Ein paar Fragen zu Hardware und iptables

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
The Brad

The Brad

Mitglied
Mitglied seit
20 Dez 2007
Beiträge
234
Punkte für Reaktionen
1
Punkte
16
Hallo,

ich habe ein paar Fragen zu iptables, denn ich möchte mein Netzwerk zu Hause mit iptables weiter sichern.

Grundsätzlich möchte ich

- von außen per ssh (Port 22) auf meinen raspberry pi zugreifen
- die FritzBox per VPN mit einer anderen Fritzbox verbinden
- nur von einer bestimmten IP-Adresse auf den Webserver (Port 443) und das Administrations-WebIF (Port 8080) meines NAS zugreifen


Zur Zeit habe ich eine 7390 im Einsatz, aber wenn ich hier alles richtig gelesen und verstanden habe, ist eine iptables-Unterstützung mit freetz in der aktuellen Firmware-Version aufgrund des alten Kernels nicht möglich, die Verwendung der alten Firmware ist wegen des Sicherheitslecks auch keine tragbare Alternative. Ich suche also nach alternativer Hardware - läuft iptables auf einer 3490? Ich brauche den Telefonieteil der Fritz-Box nicht mehr, so dass eine 3490 reichen dürfte. Brauche ich für mein Vorhaben das NAT-Modul von iptables? Oder conntrack?

Über ein paar Gedanken zu diesem Thema würde ich mich freuen...
 
Zuletzt bearbeitet:
Ich würde, da Du die Telefonie nicht benötigst, zu einer 7360 raten. Diese hat das, wie ich finde, bessere DSL-Modem und besitzt eine FW mit neuerem Kernel. Mit diesem (2.6.32.*) läuft iptables wieder innerhalb gewisser Grenzen.
Für Dein(e) Vorhaben benötigst Du nf_nat nicht und nf_conntrack eigentlich auch nicht, Letzteres ist aber handsamer bei der Verwendung von stateful-Regeln (RELATED, ESTABLISHED). Hierfür benötigst Du xt_state, was wiederum nf_conntrack benötigt.
 
Noch ein paar Details hierzu:
Das Problem mit iptables ist nicht ein zu alter Kernel. Im Gegenteil, mit dem uralten Kernel einer 7170 läuft iptables.
Das Problem ist vielmehr, dass AVM von einigen Modulen schon immer keine Quelltexte ausliefert. Wenn man die Kernel-Konfiguration so ändert, dass diese nicht mehr kompatibel zu den AVM Modulen ist, läuft die Box nicht mehr. Bei den neueren Modellen verwendet AVM einen sogenannten Packet Accelerator (PA), der nicht kompatibel zu conntrack ist, und conntrack ist wiederum Voraussetzung für NAT. Damit fallen die meisten interessanten Anwendungen weg.

Zu den Fragen:
- Eine Portweiterleitung kann man direkt in der AVM Oberfläche einrichten.
- Ein VPN zwischen zwei Fritzboxen kann man auch mit normaler AVM Firmware erreichen.
- Die Einschränkung für den Zugriff auf das NAS kann man entweder im NAS vornehmen, wenn dieses iptables unterstützt, oder auch auf der Box ohne Verwendung von conntrack. Du solltest dann aber prüfen, ob die Einschränkungen auch wirklich wirksam sind, es könnte sein, dass AVM Pakete an iptables vorbei transportiert und diese deswegen nicht entsprechend den Regeln gefiltert werden, obwohl die Regeln selbst korrekt sind.
 
Vielen Dank Jungs für Eure Beiträge, diese Informationen fehlten mir. Zurzeit funktioniert an meinem DSL-Anschluss alles perfekt (Portweiterleitung, Zugriff von außen etc.), aber ich wollte mir einen Unitymedia-Business-Anschluss mit fester IP holen (die 7390 bleibt hinter dem Modem im Einsatz) und da meine ich, wäre eine "professionelle" Firewall vielleicht besser als lediglich die offzielle AVM-Lösung...
 
Zum Beispiel den Zugriff von außen auf bestimmte IP beschränken. Verstehe ich Dich richtig, dass Du der AVM-Firewall vollständig vertraust und ich keine zusätzliche Sicherheit benötige?
 
