Hallo!
Ich würde gerne bei meiner FBF den LAN B Bereich komplett bis auf Port 80 & 443 sperren. Also rein nur für Internet.
Kann mir da jemand die Regeln nennen die in der ar7.cfg einzutragen sind?
In der Suche konnte ich leider nix dazu finden.
Danke!
ja das geht
mach dir mein ein beispiel
wenn LAn B 192.168.2.0 ( Netzadresse )
dann
schreibst du mit dem FBF Editor in die Firewall regeln einfach folgende 3 Zeilen rein und schon gehts nur noch über Port 80 und 443
unter
highoutput {
policy = "permit";
accesslist =
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"
"deny ip 192.168.2.0 255.255.255.0 any"
wobei 192.168.1.1 das gateway zum internet ist
1. Zeile erlaubt das gesamte Netz von 192.168.2.0 bis 192.168.2.255 den zugang über port 80 nach internet gateway
2. Zeile das selbe nur port 443
3. Zeile verbietet den rest also diese zeile auch als 3. Zeile schreiben sonnst geht nix mehr es wird von oben nach unten durchgearbeitet und wenn was zutrifft wird der rest nicht mehr abgefragt
[size=1]
Endgerät:AVM-Fritz!Box 7170,AVM-Fritz!Box 7050, THOMSON,
VoIP:ONO
Anbindung:6000
Super!
Danke für die schnelle Antwort!!
hallo...habe da mal eben ne verständinsfrage zu deiner regel...
du schreibst:
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"
also den mit 443 würde ich verstehen...192.168.2.0 bis 192.168.255 an gateway 1.1 wenn 443....alles kalr...
aber der erste???? hast du dich da vertipt, oder blick ich was nicht?
Router1: FRITZ!Box Fon 7390 84.05.50 rev24230 ANNEX A
-------------
Freetz Mod mit:
Callmonitor, Vsftpd(ssl), cifsmount, Samba (3.2)
Syslogd, Fritzload, AVM-Firewall/Portrule 2.0.4_rc5, inetd
-------------
Mein System
Seit 10.05.2008 kein Festnetz mehr
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 443"
das sollte so heissen
erst das protocoll ( TCP,UDP,IP ..)
dann IP adresse von wo ,dann subnetmaske die berücksichtigt werden soll (z.b 255.255.0.0 dann wird von 192.168.0 bis 192.168.255.255 alles berücksichtigt)
dann host [( subnetzmaske 255.255.255.255) man kan auch schreiben
192.168.1.1 255.255.255.255 eq 80] danach ip adresse wo hin dann subnetmaske die berücksichtigt werden soll ,eq heist gleich,80 portnummer
war wohl ein bischen verwirrt aber ich hoffe mit dieser erklärung geht das einigermasen
[size=1]
Endgerät:AVM-Fritz!Box 7170,AVM-Fritz!Box 7050, THOMSON,
VoIP:ONO
Anbindung:6000
Also für mich heißt das, dass 443 und 80 gesperrt werden, alle anderen nicht.
Wollte er das nicht genau andersrum?
Nö, das heisst:Zitat von fischefr
Leite weiter Port 80
Leite weiter Port 443
Verbiete alles
Wird von oben abgearbeitet und bei Erfolg die Schleife abgebrochen
Also in Basic:
If Port = 80 then reject to IP w.x.y.z else
if Port = 443 then reject to IP w.x.y.z else
deny all
MfG Novize
DSL: 3DSL 16MBit; S/R: 8/9dB; D: 11/7dB; Router: Fritz! 7390-A151 (84.05.22); WDS: Fritz! 7050 (14.04.33)
7390: LAN: 3 PCs; CPU315-2 PN/DP; Auerswald COMpact 3000 ISDN; 1x S675 IP & 2x S67H;
WLAN: 2 Notebooks; Thomson IP 1101; WDS: Sonos Connect & 2x Play:3;
PBX: Auerswald COMpact 3000 ISDN FW 4.0F / 1x S0 extern, 1x S0 intern; 2x SIP intern, 4 Analog-Teilnehmer (Fons & Fax)
SIP intern: 2x zur S675 IP; S0 intern: 1x Euracom P4; 1x Europa 30; Net-CAPI: F!B7390 -> Fritz!Fax & PC-Anywhere 12.5
Bitte keine Anfrage per PN - Support gehört ins Forum!
Also ich habe auch meine Probleme damit. Ich würde die erste Zeile als "Leite allen IP-Verkehr von (der einen und nur der) IP-Adresse 192.168.2.1, Port 80 ins Internet" verstehen, die zweite Zeile würde ich als "Leite allen IP-Verkehr vom Sub-Netz 192.168.2.0, Port 443, ins Internet" lesen.hallo...habe da mal eben ne verständinsfrage zu deiner regel...
du schreibst:
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"
also den mit 443 würde ich verstehen...192.168.2.0 bis 192.168.255 an gateway 1.1 wenn 443....alles kalr...
aber der erste???? hast du dich da vertipt, oder blick ich was nicht?
