Forum: PC Hard- und Software Raspberry Pi (Bridge) zugriff auf bestimmte IP verweigern


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Fritz (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo zusammen,

ich habe meinen Raspberry Pi (Raspbian OS) als Bridge eingerichtet. Also 
er nimmt das ETH vom Router und öffnet ein eigenes WLAN für 
(Gute-)Gäste.

Jetzt würde ich natürlich aus Sicherheitsgründen den Zugriff auf 
192.168.0.1 verweigern. Wie stelle ich dies am geschicktesten an? Ich 
hatte erst vermutet, dies über ufw zu konfigurieren, ist das so richtig?

von M. P. (phpmysqlfreak)


Bewertung
0 lesenswert
nicht lesenswert
Beschränke den Zugriff auf die Konfigurationsports (80, 443, UPNP 
Zeugs), sofern du das eh aus dem LAN machst. Das sollte im Heimnetz 
ausreichen.

Den generellen Zugriff auf die IP würde ich nicht blockieren, sonst kann 
es Probleme beim Internetzugriff geben.

von Tuxomat (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Fritz schrieb:
>Also
> er nimmt das ETH vom Router und öffnet ein eigenes WLAN für
> (Gute-)Gäste.

Also läuft hostapd und eine bridge mit ethX und wlanY?

Wenn ja, mal in Richtung ' br_netfilter' schaun..

von Fritz (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Danke für die schnelle Rückmeldung euch beiden!

Welche Ports wären denn alle zu empfehlen die man sperrt?, bzw. oder 
eignet sich generell eher ein Whitelisting?

Tuxomat schrieb:
> Also läuft hostapd und eine bridge mit ethX und wlanY?

Exakt, habe davon noch nichts gehört aber werde mich mal einlesen, 
vielen Dank!

von ... (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dir gehts ganz offensichtlich um die Sicherheit. Da du ja eh ein Raspi 
einsetzt, wie wär's mit dem Pi-Hole auf der Kiste?

von Nano (Gast)


Bewertung
0 lesenswert
nicht lesenswert
M. P. schrieb:
> Beschränke den Zugriff auf die Konfigurationsports (80, 443, UPNP
> Zeugs), sofern du das eh aus dem LAN machst. Das sollte im Heimnetz
> ausreichen.

Das sehe ich nicht so. Da reicht ein unsicherer Dienst auf nem anderen 
Port und schon könnte die Heimmaschine übernommen werden, wenn er nur 
einen dafür qualifizierten Gast im Netz hat.

> Den generellen Zugriff auf die IP würde ich nicht blockieren, sonst kann
> es Probleme beim Internetzugriff geben.

Die Gäste brauchen sicherlich keinen Zugriff auf 192.168.0.0/16

@TS
Lege eine Firewallregel an, damit geht das.

Schau dir dazu nftables und nft an.

von Nano (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Fritz schrieb:
> Danke für die schnelle Rückmeldung euch beiden!
>
> Welche Ports wären denn alle zu empfehlen die man sperrt?, bzw. oder
> eignet sich generell eher ein Whitelisting?

Grundsätzlich macht man ein Whitelisting.
Zuerst alle Zugriffe auf 192.168.0.0/16 inkl. aller Ports sperren und 
dann nach und nach freischalten, was du halt so brauchst.

Achte darauf, das du einzelne Freigaben auch deaktivieren kannst, wenn 
du sie nicht brauchst.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.