LAN Zugriff nur auf eine Interne IP
- Ersteller breacher
- Erstellt am
Stationary
Well-known member
Spontan würde ich es mal so versuchen:
Im gleichen Netzwerk (LAN) lässt sich der Zugriff eines PCs auf genau eine andere IP-Adresse zentral über den Router oder dezentral über die lokale Firewall des PCs begrenzen. Die beste Methode nutzt Firewall-Regeln mit einer "Allow only this IP"-Logik, da Routing-Tabellen im LAN normalerweise nicht so präzise einschränken.
Windows-Firewall (am PC)
Erstelle ausgehende Regeln in der Windows-Firewall mit erweiterter Sicherheit:
Router-Firewall (z. B. FritzBox, pfSense)
Gib dem PC eine statische IP und richte Paketfilter an:
Linux (iptables/ufw am PC)
bash
# Erlauben nur zur Ziel-IP (z. B. 192.168.1.100)
iptables -A OUTPUT -d 192.168.1.100 -j ACCEPT
iptables -A OUTPUT -j DROP # Alles andere blocken
# Speichern: iptables-save > /etc/iptables.rules
Mit ufw: ufw default deny outgoing; ufw allow out to 192.168.1.100.
Subnetz-Trick (LAN-spezifisch)
Setze dem PC eine /31-Subnetzmaske (z. B. PC: 192.168.1.2/31, Ziel: 192.168.1.1/31), sodass nur diese beiden Hosts im selben Subnetz sind – kein Traffic zu anderen IPs möglich. Aber: Gateway-Kommunikation muss angepasst werden, ungeeignet für DHCP-Netze
Im gleichen Netzwerk (LAN) lässt sich der Zugriff eines PCs auf genau eine andere IP-Adresse zentral über den Router oder dezentral über die lokale Firewall des PCs begrenzen. Die beste Methode nutzt Firewall-Regeln mit einer "Allow only this IP"-Logik, da Routing-Tabellen im LAN normalerweise nicht so präzise einschränken.
Windows-Firewall (am PC)
Erstelle ausgehende Regeln in der Windows-Firewall mit erweiterter Sicherheit:
- Regel 1 (Erlauben): Neue ausgehende Regel → Benutzerdefiniert → Protokoll "Alle" → Remote-IP: Nur die Ziel-IP eingeben → Verbindung zulassen.
- Regel 2 (Blockieren): Neue ausgehende Regel → Benutzerdefiniert → Protokoll "Alle" → Remote-IP: "Beliebige IP-Adresse" → Verbindung blockieren.
- Priorisiere Regel 1 vor Regel 2 (nach Name sortieren oder deaktivieren/standardmäßig blockieren).
Router-Firewall (z. B. FritzBox, pfSense)
Gib dem PC eine statische IP und richte Paketfilter an:
- Quelle: IP des PCs, Ziel: Erlaubte IP-Adresse, Aktion: Allow (höchste Priorität).
- Quelle: IP des PCs, Ziel: Any, Aktion: Deny (direkt darunter).
- Wende die Liste auf LAN-Schnittstelle an (IPv4-Paketfilter).
Linux (iptables/ufw am PC)
bash
# Erlauben nur zur Ziel-IP (z. B. 192.168.1.100)
iptables -A OUTPUT -d 192.168.1.100 -j ACCEPT
iptables -A OUTPUT -j DROP # Alles andere blocken
# Speichern: iptables-save > /etc/iptables.rules
Mit ufw: ufw default deny outgoing; ufw allow out to 192.168.1.100.
Subnetz-Trick (LAN-spezifisch)
Setze dem PC eine /31-Subnetzmaske (z. B. PC: 192.168.1.2/31, Ziel: 192.168.1.1/31), sodass nur diese beiden Hosts im selben Subnetz sind – kein Traffic zu anderen IPs möglich. Aber: Gateway-Kommunikation muss angepasst werden, ungeeignet für DHCP-Netze
blurrrr
Well-known member
Ist schon klar, dass das nicht stimmt, oder? 2 Rechner im gleichen Netz - das ist der Router / das Gateway garnicht involviert.
@breacher Was genau möchtest Du denn machen, also mal abgesehen von dieser sehr allgemein gehaltenen Formulierung:
Was willst Du - ganz konkret - damit erreichen? Wenn ich Dich richtig verstanden habe, geht es darum, dass z.B. 3 Rechner involviert sind:
Rechner A (der zugreifende Rechner)
Rechner B (ein Rechner im Netz)
Rechner C (ein weiterer Rechner im Netz)
Rechner A soll jetzt nur auf Rechner B zugreifen können, aber nicht auf Rechner C, oder wie ist das zu verstehen?
Dazu die Frage: Auf "was" soll denn zugegriffen werden (auf was für einen Dienst)?
OK, dann habe ich mich wohl falsch ausgedrückt.
Vorgeschichte :
Wir haben vor einiger Zeit Glasfaser bekommen.
2000er Anschluss 12 Monate für 24,99.
Nach 12 Monaten kostet der dann aber 89,99.
Meine Tochter (18, drittes Lehrjahr) wollte das wir den großen Anschluss unbedingt behalten.
Nach langer Diskussion haben wir folgenden Kompromiss gefunden. Der 2000er Anschluss bleibt, sie zahlt aber die Differenz.
Ich hätte ja den 150er für 34,99 genommen. Aber gut.
Jetzt hat sich sich einen fetten Handytarif mit dem Iphone 17Pro Plus oder wie auch immer geholt und kann sich nicht mehr an den Kosten beteiligen.
Daraufhin habe ich ihr dann gesagt "Wenn Du das nicht zahlst, dann gibt es den Anschluss auch nicht mehr."
Sie hat ja den besten Handytarif und damit ist das kein Problem...
Da wir öfter auf einem Linux Server (192.168.178.100) im LAN spielen habe ich ihr das Netzwerk wieder angesteckt.
Dadurch hat sie ja auch für alles andere Internet.
Das will ich verhindern.
Quasi Rechner B (192.168.178.90) eingesteckt in LAN4 darf nur den Rechner C (192.168.178.100) eingesteckt in LAN2 erreichen.
Hoffe das ist besser beschrieben.
Vorgeschichte :
Wir haben vor einiger Zeit Glasfaser bekommen.
2000er Anschluss 12 Monate für 24,99.
Nach 12 Monaten kostet der dann aber 89,99.
Meine Tochter (18, drittes Lehrjahr) wollte das wir den großen Anschluss unbedingt behalten.
Nach langer Diskussion haben wir folgenden Kompromiss gefunden. Der 2000er Anschluss bleibt, sie zahlt aber die Differenz.
Ich hätte ja den 150er für 34,99 genommen. Aber gut.
Jetzt hat sich sich einen fetten Handytarif mit dem Iphone 17Pro Plus oder wie auch immer geholt und kann sich nicht mehr an den Kosten beteiligen.
Daraufhin habe ich ihr dann gesagt "Wenn Du das nicht zahlst, dann gibt es den Anschluss auch nicht mehr."
Sie hat ja den besten Handytarif und damit ist das kein Problem...
Da wir öfter auf einem Linux Server (192.168.178.100) im LAN spielen habe ich ihr das Netzwerk wieder angesteckt.
Dadurch hat sie ja auch für alles andere Internet.
Das will ich verhindern.
Quasi Rechner B (192.168.178.90) eingesteckt in LAN4 darf nur den Rechner C (192.168.178.100) eingesteckt in LAN2 erreichen.
Hoffe das ist besser beschrieben.
Loxley
Well-known member
Dann stell in der Router Firewall ein dass Rechner B keinen Zugriff auf das Internet (WAN) hat. Innerhalb des Netzes können dann alle Geräte erreicht werden aber eine Verbindung ins Internet funktioniert nicht.
Edit: Die "Alles ablehnen Regel" musst Du in den Regeln ganz nach oben schieben damit keine "Erlaubt Regel" vorher greift.
Edit: Die "Alles ablehnen Regel" musst Du in den Regeln ganz nach oben schieben damit keine "Erlaubt Regel" vorher greift.
Cephalopod
Active member
@breacher
Das geht viel einfacher mit zwei Klicks in der Fritzbox, dass der Rechner / Handy mit der IP/MAC XXX.XXX nicht ins Internet darf.
Geht mit einem Zugangsprofil.
Gastzugang auch sperren.
Schluss, aus, Nikolaus
Drucken auf einem Netzwerkdrucker wäre z.B. mit deiner Blockade auch nicht möglich.
Das geht viel einfacher mit zwei Klicks in der Fritzbox, dass der Rechner / Handy mit der IP/MAC XXX.XXX nicht ins Internet darf.
Geht mit einem Zugangsprofil.
Gastzugang auch sperren.
Schluss, aus, Nikolaus
Drucken auf einem Netzwerkdrucker wäre z.B. mit deiner Blockade auch nicht möglich.
blurrrr
Well-known member
Also geht es konkret darum, dass der Zugriff auf das "Internet" unterbunden wird und nicht auf andere "interne" Ressourcen. Das ist dann ein völlig anderer Sachverhalt. Wenn Sie z.B. nicht mehr auf den intenen Spieleserver dürfte, müsste die Einstellung dort vorgenommen werden. Wenn Sie aber nicht mehr ins Internet darf, wäre die passende Stellschraube am Router zu finden. Dort könntest Du z.B. die "Filter" auf der Fritz!Box nutzen (in der Fritz!Box-Oberfläche unter "Internet / Filter / Kindersicherung"). Dort kannst Du bei dem entsprechenden Gerät dann auf "Sperren" klicken":
tiermutter
Well-known member
Da wäre es einfacher, dem Tochter-PC einfach ein falsches Gateway und DNS einzutragen... aber das kann die Tochter ebenfalls einfach ändern, wenn man sich nicht die Mühe macht und die Berechtigung dazu entzieht 
So oder so wird mal wieder eine technische Lösung für ein organisatorisches Problem gesucht 
Workaround: Lasst die PCs in Ruhe, aber erhebt einen Haushaltsbeitrag, also Mitnutzung von Küche, Waschmaschine, Strom und Wasser, ggf. Gas für den Herd .... und wenn der dieselbe Höhe hat wie zuvor die Zuzahlung für das Internet: Eeecht? Was es für Zufälle gibt
Workaround: Lasst die PCs in Ruhe, aber erhebt einen Haushaltsbeitrag, also Mitnutzung von Küche, Waschmaschine, Strom und Wasser, ggf. Gas für den Herd .... und wenn der dieselbe Höhe hat wie zuvor die Zuzahlung für das Internet: Eeecht? Was es für Zufälle gibt
tiermutter
Well-known member
Die Lösungen in #7 und #8 sind doch einfach und gut... Die Tochter ist nach dem Iphone Kauf ja sowieso pleite, egal wie man die Kosten tituliert 
