Posted: Fri Jun 22, 2012 10:45 Post subject: Client-Router und IP-Adressen vom Internet aussperren
Hallo,
folgende Situation: an einem Client-Router (Buffalo WHR-G54S, DD-WRT als W-Lan Client am AP des Providers hängend, die Zugangsdaten stehen mir zur Verfügung) hängen zwei Router, einmal ein VoIP-Router und einer für den Internetzugang für die Kidds mit aktivierter W-Lan-Schaltuhr. Das ganze sollte eigentlich verhindern das die Kidds unkontrolliert zu z.B. nachtschlafener Zeit im Internet rumwuseln. Nun ist Sohnemann (16 Jahre) aber auf den Trichter gekommen das er sich ja still klamm und heimlich immer ein schönes langes LAN-Kabel von seinem PC zum Client-Router legen kann und damit die Restriktionen der beiden anderen Router umgeht. Das ganze passiert meist dann wenn die Eltern mal nicht zu Hause sind, also fast täglich weil selbige berufstätig sind.
Ich habe nun, um wieder eine gewisse Kontrolle darüber zu erhalten, in den Zugriffsregeln des Client-Routers sämtliche IP-Adressen ausser denen der zwei zusätzlichen Router vom Internet ausgesperrt (zwei Regeln, einmal zwei Adressen/MAC zulassen und einmal alles übrig gebliebene blocken > Regel 1 und 2 belegt). Und hier liegt dann auch schon der Hase im Pfeffer: die Regeln scheinen nicht zu greifen. Sohnemann schaufelt weiter heimlich Daten aus dem Netz und lädt sich dazu anscheinend auch ab und an nen Kumpel ein (da stehen mir zu viele IPs im Router). So eine Situation ist natürlich bei Teenies, welche mit Urheberrecht und Co. noch nicht viel am Hut haben, nicht unbedingt zumutbar zumal Abmahnungen im großen Stil ja anscheinend ein neuer Geschäftszweig der Anwälte sind.
Nun meine Frage: welche Möglichkeiten habe ich nun noch um den ganzen LAN-Adressbereich ausser den der zwei Router (z.B. den bereich 192.168.0.10-254) vom Internetzugang aus zu sperren oder was mache ich ggf. bei den Regeln falsch? Bei den älteren DD-WRT-Versionen wars ja mal so das die Regeln von 10 zu 1 abgearbeitet wurden aber das scheint ja inzwischen egal zu sein.
Joined: 16 Jun 2006 Posts: 2427 Location: Berlin, Germany
Posted: Fri Jun 22, 2012 13:07 Post subject:
Hatte da mal was ähnliches per firewall realisiert.
Im prinziep ging es darum einer IP zu bestimmten Uhrzeite voll bzw. eingeschränkten
netzwerk/internet zugriff zugewähren 8das ganze sollte auch mac adressen basierend funktionieren muss dann aber entsprechend angepasst werden.
danke für deinen Beitrag. Leider trifft dieser das Problem nicht so ganz denn die zeitliche Lösung wird ja über einen zusätzlichen Router mit einer Zeitschaltuhr am W-Lan realisiert (D-Link DIR-300). Ich muss und will eigentlich nur verhindern das der Sohn mit seinem PC direkt an den Clientrouter geht anstatt sich per W-Lan an dem zusätzlichen Router DIR-300 an zu melden. Ein Ausbauen der Netzwerkkarte des PC kommt auch nicht in die Tüte denn die ist fest auf dem Board verlötet und kann letztlich einfach ersetzt werden. Leider hat der Kerl einen Kumpel der sich sowohl etwas mit der Materie aus kennt als auch das er ihn beliebig mit längeren Netzwerkkabeln ausstatten kann so das eben sein PC (wie auch jeder andere) daran gehindert werden muss per Kabel an den Client-Router zu kommen. Am Client-Router sollen NUR die zwei zusätzlichen Router mit statischer IP akzeptiert werden bzw. nur diese zwei sollen einen Zugang über die Client-Bridge zum Provider bekommen während alle anderen maximal nur das lokale Netz nutzen sollen dürfen (besser die nutzen nur das lokale des jeweilig zugeteilten Routers).
