Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 121

Thema: Port-Freigabe auf die Box ist so möglich! Virtual-IP überflüssig?!?

Hybrid-Darstellung

  1. #1
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.643

    Port-Freigabe auf die Box ist so möglich! Virtual-IP überflüssig?!?

    Moin zusammen,

    ich möchte euch mal bitten, den folgenden Vorschlag zu prüfen:

    Code:
    --- usr/www/all/html/de/internet/portrule.js.ori        2008-02-05 09:52:26.000000000 +0100
    +++ usr/www/all/html/de/internet/portrule.js    2008-02-05 10:12:04.000000000 +0100
    @@ -35,10 +35,8 @@
            for (i=0; i < 4; i++) {
                    if ((Number(digits[i]) > 255 ) || (Number(digits[i]) < 0 )) return g_mldIpAdr;
            }
    -       // IP-Adresse 0.0.0.0 verbieten
    -       if ((Number(digits[0]) == 0) && (Number(digits[1]) == 0) && (Number(digits[2]) == 0) && (Number(digits[3]) == 0)) return g_mldIpAdr0000;
    -       // IP-Adresse *.*.*.0 verbieten
    -       if (Number(digits[3]) == 0) return g_mldIpAdr0;
    +       // IP-Adresse *.*.*.0 verbieten ... aber 0.0.0.0 erlauben ;-)
    +       if (Number(digits[3]) == 0 && address[0] != "0.0.0.0") return g_mldIpAdr0;
            // IP-Adresse *.*.*.255 verbieten
            if (Number(digits[3]) == 255) return g_mldIpAdr255;
            // IP-Adresse 169.254.*.* verbieten
    Damit kann man in der "normalen" Oberfläche als Ziel die "0.0.0.0" also die Box selbst angeben. Damit geht dann z.B. folgendes, ohne Eingriffe in die ar7.cfg:

    "tcp 0.0.0.0:22 0.0.0.0:22 0 # SSH auf FBOX",
    "udp 0.0.0.0:1194 0.0.0.0:1194 0 # OVPN";


    Jörg


    EDIT 20080406: Nachtrag einer "Minianleitung"

    Um das ganze ohne Patches zu nutzen, kann man das oben genannte auch per Telnet auf der Box direkt eingeben. Die "kurze" Variante ermöglicht es, Portfreigaben auf "0.0.0.0" zu setzen, die zwar im Flash abgespeicert werden, nach einem Reboot aber nicht mehr in der GUI sichtbar sind. Die "längere" Variante zeigt auch in der GUI alle Weiterleitungen auf 0.0.0.0 an und ermöglicht deren Änderung (Ausnahme ist die Standard-AVM-Regel für VOIP auf Port 5060).

    Für die "Mini-Lösung" per telnet auf die Box und dann das folgende ausführen:

    Code:
    pr=`find /var/html/ -name portrule.js`
    sed  's/return g_mldIpAdr0000/return null/'  $pr > /var/tmp/portrule.js
    mount -o bind  /var/tmp/portrule.js  $pr
    Wie gesagt: Damit kann man bis zu einem Neustart 0.0.0.0 als Ziel eintragen und diese Einträge (nicht schon existierende) "sehen". Nach einem Neustart bleiben diese Einträge zwar erhalten, sind aber nicht sichtbar in der GUI.


    Die "lange" Version ermöglicht auch die Anzeige der Einträge in der GUI:
    Code:
    pr=`find /var/html/ -name portrule.js`
    sed  's/return g_mldIpAdr0000/return null/'  $pr > /var/tmp/portrule.js
    mount -o bind  /var/tmp/portrule.js  $pr
    
    cat > /var/tmp/unhiderules << 'EOF'
    #! /bin/sh
    
    # Die VOIP-Regel "ausblenden"
    EXCLUDE="0\.0\.0\.0\:5060"
    
    #PW extrahieren
    local PWD=$(/bin/allcfgconv -C ar7 -c -o - | sed -ne '/^webui[[:space:]]*{/,/^}/{
    /=/{s/[[:space:]]*=[[:space:]]*/=/;s/^[[:space:]]*//;p}
    }' | grep '^password=' | cut -d '"' -f2)
        ret=$?
        if [ $ret != 0 ]; then
          echo "ERROR: Unhide_local_PFWD (exit code $ret)" >&2
          exit $ret
        fi
    
