AVM Integrierte Firewall rules

HalliHalloSchat

Neuer User
Mitglied seit
27 Sep 2006
Beiträge
43
Punkte für Reaktionen
0
Punkte
6
Hallo Experten,

ich habe eine Subdomain per CNAME auf meine MyFritz-Seite umgeleitet.
Meine MyFritz Seite wird ja wunderbar über die FritzBox mit der IP-Adresse versorgt, somit funktioniert es super, das mein HomeServer über einen schönen Namen zu erreichen ist:

Beispiel: wiki.meineDomain.de

In der FritzBox sind zwei forwardrules definiert, sodass Port 80 und 443 zu meinem Homeserver umgeleitet werden.


Nun möchte ich in der FritzBox etliche IP-Bereiche außerhalb vom D A CH sperren, sodass ich einigermaßen "sicher" unterwegs bin mit meinem kleinen Homeserver.
1. Frage: Habt ihr eine schöne Sammlung? Vielleicht alles sperren und nur D A CH zulassen oder alles andere gezielt sperren?

Dazu möchte ich gerne, die eigene FritzBox Firewall mit deren dsldpconfig - lowinput/lowoutput/highinput/highoutput mit den entsprechenden Regeln versehen.
2. Frage: aus welcher Sichtweise ist diese FritzFirewall zu verstehen, internes Netzwerk (192.168.178.x) zur www Welt oder genau umgekehrt. Um gezielt deny/allow Quelle Ziel zu definieren.
3. Frage, kann ich die FritzFirewall ähnlich wie iptables verstehen, wie auf dieser http://freetz.org/wiki/packages/iptables Page?

Code:
Verkehr von und zur FritzBox: 
 [B]DSL < — > AVM Firewall  (NAT) < — > iptables Firewall  < — > (FritzBox) < — >  iptables Firewall  < — > LAN / WLAN[/B]
                        ^
                        |
---------------------------------------------------------------------------------------------------
|                                                                                                  |
www/DSL <-> lowinput / lowoutput <-> Fritzbox-Kernel (NAT usw.) <-> highinput / highoutput <-> LAN/WLAN
www/DSL <-> highinput / highoutput <-> Fritzbox-Kernel (NAT usw.) <-> lowinput / lowoutput <-> LAN/WLAN


3. Frage, kann ich mein Homeserver (192.168.178.123) als Ziel/Quelle angeben, obwohl der "Anfrager-Paket" meine Zieladresse im internen Netzwerk gar nicht kennt, da ja die Fritzbox das NAT / forwarden erledigt?
Mir ist also noch nicht ganz bewusst, welche Informationen zu welchen Zeitpunkt in der FritzFirewall bekannt ist, da die forwardrules ja auch erst ausgewertet werden müssen, damit ich gezielt nur den Verkehr zum Homeserver blocken kann aber alle anderen Clients durch diese Blockierregeln nicht gesperrt werden. Also alle Clients sollen weiterhin im gesamten www surfen können.

Beispiel für eine Regeln:
Code:
dsldpconfig {
[FONT=arial]                       some stuff removed[/FONT]
                        lowinput {
                                policy = "permit";
                                accesslist =  [FONT=arial] 
                                             [COLOR=#ff0000]"AKTION PROTOKOLL QUELL ZIEL PARAMETER",
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial]                                             [COLOR=#ff0000]"deny ip 123.123.0.0 255.255.0.0 host 192.168.178.123 connection incoming-related",
oder
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial]                                             [COLOR=#ff0000]"deny ip host 192.168.178.123 [FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000]123.123.0.0 255.255.0.0 [/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT]connection incoming-related",[/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT]
                                             "deny ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = [FONT=arial] 
                                             [COLOR=#ff0000]"deny ip böse.welt.außer.DACH host 192.168.178.123 connection incoming-related",
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial]                                             [COLOR=#ff0000]"deny ip 123.123.0.0 255.255.0.0 host 192.168.178.123 connection incoming-related",
oder
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial]                                             [COLOR=#ff0000]"deny ip host 192.168.178.123 [FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000]123.123.0.0 255.255.0.0 [/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT]connection incoming-related",[/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT]
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 169.254.0.0 255.255.0.0";
                        }
                }


oder doch nur eine von den beiden Seiten lowinput / highoutput?



- - - Aktualisiert - - -

Habe mir meine aktuelle IP Adresse meines Handys besorgt und diese mal Testweise als externe versucht zu sperren. Leider ohne Erfolg.

Dies habe ich bereits versucht:
lowinput:
"deny ip host 123.123.123.123 host 192.168.178.123"

Highoutput:
"deny ip host 123.123.123.123 host 192.168.178.123"

- - - Aktualisiert - - -

Erkenntnisse vom Test 22.07.:

Alles was ich in den bisherigen Threats so gelesen habe, hilft leider nicht weiter.
Also habe ich mich ans Try&Error gemacht um den Aufbau zu verstehen.

Ausgehend von diesem Aufbau der AVM Firewall-Rules:
"#Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#"
Ziel:
unerwünschte www-Client in der FritzBox bereits hindern den HomeServer zu erreichen.
Tools:
Überprüft mit Apache-Logs und tcpdump auf Client- und HomeServer-Seite

lowinput und highoutput
lowinput:
"deny ip host www-client host homeserver",
Highoutput:
"deny ip host www-client host homeserver",
RESULT Client: www-client kann auf den homeserver zugreifen, erhält Antwort.
RESULT Homeserver: Empfängt Anfragen und beantwortet diese.
RESULT GESAMT: Diese Regeln greifen nicht.


lowinput:
"deny ip host homeserver host www-client",
Highoutput:
"deny ip host homeserver host www-client",
RESULT Client: www-client kann NICHT auf Homeserver zugreifen, erhält KEINE Antwort.
RESULT HomeServer: Empfängt Anfragen und beantwortet diese.
RESULT Gesamt: Anfragen gehen durch die Firewall, Antworten vom Server werden ins www geblockt.



lowoutput und highinput
Bisher wurden diese in allen Threats die ich gelesen haben ignoriert. Genau hier spielt die Musik, wenn es mit iptables vergleichbar wäre.
lowoutput:
"deny ip host www-client host homeserver";
Highinput:
;
RESULT Client: www-client kann auf den homeserver zugreifen, erhält Antwort.
RESULT Homeserver: Empfängt Anfragen und beantwortet diese.
RESULT GESAMT: Diese Regeln greifen nicht.

lowoutput:
;
Highinput:
"deny ip host www-client host homeserver";
RESULT Client: www-client kann NICHT auf Homeserver zugreifen, erhält KEINE Antwort.
RESULT Homeserver: Empfängt KEINE Anfragen.
RESULT GESAMT: Anfragen von unerwünschten www-client werden in der FritzBox zum HomeServer geblockt.

- - - Aktualisiert - - -

Somit erschließt sich für mich folgendes Bild der AVM-Firewall:

Code:
Verkehr von und zur FritzBox: 
DSL < — > AVM Firewall (NAT) < — > iptables Firewall  < — > (FritzBox) < — >  iptables Firewall  < — > LAN / WLAN
                   ^
                   |
------------------------------------------------------------------------------------------------------
|                                                                                                     |
www/DSL <-> lowinput / lowoutput <-> Fritzbox-DSL-Daemon (NAT usw.) <-> highinput / highoutput <-> LAN/WLAN
                                                  ^
                                                  |
------------------------------------------------------------------------
|                                                                       |
www/DSL <-> low-Site <-> NAT <-> Forward-Rules <-> high-Site <-> LAN/WLAN
 
Zuletzt bearbeitet:
Kann dir nicht direkt weiterhelfen, aber wäre es mit mod_geoip (oder ähnliches) am Homeserver nicht einfacher?
 
Zuletzt bearbeitet:
@berndy2001: Danke für deine Antwort.
Ja, wahrscheinlich.

Werde mir mod_geoip und die Konfiguration im Apache anschauen.
Mich hat die AVM Firewall aber sehr gereizt.

Ich habe es ja nun auch schon soweit heraus, dass ich mir nur noch gute kompakte Regelsätze generieren muss.
 
Ich habe die Firewall jetzt nach meinen Wünschen konfiguriert.

Ich habe nun ca. 50-70 Rules in der section Highinput
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,692
Mitglieder
371,315
Neuestes Mitglied
jack-mack
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.