinen LAN-Anschluss oder B) ein PC z.B. über irgendwelche Treiber-SW? Man sollte auf jeden Fall nochmals alle Drucker -Menüs genauer unter die Lupe nehmen ob noch etwas abzuschalten geht. Das kann aber von SW-Stand zu SW-Stand verschieden sein. Beim BSI sind auch noch ein paar allgemeine Hinweise über den Umgang mit Druckern. Fernwartung wäre evtl. interessant?
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.