Hallo zusammen,
mein Junior wollte unbedingt seinen eigenen Minecraft-Server, also hat er sich einen Raspberry Pi gekauft, und ich hab ihm heute den Minecraft-Server drauf gepackt, funktioniert auch problemlos.
Damit er auch mit seinen Kumpels zocken kann, habe ich den Raspberry noch von außen mittels Portweiterleitung und DynDNS erreichbar gemacht, auch das funktioniert perfekt.
Allerdings ist damit natürlich auch erst einmal ein potentielles Einfallstor im Netzwerk, d.h. ich hab ein eigenes VLAN angelegt, in dem einzig der Raspberry hängt. Dieses VLAN ist auf einen definierten Port im Switch getagged. Ich hatte vorher schon VLANs, aber diese waren untereinander durchlässig. Das neue VLAN habe ich deswegen mit mehreren Regeln nach folgendem Muster in Richtung der anderen VLANs geblockt:
Damit ist nun zumindest das VLAN 30 (der Minecraft-Server) geblockt, und von dort kann nicht auf die anderen VLANs (10, 20, 77) zugegriffen werden. Die o.g. Regel gibt es insgesamt drei Mal.
Jetzt muss ich allerdings ja vom PC (im VLAN 77) per PuTTY von Zeit zu Zeit auf den Raspberry zugreifen können. Deswegen habe ich über den oberen Regeln noch folgende Regel eingeführt, mit der ich nun mittels SSH auf den Raspberry zugreifen kann:
Nun allerdings meine Bedenken: die letzte Regel sagt ja, dass das Minecraft-VLAN auf meinen PC zugreifen darf. Allerdings heißt das ja auch, dass es darauf zugreifen kann, wann immer ich den PC anhabe. Damit habe ich ja wieder ein potentielles Einfallstor. Ich würde aber gerne die umgekehrte Variante, nämlich dass ich das Recht habe, vom PC aus in das VLAN 30 zu dürfen, und ich dann auch eine Antwort bekomme. Aber das VLAN per se soll erst einmal nicht auf meinen PC kommen, sofern kein Aufruf von diesem erfolgt. Ein einfacher Tausch von Quelle und Ziel in der o.g. Regel führt aber nicht zum gewünschten Erfolg.
Hat jemand ne Idee, wo ich den Gedankenfehler habe?
VG
Flo
