LAN Zugriff nur auf eine Interne IP
- Ersteller breacher
- Erstellt am
Stationary
Well-known member
Spontan würde ich es mal so versuchen:
Im gleichen Netzwerk (LAN) lässt sich der Zugriff eines PCs auf genau eine andere IP-Adresse zentral über den Router oder dezentral über die lokale Firewall des PCs begrenzen. Die beste Methode nutzt Firewall-Regeln mit einer "Allow only this IP"-Logik, da Routing-Tabellen im LAN normalerweise nicht so präzise einschränken.
Windows-Firewall (am PC)
Erstelle ausgehende Regeln in der Windows-Firewall mit erweiterter Sicherheit:
Router-Firewall (z. B. FritzBox, pfSense)
Gib dem PC eine statische IP und richte Paketfilter an:
Linux (iptables/ufw am PC)
bash
# Erlauben nur zur Ziel-IP (z. B. 192.168.1.100)
iptables -A OUTPUT -d 192.168.1.100 -j ACCEPT
iptables -A OUTPUT -j DROP # Alles andere blocken
# Speichern: iptables-save > /etc/iptables.rules
Mit ufw: ufw default deny outgoing; ufw allow out to 192.168.1.100.
Subnetz-Trick (LAN-spezifisch)
Setze dem PC eine /31-Subnetzmaske (z. B. PC: 192.168.1.2/31, Ziel: 192.168.1.1/31), sodass nur diese beiden Hosts im selben Subnetz sind – kein Traffic zu anderen IPs möglich. Aber: Gateway-Kommunikation muss angepasst werden, ungeeignet für DHCP-Netze
Im gleichen Netzwerk (LAN) lässt sich der Zugriff eines PCs auf genau eine andere IP-Adresse zentral über den Router oder dezentral über die lokale Firewall des PCs begrenzen. Die beste Methode nutzt Firewall-Regeln mit einer "Allow only this IP"-Logik, da Routing-Tabellen im LAN normalerweise nicht so präzise einschränken.
Windows-Firewall (am PC)
Erstelle ausgehende Regeln in der Windows-Firewall mit erweiterter Sicherheit:
- Regel 1 (Erlauben): Neue ausgehende Regel → Benutzerdefiniert → Protokoll "Alle" → Remote-IP: Nur die Ziel-IP eingeben → Verbindung zulassen.
- Regel 2 (Blockieren): Neue ausgehende Regel → Benutzerdefiniert → Protokoll "Alle" → Remote-IP: "Beliebige IP-Adresse" → Verbindung blockieren.
- Priorisiere Regel 1 vor Regel 2 (nach Name sortieren oder deaktivieren/standardmäßig blockieren).
Router-Firewall (z. B. FritzBox, pfSense)
Gib dem PC eine statische IP und richte Paketfilter an:
- Quelle: IP des PCs, Ziel: Erlaubte IP-Adresse, Aktion: Allow (höchste Priorität).
- Quelle: IP des PCs, Ziel: Any, Aktion: Deny (direkt darunter).
- Wende die Liste auf LAN-Schnittstelle an (IPv4-Paketfilter).
Linux (iptables/ufw am PC)
bash
# Erlauben nur zur Ziel-IP (z. B. 192.168.1.100)
iptables -A OUTPUT -d 192.168.1.100 -j ACCEPT
iptables -A OUTPUT -j DROP # Alles andere blocken
# Speichern: iptables-save > /etc/iptables.rules
Mit ufw: ufw default deny outgoing; ufw allow out to 192.168.1.100.
Subnetz-Trick (LAN-spezifisch)
Setze dem PC eine /31-Subnetzmaske (z. B. PC: 192.168.1.2/31, Ziel: 192.168.1.1/31), sodass nur diese beiden Hosts im selben Subnetz sind – kein Traffic zu anderen IPs möglich. Aber: Gateway-Kommunikation muss angepasst werden, ungeeignet für DHCP-Netze