    # 0.0.0.0:xx 0.0.0.0:yy ersetzen durch 0.0.0.0:xx 127.0.0.1:yy
    cat /var/flash/ar7.cfg | sed  "/dslifaces/,/} {/ {/forward/,/}/ {/$EXCLUDE/! s/\(.*0\.0\.0\.0.*\)\(0\.0\.0\.0\)\(.*\)/\1127\.0\.0\.1\3/}}" > /var/tmp/tmpar7.cfg
    cat /var/tmp/tmpar7.cfg > /var/flash/ar7.cfg
    
    # Die "neuen" Regeln einlesen lassen, so dass sie per GUI erreichbar sind (die 0.0.0.0-er Regeln sind nicht "ansprechbar":
    killall -9 ctlmgr && sleep 1 && /usr/bin/ctlmgr
    sleep 5
    
    # ... und nun das Aendern auf 0.0.0.0 per GUI "emulieren"
    #
    TESTSTRING="127.0.0.1"
    NEUEIP="0.0.0.0"
    # Die Rules finden ... 
    rules="`wget -q -O - "http://127.0.0.1/cgi-bin/webcm?getpage=..%2Fhtml%2Fde%2Fmenus%2Fmenu2.html&errorpage=..%2Fhtml%2Fde%2Fmenus%2Fmenu2.html&var%3Alang=de&var%3Apagename=portfw&var%3Amenu=internet&var%3Apagemaster=" | grep -v $EXCLUDE |grep -A 6 $TESTSTRING | grep "uiDoEdit" | sed "s/.*uiDoEdit('\(.*\)').*/\1/"`"
    
    if [ "$rules" != "" ]; then
      # ... POST_DATA String "basteln" 
      PDATA="getpage=/usr/www/all/html/query.txt&login:command/password=$pw&id=uiPostForm&name=uiPostForm&var:pagename=portrule&var:menu=internet"
      for myrule in `echo "$rules" | tr '\n' ' '`; do
        PDATA="${PDATA}&var:rule=${myrule}&var:isnew=0&var:isexp=0&forwardrules:settings/${myrule}/fwip=$NEUEIP"
      done
      echo -n "$PDATA" | REQUEST_METHOD="POST" REMOTE_ADDR="127.0.0.1" CONTENT_TYPE="application/x-www-form-urlencoded" CONTENT_LENGTH=${#PDATA} /usr/www/html/cgi-bin/webcm > /dev/null
    fi
    # ... fertig
    EOF
    sh /var/tmp/unhiderules
    Angehängte Dateien Angehängte Dateien
    Geändert von MaxMuster (30.05.2008 um 11:48 Uhr) Grund: Änderung um "portrule.js" universell zu finden
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  2. #2
    IPPF-Zweitausend-VIP Avatar von Darkyputz
    Registriert seit
    27.07.2005
    Ort
    Newton, New Jersey
    Beiträge
    2.258
    sorry...habe deinen patch schon für dich im ticketing hinterlassen...
    wohl daher 2 doofe ein gedanke...

    aber gut das wir das jetzt ahben...denn die 7270 firm version 50 und grösser machen kein virtual ip mehr...
    Router1: FRITZ!Box Fon 7390 84.06.03 rev27349 devel-11972
    ATA Mode and Zyxel Modem
    -------------Freetz Mod mit:
    Callmonitor, Vsftpd(ssl), cifsmount, Samba (3.6)
    Syslogd, Fritzload, AVM-Firewall/Portrule 2.0.4_rc5, inetd, etc...
    -------------
    Mein System
    Seit 10.05.2008 kein Festnetz mehr
    Seit 01.07.2013 kein deutschland mehr

  3. #3
    IPPF-Zweitausend-VIP Avatar von Darkyputz
    Registriert seit
    27.07.2005
    Ort
    Newton, New Jersey
    Beiträge
    2.258
    Kleiner hacken an der sache gefunden...
    Die portfreigaben gehen zwar damit wunderbar, aber die werden ausgeblendet nach dem nächsten neustart der box...
    sicherlich das selbe verhalten das zum nicht anzeigne der voip freigaben angewendet wird...
    Router1: FRITZ!Box Fon 7390 84.06.03 rev27349 devel-11972
    ATA Mode and Zyxel Modem
    -------------Freetz Mod mit:
    Callmonitor, Vsftpd(ssl), cifsmount, Samba (3.6)
    Syslogd, Fritzload, AVM-Firewall/Portrule 2.0.4_rc5, inetd, etc...
    -------------
    Mein System
    Seit 10.05.2008 kein Festnetz mehr
    Seit 01.07.2013 kein deutschland mehr

  4. #4
    Semi-Moderator Avatar von olistudent
    Registriert seit
    19.10.2004
    Ort
    Kaiserslautern
    Beiträge
    14.745
    Kleiner Haken ist gut. Das heißt, dass man diese Freigaben also nicht mehr löschen kann?

    MfG Oliver
    Router: Fritz!Box Fon WLAN 7570, 7390, 7320, 7270, 3170
    Anbindung: T-Online DSL 16.000 RAM

    Visit ##fritzbox on Freenode for help
    Spenden für Freetz

  5. #5
    IPPF-Fünfhundert-Club
    Registriert seit
    03.12.2005
    Beiträge
    568
    Interessante Lösung, vielleicht lässt sich die Anzeige ja noch so patchen, dass es möglich ist, die Freigaben trotzdem zu sehen.

    Löschen wird wohl kein Problem darstellen:
    Einfach per nvi /var/flash/ar7.cfg die betroffenen Zeilen löschen, wenn man weiß was man macht. (Habe die Box so schon einmal zerschossen)
    MfG,
    lord-of-linux


    ---== Meine VoIP Komponenten ==---
    Router: Linux Selbstbau Lösung an Speedport 200 HS VDSL-Modem
    Bastelbox:
    FRITZ!Box Fon WLAN 7170, Firmware-Version 29.04.59freetz-devel-2701M (dropbear, solarlogger, syslogd, usbroot, wake-on-lan)
    Anschluß: T-Home Entertain (VDSL 50)
    Telefonanlage: Telekom Eumex 628 am S0 der 7170

    Künftiger Ersatz für Eumex + WLAN-AP: Fritz!Box 7390 (derzeit in Einrichtungs/Probierphase)

    Gegenseite: FRITZ!Box Fon WLAN 7170, Firmware-Version 29.04.37ds26-15.2(fast wie oben + ipv6, radvd) > OpenVPN-Client (Versionsangaben outdated)
    Anschluß: T-DSL 1500 mit T-Online Flat
    Telefon: T-ISDN mit Flatrate
    Telefonanlage: Telefone direkt an der Fritz

    PC + Laptop laufen mit Archlinux und Mac OS X Lion

  6. #6
    IPPF-Zweitausend-VIP Avatar von Darkyputz
    Registriert seit
    27.07.2005
    Ort
    Newton, New Jersey
    Beiträge
    2.258
    ich mach es noch etwas anders...
    Code:
    cat /var/flash/ar7.cfg > /var/media/ftp/uStor01/ar7.cfg
    dann mit nem editor der an dieser datei geht editieren, speichern und 
    cat /var/media/ftp/uStor01/ar7.cfg > /var/flash/ar7.cfg
    so muss man erstmal nicht vi nutzen...
    Router1: FRITZ!Box Fon 7390 84.06.03 rev27349 devel-11972
    ATA Mode and Zyxel Modem
    -------------Freetz Mod mit:
    Callmonitor, Vsftpd(ssl), cifsmount, Samba (3.6)
    Syslogd, Fritzload, AVM-Firewall/Portrule 2.0.4_rc5, inetd, etc...
    -------------
    Mein System
    Seit 10.05.2008 kein Festnetz mehr
    Seit 01.07.2013 kein deutschland mehr

  7. #7
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.643
    Zitat Zitat von Darkyputz Beitrag anzeigen
    ..denn die 7270 firm version 50 und grösser machen kein virtual ip mehr...
    Habe ich nur gelesen..., gilt dann wohl nur für die 7270?!?

    Jörg
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  8. #8
    Semi-Moderator Avatar von olistudent
    Registriert seit
    19.10.2004
    Ort
    Kaiserslautern
    Beiträge
    14.745
    Virtual IP geht natürlich immer noch. Aber angeblich sollen die Portweiterleitungen nicht funktionieren. Ich habs aber auch noch nicht ausprobiert.

    MfG Oliver
    Router: Fritz!Box Fon WLAN 7570, 7390, 7320, 7270, 3170
    Anbindung: T-Online DSL 16.000 RAM

    Visit ##fritzbox on Freenode for help
    Spenden für Freetz

  9. #9
    IPPF-Einsteiger
    Registriert seit
    01.10.2005
    Beiträge
    6
    Zitat Zitat von olistudent Beitrag anzeigen
    Virtual IP geht natürlich immer noch. Aber angeblich sollen die Portweiterleitungen nicht funktionieren. Ich habs aber auch noch nicht ausprobiert.
    Hi,

    ich habe seit 4 Tagen auf meine Box die aktuelle Labor-FW Gaming mit Freetz laufen, sie läuft stabil, aber die Portweiterleitungen gehen nicht mehr. Virtual IP läuft, intern ist die Box auch über die zusätzliche IP erreichbar, aber von außen leider nicht mehr.
    Wahrscheinlich möchte AVM nun, dass man Ihren VPN-Client nutzt, leider weiß ich noch nicht, wie ich ihn einrichten muss. Die Hilfe habe ich dummerweise entfernt.

    MfG Michael
    __________________________________________________ __________________________
    Router: Fritz!Box Fon WLAN 7170 FW:29.04.49freetz-devel--1_2128M via usb-root(AVM-Firewall Callmonitor Checkmail Dnsmasq Dropbear dtmfbox Mini_fo Openntpd RRDstats Syslogd Virtual IP Vsftpd WOL)
    Anbindung: 1&1 DSL 16000
    VoIP: 1&1

  10. #10
    IPPF-Zweitausend-VIP Avatar von Darkyputz
    Registriert seit
    27.07.2005
    Ort
    Newton, New Jersey
    Beiträge
    2.258
    na dafür haben wir ja jetzt den portrule patch...iss zwar kosmtisch nicht die tollste lösung aber eine funktionierende...
    Router1: FRITZ!Box Fon 7390 84.06.03 rev27349 devel-11972
    ATA Mode and Zyxel Modem
    -------------Freetz Mod mit:
    Callmonitor, Vsftpd(ssl), cifsmount, Samba (3.6)
    Syslogd, Fritzload, AVM-Firewall/Portrule 2.0.4_rc5, inetd, etc...
    -------------
    Mein System
    Seit 10.05.2008 kein Festnetz mehr
    Seit 01.07.2013 kein deutschland mehr

  11. #11
    IPPF-Fan
    Registriert seit
    10.08.2007
    Beiträge
    227
    Wo genau kommt das patch hin in welches Verzeichniss?

  12. #12
    IPPF-Aufsteiger
    Registriert seit
    24.05.2008
    Beiträge
    33
    komisch, aber irgendwie finde ich die datei portrule.js nicht
    Code:
    pr=`find /var/html/ -name portrule.js`
    -sh: find: not found
    bzw
    Code:
    find /var/html/ -name portrule.js
    -sh: find: not found
    wo sollte die denn sonst sein? und warum musste avm den trick mit der virtuellen ip ausstellen
    Fritz!Box W-LAN 3170, Firmware-Version 49.04.58
    NetCologne 6M
    Mods: Telnet via Pseudo-Image

  13. #13
    IPPF-Fan
    Registriert seit
    05.09.2007
    Beiträge
    147
    Zitat Zitat von olistudent Beitrag anzeigen
    Virtual IP geht natürlich immer noch. Aber angeblich sollen die Portweiterleitungen nicht funktionieren.
    Das kann ich bestätigen, mit der 7170 FW 29.04.55-10393 laufen keine Portweiterleitungen auf ein ein Interface <> 0.0.0.0. Siehe auch: Keine Portweiterleitungen mit Labor/Beta 7170

    Wer kann einen Workaround anbieten (Skript in debug.cfg o.ä.)?

    Gruß,
    MaHaGoNi

  14. #14
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.643
    ... hat diese "Blockade" schonmal jemand mit einer IP-Vergabe aus der debug.cfg getestet? Um zu prüfen ob das generell nicht mehr geht oder "nur" ein Virtual-IP-Problem ist...

    Jörg
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  15. #15
    IPPF-Urgestein
    Registriert seit
    22.04.2007
    Beiträge
    12.198
    Geht es hierbei denn darum, daß Virtual-IP nicht mehr funktioniert und eine Alternative gebraucht wird, oder ging es darum, das Ganze einfacher zu machen?

    Wenn Virtual-IP noch funktioniert, dann würde ich es dabei belassen. Der Ansatz hier wäre eleganter gewesen, aber nicht, wenn man dafür etliche andere Klimmzüge machen muß.

  16. #16
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.643
    Wenn ich das oben richtig gelesen hatte, sollte Virtual-IP ab der 50-er FW nicht mehr gehen, das war aber nicht die ursprüngliche Intention...

    Eine Virtuelle IP über die debug.cfg ist vermutlichwegen der Probleme noch immer die beste Methode: "Sofort" beim Starten da und ohne weitere Klimmzüge....

    Jörg
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  17. #17
    IPPF-Tausend-VIP
    Registriert seit
    17.02.2007
    Beiträge
    1.537
    Warum soll denn VirtualIP nicht mehr funktionieren?
    Hab ne 7141 und ne 50er FW und VirtualIP startet ganz normal:
    Code:
    /var/log/mod.log
    
    rc.mod version ds26-pre16
    Starting crond...done.
    telnetd is disabled
    Starting webinterface...done.
    Setting up virtual network interface ... done.
    ...
    Router, WDS-Master: Fritzbox 7270, Firmware: 54.04.86freetz-devel-5841M
    WDS-Client: Fritzbox 7141, Firmware: 40.04.76freetz-devel-3931M (7170-Alien-FW)
    Anschluß: 1und1 Komplett 6000
    Sip-Accounts: 1und1, Sipgate und IPKall
    Handy: Nokia E65 mit WLan und VoIP

  18. #18
    IPPF-Fünfhundert-Club
    Registriert seit
    30.01.2005
    Beiträge
    754
    wäre es evtl. auch möglich, ein paar Zeilen anzufertigen, die verhindern, dass eine ansonsten Box-fremde IP, die jedoch aufgrund von virtualip nunmehr eine Box-eigene IP ist, von der Box nicht mehr geprüft und geblockt wird?

  19. #19
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.643
    ... das geht doch noch immer, oder?
    Wenn du (per virtual-ip oder [mein Favorit] per debug.cfg) eine zusätzliche IP nutzt, wurde die bislang zumindest nie "verboten".


    Jörg
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  20. #20
    IPPF-Fünfhundert-Club
    Registriert seit
    30.01.2005
    Beiträge
    754
    also wenn ich jetzt (55er Firmware) ein Forwarding auf die IP einer virtuellen Netzwerkkarte anlege, dann klappt das scheinbar. Also die Freigabe wird im Interface übernommen.
    Aber in der Konsole kommt dann folgende Meldung:

    Code:
    Mar 21 18:03:27 fritz user.err dsld[946]: internet: 172.30.1.253 not an intern host, forwardrule "tcp 0.0.0.0:2641 172.30.1.253:2641 0 # HTTP-Server" ignored
    .

    Und diese Meldung stimmt dann auch. Also die Rule wird tatsächlich ignoriert.

    Und deine erste Frage, ist wohl zu bejahen...
    Geändert von xsapling (21.03.2008 um 18:14 Uhr)

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. doppelte SSH Freigabe auf Port 22
    Von JayF im Forum FRITZ!Box Fon: Modifikationen
    Antworten: 6
    Letzter Beitrag: 03.03.2008, 08:12
  2. Antworten: 2
    Letzter Beitrag: 02.06.2007, 06:59
  3. Port freigabe
    Von hophead im Forum AVM
    Antworten: 1
    Letzter Beitrag: 07.11.2006, 16:47
  4. Port Freigabe!
    Von Esox im Forum FRITZ!Box Fon: DSL, Internet und Netzwerk
    Antworten: 18
    Letzter Beitrag: 09.01.2006, 16:24

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •