Seite 1 von 24 1234511 ... LetzteLetzte
Ergebnis 1 bis 20 von 462

Thema: AVM-Firewall package für Freetz

  1. #1

    AVM-Firewall package für Freetz

    Hallo,

    nach langen Diskussionen und Entwicklungsarbeiten steht die AVM-Firewall endlich für euch bereit.

    An dieser Stelle möchte ich mich erstmal bei MaxMuster bedanken, der sehr viel Entwicklungsarbeit hier reingesteckt hat und das package so schön interaktiv aufbereitet hat. Weiterhin trug Darkyputz mit vielen testings zu neuen Erkenntnissen und Ideen bei.

    Wer Firewall-Richtinien einsetzen will, muss also jetzt nicht mehr unbedingt mit iptabels arbeiten, denn die AVM-Firewall bietet zumindest was (incoming und outgoing) für das dsl interface angeht alles was man benötigt. Und zudem ist es winzig klein, weil es keinerlei binarys aufweist. Es ist ja alles schon per default in der AVM-Firmware enthalten.

    Leider greifen die Regeln nur für das dsl interface.
    Somit lassen sich diese also nicht auf andere Interfaces z.B. zwischen OpenVPN Tunneln (tun0, tun1,...) anwenden. Wer das benötigt, muss doch auf iptabels zurückgreifen.

    So, los gehts....

    Das package 2.0.3c ist bereits im Subversion Repository eingechecked.

    Um manuell (ohne svn up) vorzugehen:
    =============================
    Ihr müsst das beigefügte File im root-Verzeichnis von freetz entpacken und "make menuconfig" aufrufen.
    Es ist dann unter Testing zu finden.

    Code:
    tar -xvf avm-firewall-2.0.3c.tgz

    So, dann viel Spaß mit dem package und berichtet bitte mal über eure Tests und Erfahrungen.

    ACHTUNG: Damit das Regelwerk aktiviert wird, muss ein Häkchen bei "Check to activate rules when saving" gesetzt werden.


    EDIT: 12.02.2008 - 16:22 Uhr - V.2.0.3a - Mehr als 50 Rules nutzbar
    EDIT: 17.02.2008 - 22:19 Uhr - V.2.0.3c - Multilanguage plus Bugfixes

    Gruß
    Han-Solo
    Angehängte Grafiken Angehängte Grafiken
    Angehängte Dateien Angehängte Dateien
    Geändert von kriegaex (06.02.2010 um 13:50 Uhr) Grund: "[NEU]" entfernt
    Router/DSL: FRITZ!Box Fon WLAN 7390, FW
    Anbindung: DSL 6000 ( 1und1 )
    VoIP: 1und1 Telefon-Flat
    Telefon: Siemens Gigaset A58H

    Webseiten:
    http://www.xobztirf.de
    http://www.erfolgreich-durch-seo.de

  2. #2
    IPPF-Fünfhundert-Club Avatar von knox
    Registriert seit
    20.05.2006
    Beiträge
    577
    Vielen Dank für die große Mühe, die Ihr Euch gemacht habt!

    Ich werde es gleich heute abend mal antesten...
    Freiheit statt Angst - Stoppt den Überwachungswahn! - 11.10. Berlin Alexanderplatz, ab 14:00 Uhr

  3. #3
    IPPF-Einsteiger Avatar von Xerolux
    Registriert seit
    14.09.2007
    Ort
    /var
    Beiträge
    23

    Super Danke

    Danke, hat alles super ( sogar beim 1 mal ) funktioniert.

    Macht weiter so. *Jubel*

    Basti

    Signatur wurde Leider nicht angezeitgt

    ---------------------------
    Speedport W900V mit Freetz rev. 1823 ( Alienware 7170) + T-com Beta
    Pakete:
    downloader-0.2, callmonitor-1.10.2, avm-firewall-2.0.3, dnsmasq-2.40, privoxy-3.0.6, rrdtool-1.2.23, tor-0.1.2.19, collectd-4.0.7, fstyp-0.1, haserl-0.9.21, inadyn-1.96.2, modcgi-0.2, ntfs-1.2129, syslogd-cgi-0.2.3

    DSL = T-com Beta Tester im Rate Adaptive Mode (Ram)mit 6000/700
    Geändert von wichard (12.02.2008 um 14:04 Uhr) Grund: Signatur etwas augenfreundlicher gestaltet

  4. #4
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.642
    ... tut mir ja leid, aber für "große" Benutzer muss ich gleich noch ein Update nachschieben . Ab 50 Regeln wird diese Version nicht mehr funktionieren. Sorry, ist mir erst jetzt ein-/aufgefallen...

