Blocken der PC Kommunikation im LAN
-
Hallo,
Es handelt sich um ein WLAN-Gastzugang, wobei sich die User untereinander natürlich nicht verständigen sollen, aber alles weiterhin normal nutzen können.
Leider habe ich dazu nichts gefunden oder war nicht in der Lage dazu.
Ich würde gerne die Kommunikation der Rechner untereinander blocken, habt ihr eine Idee für mich?
Liebe Grüße & Vielen dank
-
ist das WLAN Modul in der PfSense oder ist das was externes?
Weil nur im WLAN Modul kannst du das unterbinden.
Wenn die PC in einem Netzwerk sind und untereinander kommunizieren wollen ist die PfSense ja gar nicht zwischen drin und kann daher auch nix blocken.bei der PfSense gibt es den Hacken "Allow intra-BSS communication" wenn man diesen Rausnimmt geht wieder alles über die PfSense und die Paketfilter. Das geht aber wie gesagt nur dann wenn das WLAN Modul auch in der PfSense ist sonst musst das im Accesspoint eingestellt werden.
-
Extern, es handelt sich um Cisco WAP4410N.
dann werde ich mich nochmal auf den Accesspoint schalten und dort schauen.
Ich habe auch einen PC, der via Kabel angesteckt ist, dieser kann ebenso alle PCs pingen und sehen, dies sollte dann mit pfSense zusammen hängen richtig?
-
okay, UPDATE:
Das blocken über WLAN funktioniert, dies ist am Accesspoint einzustellen.
Allerdings, können alle auf dem mit Kabel angeschlossenen PC zugreifen, wie kann ich das in pfSense blocken?
LG
-
Ich habe auch einen PC, der via Kabel angesteckt ist, dieser kann ebenso alle PCs pingen und sehen, dies sollte dann mit pfSense zusammen hängen richtig?
Nein. Wie Flix schon geschrieben hat: ALLES was im gleichen LAN steht und dort auch via Kabel angebunden ist läuft NICHT über die Firewall. Warum auch, hier muss nichts geroutet werden. 192.168.1.2 kann mit 192.168.1.3 reden ohne einen Router/Firewall dazwischen du benötigen. Diese Kommunikation kann nicht geblockt werden. Einzige Ausnahme stellen hier
- WLAN Clients dar, da man diese isolieren kann (siehe Flix' Kommentar, Accesspoint Settings müssen das unterbinden)
- Der Switch, an welchem die LAN Clients hängen, ist in der Lage hier technisch reinzugreifen. Ob das nun via 802.1x port authentication läuft (nicht ganz sicher, ob das da konfigurierbar war, ist so lange her) oder wie bei bspw. Juniper Switchen, wo es möglich ist, einzelne Ports so zu isolieren, dass sie nur noch das Gateway sehen und nur dorthin senden können (port isolation).
Ist das nicht gegeben, können sich Clients im gleichen Subnetz immer untereinander unterhalten.
-
Okay, dann hat sich ja schon alles geklärt!
danke für die die schnelle Hilfe und Aufklärung!! ;) :D
schönen Tag euch noch :)
