Firewall Regel - Freetz AVM Firewall Paket

Torx2

Neuer User
Mitglied seit
1 Mai 2010
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Hallo *,

ich bräuchte bitte Eure Unterstützung bei der Erstellung der eingehenden Firewall-Regel für die Freetz - avm-firewall.

Es geht mir darum eine bestimmte IP-Adresse (172.23.66.20) des LAN zu berechtigen Seiten im Internet (http://) aufzurufen. Die Implizite Standard-Regel für ein- und ausgehende Verbindungen ist Deny.

Die ausgehende Regel funktioniert problemlos (getestet bei eingehender AVM "Standard" Regel)

permit tcp 172.23.66.20 255.255.255.255 any eq 80

Sobald ich aber die eingehende Regel ändere (inklusive Standard-Regel von Permit auf Deny), bekomme ich keine Antwort mehr zurück.

Ich dachte mir analog zur ausgehenden Regel müsste diese eingehende Regel funktionieren, geht aber leider nicht.

permit tcp any 172.23.66.20 255.255.255.255 eq 80

...welche Ports müssen in der Firewall für eingehende Verbindung offen sein, damit ein request vom LAN (z.B. http://www.ip-phone-forum.de) auch wieder beim anfragenden PC ankommt? Ich dachte bei NAT würde dies automatisch der Fall sein, oder ist dieses NAT deaktiviert, wenn die Implizite Standard-Regel für ein- und ausgehende Verbindungen "Deny" ist.

Please help :)
 
Zuletzt bearbeitet:
Was meinst Du mit "range 80 80" bei der ausgehenden Regel und mit "range 80 80" bei der eingehenden Regel? Für 1 Port heisst das nicht "range". Warum bei der eingehenden Regel auch Port 80?
 
Lass dich durch das "range 80 80" nicht irritieren, hab nur bei Start- und Endport den gleichen Wert eingetragen. Hat die gleiche Auswirkung wie "eq 80" (ist nicht schön, aber im Grunde egal, habs trotzdem oben geändert)

Zitat: Warum bei der eingehenden Regel auch Port 80? - Welchen Port würdest Du denn eintragen? Bitte bedenke, dass die Implizite Standard-Regel für ein- und ausgehende Verbindungen "Deny" ist.

..oder anders gefragt, welche Ports müssen in der Firewall für eingehende Verbindung offen sein, damit ein request vom LAN (z.B. http://www.ip-phone-forum.de) auch wieder beim anfragenden PC ankommt? Ich dachte bei NAT würde dies automatisch der Fall sein, oder ist dieses NAT deaktiviert, wenn die Implizite Standard-Regel für ein- und ausgehende Verbindungen "Deny" ist.
 
Zuletzt bearbeitet:
...jetzt funktionierts :)

Es musste noch folgende Regel hinzugefügt werden:

Eingehend
permit ip any any connection outgoing-related

Hier nocheinmal eine Zusammenfassung:

Nur ein bestimmter Rechner in meinem Netz (172.23.66.20) darf eine tcp Verbindung über den Port 80 in das Internet aufbauen. Hier die dazugehörigen Regeln:

Eingehende Regeln (lowinput): permit ip any any connection outgoing-related
Ausgehende Regeln (highoutput): permit tcp 172.23.66.20 255.255.255.255 any eq 80
 
Zuletzt bearbeitet:
Hallo,
könntest Du bitte einmal den kompletten Abschnitt Deiner Firewall regeln posten ? Mein Problem ist ähnlich. Ich möchte die Ports 80 und 443 nur zwei Rechnern zugänglich machen. Für alle anderen sollen diese nach außen dicht sein.
Danke !
 
Hallo nochmal,
habe jetzt hinbekommen, die Regeln für 7170 so einzustellen, dass für zwei Rechner der Zugriff auf Port 80 und 443 geblockt wird.

Code:
dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist = 
                                             "deny ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "deny udp any any range 161 162", 
                                             "deny udp any any eq 111",
                                             "deny tcp host 192.168.24.2 any eq 80",
                                             "deny tcp host 192.168.24.2 any eq 443",
                                             "deny tcp host 192.168.24.3 any eq 80",
                                             "deny tcp host 192.168.24.3 any eq 443";
            policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 169.254.0.0 255.255.0.0", 
                                             "reject udp any any range 161 162", 
                                             "reject udp any any eq 111",
                                             "reject tcp host 192.168.24.2 any eq 80",
                                             "reject tcp host 192.168.24.2 any eq 443",
                                             "reject tcp host 192.168.24.3 any eq 80",
                                             "reject tcp host 192.168.24.3 any eq 443";
                        }
                        forwardrules = "
Jetzt würde ich mich sehr freuen, wenn mir jemand sagen könnte, wie ich diese Regeln umbauen muss, um für alle Rechner im Netz den Zugriff auf Port 80 / 443 zu sperren und nur für 1-2 Rechner freizugeben.
Vielen Dank schonmal für Tipps !
 
Jetzt bräuchte ich bitte nochmals Eure Hilfe, möchte gerne für einen Rechner (172.23.66.20) ein Bittorrent-Programm in die Zugriffsliste hinzufügen. Es ist für Ein- und Ausgehende Verbindungen für den TCP/UDP Port 49555 konfiguriert. Bekomme aber keine Verbindung, hier die Firewall-Config:

Implizite Standard-Regel:deny

HighOutput

permit tcp 172.23.66.20 255.255.255.255 any eq 49555
permit udp 172.23.66.20 255.255.255.255 any eq 49555

permit tcp 172.23.66.20 255.255.255.255 any eq 80
permit tcp 172.23.66.20 255.255.255.255 any eq 443
permit tcp 172.23.66.10 255.255.255.255 any eq 80
permit tcp 172.23.66.10 255.255.255.255 any eq 443

LowInput

permit ip any any connection outgoing-related

Vielen Dank!!!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.