Moin

Genau das...
Zum Beispiel den Zugriff von außen auf bestimmte IP beschränken.
Zum Vergrößern anklicken....
...geht mit der Fritz!Box Kindersicherung.

1. Den Rechner ein KiSi Profil zuweisen mit Whitelist Blacklist
2. Die "Äußere IP" von diesem Rechner aufrufen
3. Diese IP in der Liste der erlaubten IP Adressen anhaken (fritz.box/internet/kids_blockedip_list.lua)

Für DNS Adressen die Whitelist benutzen, die scheint aber keine IP Nummern zu erfassen.
Das macht nur die Blacklist Einstellung.

Bedenke: IPv4 erlauben/sperren bedeutet nicht das auch IPv6 erlaubt/gesperrt werden.
Das geht besser mit der Whitelist, also über den DNS-Namen.
 
Zuletzt bearbeitet:
The Brad schrieb:
Zum Beispiel den Zugriff von außen auf bestimmte IP beschränken. Verstehe ich Dich richtig, dass Du der AVM-Firewall vollständig vertraust und ich keine zusätzliche Sicherheit benötige?
Zum Vergrößern anklicken....

Vollständig vertrauen kann man weder der Firewall von AVM noch irgend einer anderen. Ich gehe aber davon aus, dass es nicht so einfach versehentlich passiert, dass ein Paket auf einen nicht freigegebenen Port irgendwo im internen Netzwerk landet.
Die Oberfläche von AVM erlaubt keine Einschränkung der IP-Adresse von außen, die AVM Firewall möglicherweise doch, man müsste hierzu mit den Einstellungen in der Datei ar7.cfg experimentieren bzw. nachsehen, was andere bereits herausgefunden haben. Es gab einmal ein Freetz Paket, um die AVM Regeln zu bearbeiten, aber soweit ich mitbekommen habe, hat sich da bei AVM inzwischen einiges geändert.
Die Einschränkung der IP-Adresse kann man auch mit iptables ohne conntrack oder auf dem Zielgerät vornehmen.
Das soll nicht heißen, dass man mit der AVM Firewall alles tun kann, was man mit einer speziellen Firewall tun kann, es kommt darauf an, was man vorhat.

@koyaanisqatsi
Hast Du das ausprobiert? Ich gehe nicht davon aus, dass es in diesem Zusammenhang irgend etwas bringt, DNS-Namen einzutragen, es sei denn, dass diese an dieser Stelle als Alternative zu IP-Adressen eingegeben werden können.
 
Hast Du das ausprobiert?
Zum Vergrößern anklicken....
Ja.
In Wirklichkeit darf das interne Gerät keine Verbindung zu gesperrten IPs oder DNS (IP-Sperre, Blacklist) aufbauen.
Das hat eben zur Folge, dass auch das Externe keine Verbindung aufbauen kann.
Bei der Whitelist ist es dementsprechend so, dass nur diese Geräte (Hostnamen) auch eine Verbindung herstellen können.
...weil es bei dem Gerät (Profil) halt in der Whitelist steht.

Da muss man halt "etwas andersrum" denken.
 
Zuletzt bearbeitet:
Die Denkweise ist mir schon klar, und die Funktion auch. Wenn das interne Gerät nicht antworten kann, kommt keine Verbindung zustande (reine UDP Pakete evtl. ausgenommen).
Da das interne Gerät aber keine Veranlassung hat, den Hostnamen aufzulösen und diesen möglicherweise gar nicht kennt, muss der Hostname an dieser Stelle für die IP-Adresse stehen, zu der er aufgelöst wird.
 
Hm, das Auflösen übernimmt doch die Fitz!Box, weil die ja letzendlich entscheidet.
Apropos, ganz vergessen: In der Whitelist dürfen auch reine IP Adressen (Nummern) stehen.
Ich hab da allerdings noch keine IPv6 ausprobiert.
Deswegen neige ich dazu: Hostnamen/Domainname für IPv6 & 4 und eine IPv4 für diejenigen wo es keinen Hostnamen und IPv6 für gibt.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 802 (Mitglieder: 33, Gäste: 769)

Neueste Beiträge

Statistik des Forums

Themen
244,873
Beiträge
2,219,929
Mitglieder
371,595
Neuestes Mitglied
Aigner
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück