Kameraüberwachnung/ Einschränken der Kommunikation in grün

[sparkplug]

Hallo,

ich versuche mit ipfire mein Kamerasystem abzusichern. Die Kameraüberwachung besteht aus einem Zoneminderserver und mehreren Kameras. ich habe eine Fritzbox und dahinter den ipfire. Zur Zeit hängen die Kameras, der Server und die "normalen" Desktops alle an grün. Ich kann nun den Kameras den Weg ins Internet über Firewallregeln versperren.
Ich würde aber auch gern den Kameras verbieten intern(in grün) mit anderen Teilnehmern (außer dem Zoneminderserver) zu kommunizieren. Das geht aber nicht innerhalb von grün? Blau wird bei mir bereits verwendet. Gibt es ein "best practice"?

Besten Dank.

[BeBiMa]

Ich würde es mit zwei FW-Regeln versuchen

1. Kameragruppe -> Server erlaubt
2. Kameragruppe -> Grün gesperrt

Wichtig ist die Reihenfolge.

[sparkplug]

Ich würde es mit zwei FW-Regeln versuchen

1. Kameragruppe -> Server erlaubt
2. Kameragruppe -> Grün gesperrt

Wichtig ist die Reihenfolge.

Danke für deine Antwort. So schnell habe ich damit gar nicht gerechnet.

Das habe ich versucht. Meine Versuche sahen folgendermaßen aus:
Grundoption: alle Verbindungen verboten

Kameras-> Desktops in grün verboten

Dann habe ich einen Laptop in die Kameragruppe eingefügt und habe gepingt und bin durchgekommen.
Auch Kameras können ohne Erlaubnis auf den Server zugreifen. Deswegen die Frage, ob Kommunikation in grün (von grün zu grün) überhaupt eingeschränkt werden kann.
Die Kameras und auch die Desktops kommen ohne Erlaubnis aber nicht in rot(so sollte es sein).

[BeBiMa]

Danke für Deine weitergenden Überlegungen und Deine Frage bzgl. der Möglichkeit des Sperrens.

Das hatte ich natürlich übersehen, dass bei einem normal aufgebauten Netz ( über Switches etc. ) in Grün, die Kommunikation zwischen den einzelnen Geräten gar nicht über IPFire laufen muss. Und damit sind alle FW-Regeln wirkungslos.

[fredym]

Hallo,

ich versuche mit ipfire mein Kamerasystem abzusichern. Die Kameraüberwachung besteht aus einem Zoneminderserver und mehreren Kameras. ich habe eine Fritzbox und dahinter den ipfire. Zur Zeit hängen die Kameras, der Server und die "normalen" Desktops alle an grün. Ich kann nun den Kameras den Weg ins Internet über Firewallregeln versperren.
Ich würde aber auch gern den Kameras verbieten intern(in grün) mit anderen Teilnehmern (außer dem Zoneminderserver) zu kommunizieren. Das geht aber nicht innerhalb von grün? Blau wird bei mir bereits verwendet. Gibt es ein "best practice"?

Besten Dank.

Hmm Kameras, die nicht abgefragt werden sollen ;-) ...
ansonsten könntest du über Subnetting (im grünen Netz) nachdenken. (ggfs nach CIDR suchen)

Fred

[sparkplug]

Das macht Sinn. Ich hätte noch einen Nic am Ipfire frei. Habe aber kein "Netzwerk" (blau, grün) mehr bis auf orange. Dort läuft aber die Firewall nicht. Ich brauche also im Prinzip eine zweites blau oder grün für die Kameras. Einen 2ten Switch (POE) habe ich auch. Jemand eine Idee?

[sparkplug]

Hallo,

ich versuche mit ipfire mein Kamerasystem abzusichern. Die Kameraüberwachung besteht aus einem Zoneminderserver und mehreren Kameras. ich habe eine Fritzbox und dahinter den ipfire. Zur Zeit hängen die Kameras, der Server und die "normalen" Desktops alle an grün. Ich kann nun den Kameras den Weg ins Internet über Firewallregeln versperren.
Ich würde aber auch gern den Kameras verbieten intern(in grün) mit anderen Teilnehmern (außer dem Zoneminderserver) zu kommunizieren. Das geht aber nicht innerhalb von grün? Blau wird bei mir bereits verwendet. Gibt es ein "best practice"?

Besten Dank.

Hmm Kameras, die nicht abgefragt werden sollen ;-) ...
ansonsten könntest du über Subnetting (im grünen Netz) nachdenken. (ggfs nach CIDR suchen)

Fred

Würde der Switch nicht trotzdem die IPs vorwegnehmen und selbständig die Pakete verteilen, wenn er weiß wo das Subnet angeschlossen ist?

[fredym]

Würde der Switch nicht trotzdem die IPs vorwegnehmen und selbständig die Pakete verteilen, wenn er weiß wo das Subnet angeschlossen ist?

Und wen interessiert das - wenn eh keiner hinhört ?

Du kannst natürlich - wenn die Kameras da mitspielen - auch mit VLANs arbeiten, aber ... auch da quaken wieder alle auf allen Switchports.

Etwas unklar was du in deinem lokalen Netrtz erreichen willst ...
Gehen die Kameras denn "von allein" ins Internet ? Wenn ja - blocken, solange es nötig ist.

Fred
ps: du kannst in deine Blechkiste auch noch 2..3 weitere Netzwerkkarten einbauen - mußt dem Karm dann eben "zu Fuß" verwalten!
Alles per Cli ..ganz einfach!