    Ein kleines "Zusatzbonbon": Man kann mit dem "Standard"-Button die AVM-Defaultregeln zurückladen (gibt zwar einmal "Mecker" vom rc, dass es nicht aus der GUI aufgerufen wurde, aber es funktioniert.)

    Jörg
    Geändert von MaxMuster (12.02.2008 um 16:24 Uhr) Grund: Neue Version siehe oben. Anhang entfernt.
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  5. #5
    IPPF-Dreitausend-VIP Avatar von hermann72pb
    Registriert seit
    06.11.2005
    Beiträge
    3.535
    wäre vermutlich sowieso keinem hier aufgefallen....
    Danke, dass ihr es so ausgiebig testet. Checkt doch es in svn ein! Ich glaube, Beta-Satatus hat euer Werk auf jeden Fall erreicht.

    MfG
    Hermann

    Mehrere Boxen an diversen Orten mit diversen Firmware/freetz-Versionen (überwiegend 7270 und 7170):
    F!B 7270v2: Eigene Box mit einem mehr oder weniger aktuellem Trunk
    F!B 7270v3: 2-3 Stück in Betreuung mit einem etwas älteren aber stabil laufenden Trunk
    F!B 7170: Eigene Bastelbox mit einem USB-Medium und external sowie 3-5 Boxen in Betreuung, wahlweise mit oder ohne USB/External
    Build-Umgebung: Freetz-Linux (ältere Version, selbst weitergepflegt)
    Anschluss: 1und1-Komplett DSL mit 16000/1072kbit/s
    FREETZ-Kleinigkeiten, an denen ich mitgewirkt hatte: Downloader, FREETZMOUNT, Box-Info, Freetz-Info, mounted.cgi, FAQ-reader, betamax.sh, sendsms.sh, sispmctl, AVM-ftpd

  6. #6
    Semi-Moderator Avatar von kriegaex
    Registriert seit
    07.11.2006
    Ort
    Großraum Nürnberg
    Beiträge
    2.930
    Na, ist doch schön, daß mein Aufruf per Sticky Thread nach einiger Zeit Früchte getragen hat. Herzlichen Dank an alle, die mitgemacht haben (ich komme ja nicht mehr groß dazu, was zu machen). Hatte ich mir doch gedacht, daß da was gehen müßte mit der AVM-Firewall.
    Alexander Kriegisch

    Antworten dauern momentan, ich bin kaum aktiv wegen beruflicher Inanspruchnahme.

    Fritz!Box Fon WLAN 7270 v1, Firmware 54.04.88, freetz-1.2-stable , Kernel 2.6.19.2 (Original AVM), Busybox 1.18.5, USB-Root
    Im Schrank: Fritz!Box Fon WLAN 7170, Speedport W701V, Fritz!Box Fon WLAN 7113
    1&1 DSL 16.000 inkl. VoIP

    Spenden für Freetz
    Wer guten Support will, braucht eine aussagekräftige Signatur! So geht's...
    Bitte keine privaten Support-Anfragen, frühestens nach 36 h ohne Antwort eine Hinweis-Nachricht.


  7. #7
    IPPF-Fünfhundert-Club Avatar von Whoopie
    Registriert seit
    19.10.2004
    Beiträge
    642
    Könnt Ihr mal kurz erklären, was der Unterschied zur AVM-Weboberfläche ist? Wo ist der "Mehrwert"?

    Beste Grüße,
    Whoopie
    Router: AVM FRITZ!Box Fon WLAN 7390 mit FRITZ!OS 84.06.10-28510 und freetz-devel
    VoIP: Telekom, sipgate
    Anbindung: Telekom Call&Surf Basic IP (DSL 16000 Annex J), Downstream: 12,4 MBit/s, Upstream: 2,3 MBit/s

  8. #8
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.642
    ... es gibt gar keine Oberfläche zur Firewall von AVM ...

    Jörg
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  9. #9
    IPPF-Urgestein
    Registriert seit
    22.04.2007
    Beiträge
    12.190
    Das Einzige, was man mit der Oberfläche einstellen kann, sind die Port-Weiterleitungen.

  10. #10
    IPPF-Fünfhundert-Club Avatar von Whoopie
    Registriert seit
    19.10.2004
    Beiträge
    642
    ups, hatte das mit dem Portforwarding verwechselt.
    Router: AVM FRITZ!Box Fon WLAN 7390 mit FRITZ!OS 84.06.10-28510 und freetz-devel
    VoIP: Telekom, sipgate
    Anbindung: Telekom Call&Surf Basic IP (DSL 16000 Annex J), Downstream: 12,4 MBit/s, Upstream: 2,3 MBit/s

  11. #11
    IPPF-Einsteiger
    Registriert seit
    07.12.2005
    Beiträge
    15

    2 Anmerkungen

    a)
    das Zurueckladen der Standardregeln ist eine schoene Idee, aber bei mir hat es auch die Internet-Zugangsregeln und die geaenderten LAN Netzwerksettings und die Portfreigaben gecleared. Eklig.

    b)
    Ich wuerde gerne das Webinterface :80-81 nur vom lan-a aus zugaenglich haben.
    Ich versuchte (in Pseudonotation, das neue avm-fw gui fuehrte zu einem Reset der Box)
    permit net lana tcp :80-81 host lana-fritzbox-ip
    deny net wlan tcp :80-81 host lana-fritzbox-ip
    deny net wlan tcp :80-81 host wlan-fritzbox-ip

    mit dem Ergebnis:
    multid[1067]: /var/flash/ar7.cfg:212: member "permit tcp 10.1.1.0 255.255.255.0 host 10.1.1.1 range 80 81" not found in ST_struct DPCFG_ipfw_set
    multid[1067]: /var/flash/ar7.cfg:212: missing "=" or "{" after unknown member "permit tcp 10.1.1.0 255.255.255.0 host 10.1.1.1 range 80 81"
    multid[1067]: /var/flash/ar7.cfg:213: missing "}" after members of struct DPCFG_ipfw_set
    multid[1067]: /var/flash/ar7.cfg:213: missing "}" after members of struct DPCFG_config
    multid[1067]: /var/flash/ar7.cfg:214: missing "}" after members of struct dslifaceconfig
    multid[1067]: /var/flash/ar7.cfg:214: missing "}" after members of struct ar7cfg
    multid[1067]: FactoryDefault=/etc/default/avm/ar7.cfg (ar7)
    multid[1067]: load_config(ar7): factory default loaded
    FRITZ!Box Fon WLAN 7050, Firmware-Version 14.04.33ds26-15.2 + avm-fw-cgi 203a

  12. #12
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.642
    Moin,

    dass es dein Rules und Einstellungen gekillt hat ist blöd, so soll es natürlich nicht sein! Ich denke aber, das liegt vermutlich nicht an den defaults, sondern an einem anderen generellen Problem (deine Box sieht in der erzeugten ar7.cfg Fehler und lädt die Default ar7.cfg, deshalb sind auch die anderen Einstellungen weg.).

    Könntest du uns ein wenig Unterstützen (benötigt Shell-Zugang)? Dann würde ich dich um folgendes bitten (damit erstellst du Regeln, aber in einer Kopie, nicht in der Original-Datei):
    Code:
    cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
    sed 's%/var/flash/ar7.cfg%/var/tmp/ar7.cfg%'  /etc/init.d/rc.avm-firewall > /var/tmp/rc.avm-firewall
    mount -o bind /var/tmp/rc.avm-firewall /etc/init.d/rc.avm-firewall
    chmod +x /var/tmp/rc.avm-firewall
    Vorsichtshalber mal in "/var/tmp/rc.avm-firewall" prüfen, ob oben bei "REAL" nun die Datei in /var/tmp/ar7.cfg steht, und dann nochmal versuchen, die Änderung einzugeben (nur Übernehmen, ohne "Apply").

    Wenn du die dann erzeugten Regeln posten könntest???
    Code:
    sed -n '/dslifaces/,/forward/p' /var/tmp/ar7.cfg
    Danke!

    EDIT: Korrigiert, das rc-File muss verändert werden!!!
    EDIT2: Dass die "erwünschte" Regel so nicht greifen wird, sei auch noch erwähnt (wirkt nur auf "DSL-Verbindungen")!


    Jörg
    Geändert von MaxMuster (13.02.2008 um 15:08 Uhr) Grund: ... und das neue rc noch ausführbar machen...
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  13. #13
    IPPF-Einsteiger
    Registriert seit
    07.12.2005
    Beiträge
    15
    der Output wie gewuenscht haengt unten dran.
    Sieht doch ganz gut aus?

    Das Zugriffsproblem loese ich nun erstmal durch Stoppen der beiden webserver Prozesse.
    Angehängte Dateien Angehängte Dateien
    FRITZ!Box Fon WLAN 7050, Firmware-Version 14.04.33ds26-15.2 + avm-fw-cgi 203a

  14. #14
    IPPF-Fan
    Registriert seit
    03.10.2006
    Ort
    östlich Rhein-Main
    Beiträge
    333
    Hallo allerseits,

    ich habe soeben ein svn up auf trunk 1829 gemacht, da ich Euer Firewall-Paket testen wollte.
    Nach einem make wurde iptables heruntergeladen und compiliert obwohl iptables nicht ausgewählt ist.
    Normales Verhalten oder Fehler?

    wengi
    F!B FW 7170, Firmware 29.04.80freetz-devel-6933 (Standort A, ALTER VPN Server)
    F!B FW 7390, Firmware 84.05.05freetz-devel-7645 (Standort A, NEUER VPN Server)
    F!B FW 7170, Firmware 29.04.80freetz-devel-6933 (Standort B, VPN Client)
    F!B FW 7170, 29.04.80freetz-devel-6933 (Standort C, VPN Client)
    SPort W701V, Firmware 29.04.80freetz-devel-6933 (7170 alien Hardware, Standort D, VPN Client)
    Patches: remove help, remove assistant, remove smbd, patch enum, patch wm signed message, USB patch and automount filesystems
    Pkgs: Callmonitor (wget), Dnsmasq, Dropbear, OpenVPN (Zertifikate, TUN, 4 Netze), Screen
    CGIs: AVM-Firewall, RRDstats, Syslog, WoL
    Kompiliert mit freetz-Linux unter Windows. <- Newbie mit Windows und keine Ahnung wie Du ein freetz-Image erstellen sollst?
    Jede Box mit 1GB USB Stick an einem T-COM ISDN, DSL 16000, kein VOIP.

  15. #15
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.642
    Zitat Zitat von greifswalder Beitrag anzeigen
    Sieht doch ganz gut aus?
    ... leider nicht. Die Zeile "accesslist = " fehlt bei dir zwischen policy = "permit"; und den Rules...

    EDIT: könntest du die gleiche (sed) Ausgabe mal von deiner /var/flash/ar7.cfg machen?

    Jörg
    Geändert von MaxMuster (13.02.2008 um 17:17 Uhr)
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  16. #16
    IPPF-Einsteiger
    Registriert seit
    07.12.2005
    Beiträge
    15
    ok, da ist sie drin:

    dsldpconfig {
    security = dpsec_firewall;
    lowinput {
    policy = "permit";
    accesslist =
    "deny ip any 242.0.0.0 255.0.0.0", /*AVM*/
    FRITZ!Box Fon WLAN 7050, Firmware-Version 14.04.33ds26-15.2 + avm-fw-cgi 203a

  17. #17
    IPPF-Fünftausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.642
    ... ich würde das gerne weiter eingrenzen, wenn du noch etwas "Puste hast"

    Die Zeilen die den entsprechenden Eintrag generieren sind :
    Code:
    REAL=/var/flash/ar7.cfg
    DSLIFACES="`cat $REAL | sed   -n '/dslifaces/,/} {/p' `";
    LOWINPUT=`echo "$DSLIFACES" | sed -n '/lowinput/,/}/p' `
    SPACES="`echo "$LOWINPUT" | sed -n 's/\(^[ ]*\)"\(permit\|deny\|reject\).*;.*/\1/p'`";
    # Der "accesslit" String (leere Rulestabelle ist ohne accesslist-Eintrag!)
    ACCL=`echo "$DSLIFACES" | grep -m1 accesslist`
    
    echo "$ACCL"
    Könntest du das bitte mal in deine Box "pasten"?

    Danke!


    Jörg

    EDIT und wenn du besonders viel Zeit hast: Wenn bei dem "echo" oben die Zeilemit "accesslist" kommt, dann könntest du vielleicht noch folgendes testen:

    Code:
    echo "`cat /var/tmp/rc.avm-firewall | sed 's/="$ACCL$RET"/="${ACCL}${RET}"/' `" > /var/tmp/rc.avm-firewall
    Und dann nochmal eine Regel in der GUI eintragen (solange du nach dem oben genannten Versuch mit der /tmp/ar7.cfg nicht rebootet hast oder das rc-File wieder ungemountet hast)
    Geändert von MaxMuster (13.02.2008 um 18:33 Uhr)
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  18. #18
    Semi-Moderator Avatar von olistudent
    Registriert seit
    19.10.2004
    Ort
    Kaiserslautern
    Beiträge
    14.745
    @wengi
    Normal. Ich hab da was geändert. So dass iptables jetzt immer mitkompiliert wird.

    MfG Oliver
    Router: Fritz!Box Fon WLAN 7570, 7390, 7320, 7270, 3170
    Anbindung: T-Online DSL 16.000 RAM

    Visit ##fritzbox on Freenode for help
    Spenden für Freetz

  19. #19
    IPPF-Tausend-VIP
    Registriert seit
    17.02.2007
    Beiträge
    1.537
    warum soll iptables immer mitkompiliert werden?
    Router, WDS-Master: Fritzbox 7270, Firmware: 54.04.86freetz-devel-5841M
    WDS-Client: Fritzbox 7141, Firmware: 40.04.76freetz-devel-3931M (7170-Alien-FW)
    Anschluß: 1und1 Komplett 6000
    Sip-Accounts: 1und1, Sipgate und IPKall
    Handy: Nokia E65 mit WLan und VoIP

  20. #20
    IPPF-Erfahrener
    Registriert seit
    05.08.2007
    Ort
    Zunderdorp
    Beiträge
    95
    Leider greifen die Regeln nur für das dsl interface.
    When running in ata mode (behind a modem connected to LAN1 port), can the packet filter then be manipulated, or exludes dsl interface this WAN interface?
    cable: upc.nl
    modem: DOCSIS 3.0 (bridge)
    IPv6: sixxs.net
    VoIP: xs4all.nl

    router: FB7270 (ata)
    Freetz: 54.05.06-freetz-devel-9217M
    Patches:-assistant -mediasrv -ftpd -smbd -minid -userman -aura +signed
    Packages: +cpmaccfg +avm-firewall +iptables +dnsmasq +dropbear (no passwords)+syslogd-cgi +aiccu +radvd +tor +privoxy

Seite 1 von 24 1234511 ... LetzteLetzte

Ähnliche Themen

  1. uMurmur - freetz package
    Von blubber12345 im Forum Freetz
    Antworten: 34
    Letzter Beitrag: 24.03.2011, 09:38
  2. Autossh package für freetz
    Von boba23 im Forum Freetz
    Antworten: 10
    Letzter Beitrag: 06.03.2011, 09:26
  3. Package mit Freetz benutzen
    Von Scarabol im Forum FRITZ!Box Fon: Modifikationen
    Antworten: 22
    Letzter Beitrag: 29.05.2010, 15:14
  4. Insert a package into freetz
    Von vasila im Forum Freetz
    Antworten: 24
    Letzter Beitrag: 03.10.2009, 16:15
  5. samba package & freetz
    Von jampr im Forum Freetz
    Antworten: 34
    Letzter Beitrag: 19.02.2008, 20:53

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •