Firewall Cisco ASA 5510 Access Rule

[Andre-W-1984]

Hallo zusammen,

ich habe momentan hier einen externen Rechner stehen, der nur über RDP, sprich Port 3389 von außen zu erreichen sein soll. Soweit so gut.

Der Rechner bekommt von unserem DHCP eine IP und hängt damit im gleichen Segment wie unsere anderen Clients und Drucker.

Wir haben eine Cisco ASA 5510 Firewall und bisher habe ich folgende Einstellungen getätigt:

* NAT Rule für IP des Rechners nach außen (nur RDP)

* RDP Freigabe für ein bestimmtes Gateway nach außen

Das klappt auch alles.

Der PC soll zwar ins Internet können aber NICHT mit anderen Clients kommunzieren dürfen. Dadurch, das er vom DHCP eine IP bekommen hat, befindet er sich im gleichen Netzsegment wie die anderen Clients. Soweit ja auch ok, nur soll er z.B. nicht einen anderen Client anpingen können oder evtl. auf eine Freigabe gelangen. Natürlich erscheint im Vorfeld die übliche Windows Loginmaske, allerdings möchte ich es möglichst restriktiv halten.

Nehme ich nun die Regel heraus, die besagt, dass der Clinet Zugriff auf Port 53 und co hat, kommt er auch nicht mehr ins Internet.

Ist es denn überhaupt möglich, einen Client ins Internet zulassen, allerdings auf gleicher Netzebene keine Verbindung zu anderen Clients aufbauen zu können?

Danke schon mal!

[Crash2001]

Klar geht das, wenn eine Firewall oder ein Switch dazwischen hängt, den man administrieren kann.

Einfach Verkehr ins eigene Subnet per access-list verbieten (bis auf den zum Gateway) und allen anderen Traffic erlauben. Schon kann man die PCs im eigenen Subnet nicht mehr erreichen, alle anderen aber schon.