Gå til innhold

Oppsett av nettfilter? (Cisco RVS-4000)


minimax

Anbefalte innlegg

Jeg ønsker å sette opp et nettfilter, men dessverre er ikke ruteren (Cisco RVS-4000) den enkleste og mest intuitive å ha med å gjøre 🙁

Det kablede hjemmenettverket går fra bredbåndsmodemet til Cisco RVS-4000 ruteren som deretter går til en Zyxel GS1100-16 (16 ports svitsj) for å kunne gi flere enn de 4 portene ruteren gir.
Jeg ønsker å blokkere en bestemt maskin slik at den ikke kommer inn på enkelte nettsteder, men kan bruke nettet ellers.
Iflg. ruteroppsettet har hver maskin/enhet hver sin en egen unike IP og MAC adresse, så dette burde gå uten å påvirke de andre maskinene.
Her et skjermbilde fra "Status" delen som viser at hver maskin/enhet har sin unike IP og MAC adresse:

status.thumb.png.a03d227253d305c897a75fee62be2065.png

 

Her er "Internet access policy" delen der jeg har prøvd å sette opp et filter. Den skal gi nettilgang, men blokkere youtube.com og google.com som eksempel:

access_policy.thumb.png.a75051669a24ba15053955c9d24097cb.png

 

Her derimot er delen jeg ikke forstår meg på (og sikkert hvor det går galt). Det er vinduet man får opp når man klikker på "Edit list of PCs" knappen fra forrige skjermbilde):

list_PCs.png.a55c0152f299935e62433863d65bc3b4.png

 

Hvordan skal jeg fylle ut denne? Skal jeg bruke PCens IP eller MAC adresse, og/eller en kombinasjon av ting her?

Lenke til kommentar
Videoannonse
Annonse

Her kan du nok velge, evt bruke begge.
Jeg ville brukt MAC da IP kan fornyes til noe annet med mindre du setter den PC`n til å ha fast IP.
Fyll inn MAC-adressen til PC`n du ønsker å sperre i f.eks MAC01 og test :)

Forresten er det unødvendig å sensurere interne IP`r  starter på 192) og MAC-adresser. det er kun den ut mot internett som er fornuftig å sensurere. Ikke at det skader å sensurere de heller altså :)

Endret av aklla
Lenke til kommentar

Så MAC adressen er unik for den aktuelle PC osv. mens IP adressen ikke nødvendigvis vil være lik for denne maskinen om det f.eks. er en laptop som kobles til/fra hele tiden.

9 minutes ago, aklla said:

Forresten er det unødvendig å sensurere interne IP`r og MAC-adresser. det er kun den ut mot internett som er fornuftig å sensurere.

Jeg forstår ikke helt...
Hvordan lager jeg et filter for kun en maskin på hjemmenettverket uten å bruke dens IP og/eller MAC adresse?

Lenke til kommentar

MAC-adressen er unik for den aktuelle maskinen ja, den er kodet inn i nettverkskortet. Kan lett endres, men den endres ikke av seg selv. Krever litt kunnskap for å endre den. IP-adresser kan endres av seg selv alt etter hvordan nettet er satt opp.

Ang sensuren, så tenkte jeg kun på selve bildet du la ut der du har sensurert bort interne IP`r og MAC-adresser fra bildet.
Ingen hemmelighet at du og noe slikt som 80% av verdens befolkning har 192.168.1.xxx-adresser internt.

Endret av aklla
Lenke til kommentar

OK, jeg forstår 😀
Ettersom jeg ikke er så veldig dypt inni dette tenkte jeg det var bedre å retusjere bort mer enn å legge ut noe jeg ikke burde.

Nå har jeg prøvd filteret igjen, ved å legge inn den aktuelle PCen sin MAC adresse, men allikevel blokkeres hele nettet ut for ikke bare den maskinen, men også hovedmaskinen jeg sitter med. Vanskleig å vite hvor hen feilen ligger.... tips?

Lenke til kommentar

Jepp, jeg bare kopierte MAC adressen derfra for så å lime den inn i et av MAC feltene i "Edit list of PCs".
Jeg har fjernet Google.com fra lista for så å bare prøve ut et bestemt nettsted. Fungerte like dårlig.

Jeg kan ikke forstå hvorfor de andre maskinene mister nettilgangen. Jeg la jo bare inn MAC adressen for en av maskinene, og da skulle vel ikke noen andre påvirkes av filteret? Kanskje det er noe helt grunnleggende jeg har bommet på. Her er hva jeg tenker (i forhold til skjermbildet nedenfor):

Status: dette er vel av/på knappen for filteret. Jeg stiller denne inn på "ENABLE" for at det i det hele tatt skal fungere.
PCs: "Edit list of PCs". Hvilke PCer filteret skal gjelde for (de som ikke er definert der med MAC og/eller IP adresser blir uberørt)
Access restrictions: Om filteret skal tillate (Allow) eller blokkere (deny) nettilgangen.
Her har jeg valgt "allow" for å tillatte nettilgang bortsett fra enkelte nettsteder.
Schedule: hvilke tidspunkt filteret skal gjelde for. Jeg har videre valgt alle dager og hele døgnet (altså, filteret vil alltid være på)
Website blocking by URL address: Forbidden domains: hvilke nettsted/steder som man IKKE får tilgang til.

access_policy.thumb.png.a75051669a24ba15

 

Har jeg forstått ting riktig?
 

Lenke til kommentar

Så vidt jeg kan forstå så har du forstått det og satt det opp riktig.
Men du har mulighet for 10 filtre, er det satt opp noe på de andre?
Jeg antar det er MAC til selve PC`n du har blokkert og ikke f.eks en router eller annen switch alle er koblet til? Litt usikker på resultatet om du blokker en roter eller switch..

 

Ellers kan du jo teste med IP i stedet, jeg er litt tom for idèer, har sjekket eksempler på oppsett og alt ser riktig ut. Skal bare være å fylle inn MAC eller IP,  legge inn hva som skal blokkes, og huke at på at den skal være aktiv og at internett skal være åpent, slik du har huket av.

Endret av aklla
Lenke til kommentar

Er det ellers noen policy for ruteren knyttet til at den er satt opp som DNS-proxy eller om den videreleverer en DNS-adresse til klientene? Hvis du kjører ipconfig /all på en maskin, er DNS satt til ruterens IP-adresse? 

Er ellers IPv6 aktivert? 

Lenke til kommentar
  • 3 uker senere...

Da var hverdagen tilbake....
Har ikke fått eksperimentert noe mer med dette i jula, men for å svare på spørsmålene:
 

On 12/22/2020 at 2:23 AM, aklla said:

Så vidt jeg kan forstå så har du forstått det og satt det opp riktig.
Men du har mulighet for 10 filtre, er det satt opp noe på de andre?
Jeg antar det er MAC til selve PC`n du har blokkert og ikke f.eks en router eller annen switch alle er koblet til? Litt usikker på resultatet om du blokker en roter eller switch..

Ja, det stemmer: IP eller MAC adressen til maskinen jeg ønsker å blokkere (jeg har sjekket på selve maskinen for å være sikker på at det er riktig adresse).

Jeg har også lurt på om det kan være noe med de 10 filtrene jeg har mulighet til å sette opp. Ikke det mest brukervennlige systemet spør du meg (er vel mest laget for data-administratorer dette tror jeg, og ikke den jevne sluttbruker), men jeg har forstått det slik at man kan ha 10 selvstendige filteroppsett, som man uavhengig av hverandre kan slå av eller på ("enable" og "disable").
Jeg har satt opp ulike filtre for å prøve ulike oppsett, men da passet på å kun ha den aktuelle jeg jobber med som "enabled". De andre er "disabled".

access_policy.thumb.png.a75051669a24ba15

 

"List of PCs" vinduet er heller ikke så brukervennlig, men det logiske der er vel enten å legge inn en MAC adresse for PCen, eller en IP adresse for PCen, eller til/fra IP-adresse for flere PCer, eller en kombinasjon av disse?
Altså, om jeg bare legger inn den aktuelle PCen sin MAC eller IP adresse trenger jeg ikke fylle inn noe annet, ikke sant?

list_PCs.png.a55c0152f299935e62433863d65

 

Quote

Ellers kan du jo teste med IP i stedet, jeg er litt tom for idèer, har sjekket eksempler på oppsett og alt ser riktig ut. Skal bare være å fylle inn MAC eller IP,  legge inn hva som skal blokkes, og huke at på at den skal være aktiv og at internett skal være åpent, slik du har huket av.

Ja, det var det jeg trodde også, men jeg må ha oversett noe.
Må ruteren omstartes for hver gang jeg gjør en endring? Må den tilkoble PCen omstartes eller kobles fra og deretter til nettverkskontakten? Mener jeg har prøvd dette og, uten noe bedring.

 

On 12/22/2020 at 10:28 AM, NULL said:

Er det ellers noen policy for ruteren knyttet til at den er satt opp som DNS-proxy eller om den videreleverer en DNS-adresse til klientene? Hvis du kjører ipconfig /all på en maskin, er DNS satt til ruterens IP-adresse? 

Er ellers IPv6 aktivert? 

Jeg er ikke sikker på hva du mener.
Jeg kan ikke huske å ha satt opp noen proxy. Er dette i såfall i ruteren man gjør det?
Hvordan finner jeg ut om IPv6 er aktivert, og hvor hen gjøres evt. dette?
 

Lenke til kommentar
  • 3 uker senere...

Det kan nesten virke som nettfilteret rett og slett ikke fungerer 😟
Bugs i programvaren eller rett og slett elendig programmering.

Finnes det andre løsninger for å få dette til eller må jeg rett og slett vurdere å kjøpe en ny ruter?
Isåfall, hvilken kablet ruter vil være å anbefale?

Lenke til kommentar

Tror uansett jeg ville ha vurdert å skrote den boksen, selv for hjemmebruk. Gått ut på dato og ser ut til å inneholde en del sikkerhetshull som ikke kn fikses. Se info hos Cisco, som vist under. Mulig det finnes tredjeparts FW som man kan bruke 🤔

Sitat

 

Lenke til kommentar
On 1/22/2021 at 7:11 PM, process said:

Kan det være slik at når du definerer første policy så skrur du på filtrering med default deny og at du dermed også trenger en permit regel?

Litt forvirrende hele greia.
Jeg har tenkt litt på det med at kanskje flere filtre trengs, så jeg testet ut med følgende:

filter 1: det opprinnelige filteret med "allow Internet access" hele døgnet, men med blokkering av en rekke URLer. Og så har jeg satt opp adressen til den aktuelle maskinen dette gjelder

filter 2: filter for alle de andre maskinene med "allow Internet access" hele døgnet, ingen blokkering av URLer, og heller ingen definisjon av adresser, med håp om at det da gjelder alle maskiner som ikke er definert i filter 1.

Så har jeg slått på begge samtidig (status: enable).
Resultatet? Jeg mistet WAN på alle maskinene. Virker ganske så håpløst dette 😞

Lenke til kommentar
On 1/22/2021 at 7:56 PM, NoBo said:

Tror uansett jeg ville ha vurdert å skrote den boksen, selv for hjemmebruk. Gått ut på dato og ser ut til å inneholde en del sikkerhetshull som ikke kn fikses. Se info hos Cisco, som vist under. Mulig det finnes tredjeparts FW som man kan bruke 🤔

Uffda! Dette var ikke bra.


Har du/dere noe konkret forslag for hva jeg kan kjøpe som erstatter denne og som kan vare i noen år med tanke på sikkerhet og kvalitet?
Jeg betaler gjerne litt mer enn de aller billigste for at den skal vare og være stabil, og så må den ha et nettfilter som går an å sette opp for vanlige folk og som faktisk fungerer! Jeg vet ikke hvor mye man må regne med for noe brukbart da jeg ser rutere gå fra kr. 100 til titalls-tusener.
Ruteren min er koblet mellom kabelmodemet og svitsjen.

Endret av minimax
Lenke til kommentar
minimax skrev (På 25.1.2021 den 8.18):

Har du/dere noe konkret forslag for hva jeg kan kjøpe som erstatter denne og som kan vare i noen år med tanke på sikkerhet og kvalitet?

Dessverre, har ikke drevet med den type utstyr på litt for mange år. Foreslår at du lager en ny tråd hvor du beskriver tenkt behov og ber om anbefaling.

Lenke til kommentar
On 1/22/2021 at 7:56 PM, NoBo said:

Tror uansett jeg ville ha vurdert å skrote den boksen, selv for hjemmebruk. Gått ut på dato og ser ut til å inneholde en del sikkerhetshull som ikke kn fikses. Se info hos Cisco, som vist under. Mulig det finnes tredjeparts FW som man kan bruke 🤔

Er det vanlig (at rutere pleier å "gå ut på dato"), eller er dette en spesielt dårlig ruter?
Egentlig ganske kjedelig å skrote noe som fungerer, og hadde det ikke vært for det aldeles håpløse nettfilteret hadde jeg ikke engang vurdert det. Har lest gjennom lenkene du postet tidligere om sikkerhetsbrister og ser at noen av dem er fikset i det nyere firmware't jeg installerte mens andre problemer aldri ble/blir fikset. Dumt spørsmål kanskje, men er det slik at man da kan lett bli hacket, eller er dette stort sett bare et problem i spesielle oppsett og komplisert bruk?

Jeg har forøvrig startet en ny tråd, som du foreslo, for å spørre om forslag til ny ruter her.

 

Lenke til kommentar

Utstyr blir foreldet, enten ved at det blir for tregt og ut av stand til og henge med eller for de produsenten ikke vil bruke penger på et gammelt produkt som bare er utgifter, vanligvis det sistnevnte.  På utstyr til hjemmet er det mange routere som blir glemt av produsenten etter nokså kort til, Cisco o.l vil gi deg en dato for EOL og de pleier og være veldig flinke til og supportere gammelt utstyr. 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...