Es geht um das vierte Oktett, das ist verwirrend weil unterschiedlich in den beiden Zeilen...
Was ist denn richtig? ...1 oder ...0?
schau 2 beiträge weiter oben da hab ich es berichtigt und nochmal erklärt
wenn du es so richtig verstehen willst habe da unterlagen von cisco systems( CCNA) drüber kann ich dir ja zukommen lassen
[size=1]
Endgerät:AVM-Fritz!Box 7170,AVM-Fritz!Box 7050, THOMSON,
VoIP:ONO
Anbindung:6000
Ich habe oben nachgeschaut, und gesehen, daß du dich korrigiert hast. Du schreibst dann:
Gehe ich richtig davon aus, daß du damit nur den Traffic vom Host mit der IP 192.168.2.1 ins Internet umleitest, ein Host mit der IP 192.168.2.212 hingegen nicht? Ich würde vom Verständnis her folgende Schreibweise präferieren:"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 443"
"reject ip 192.168.2.0 255.255.255.0 host 192.168.1.1 eq 80"
"reject ip 192.168.2.0 255.255.255.0 host 192.168.1.1 eq 443"
Damit würde dann doch das ganze Subnetz ins Internet weitergeleitet, also auch der Host mit der IP 192.168.2.212... Oder steh ich immer noch auf dem Schlauch?
Danke im voraus,
Grüße,
dello
das subnetz wird mit der 255.255.255.0 bestimmt und die deckt jetzt von 1 bis 254 ab. (255 ist broadcast)
ich denke das es egal ist ob .0 oder .1 am schluss der ip adresse
ich habe nur cisco router configuriert die sind ein bischen anderst
[size=1]
Endgerät:AVM-Fritz!Box 7170,AVM-Fritz!Box 7050, THOMSON,
VoIP:ONO
Anbindung:6000
Hi,
bin zufällig über diesen Thread gestolpert.
Ich denke auch, dass ein "REJECT" das entsprechende Paket verweigert, und NICHT weiterleitet!
Der Unterschied zu "DENY" ist bloß, dass ein "DENY" das Paket kommentarlos verwirft und ein "REJECT" eine ICMP unreachable Nachricht zurückschickt. (oder andersrum?
Die Regel
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
würde also meiner Meinung nach nur den Zugriff von Netzwerk 192.168.2.0/24 auf Port 80 des hosts 192.168.1.1 verweigern. Der Zugriff auf den Port 80 von anderen Rechnern über den Router 192.168.1.1 würde aber dennoch funktionieren.
Meiner Meinung nach sollte die Regel etwa so aussehen:
"permit ip 192.168.2.0 255.255.255.0 any eq 80"
also erlaube den Zugriff von Netzwerk 192.168.2.0/24 auf Zielport 80 beliebiger Adressen.
Über welches Gatway das Paktet weitergeleitet werden soll muss man hier nicht angeben, dafür gibts ja die Routing Einträge in den Routern.
Am Ende muss man jetzt noch alles andere verweigern, dazu also am besten die Standartrichtline (policy = "permit") auf "deny" setzen.
(hab übrigens auch mal 2 Semester Cisco CCNA gemacht)
gibt es denn kein Tool mit dem man sich die benötigten Zeilen erstellen lassen kann?
Das sieht gut aus... Ich werde mal folgendes probieren:Hi,
bin zufällig über diesen Thread gestolpert.
Ich denke auch, dass ein "REJECT" das entsprechende Paket verweigert, und NICHT weiterleitet!
Der Unterschied zu "DENY" ist bloß, dass ein "DENY" das Paket kommentarlos verwirft und ein "REJECT" eine ICMP unreachable Nachricht zurückschickt. (oder andersrum?
Die Regel
"reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
würde also meiner Meinung nach nur den Zugriff von Netzwerk 192.168.2.0/24 auf Port 80 des hosts 192.168.1.1 verweigern. Der Zugriff auf den Port 80 von anderen Rechnern über den Router 192.168.1.1 würde aber dennoch funktionieren.
Meiner Meinung nach sollte die Regel etwa so aussehen:
"permit ip 192.168.2.0 255.255.255.0 any eq 80"
also erlaube den Zugriff von Netzwerk 192.168.2.0/24 auf Zielport 80 beliebiger Adressen.
Über welches Gatway das Paktet weitergeleitet werden soll muss man hier nicht angeben, dafür gibts ja die Routing Einträge in den Routern.
Am Ende muss man jetzt noch alles andere verweigern, dazu also am besten die Standartrichtline (policy = "permit") auf "deny" setzen.
(hab übrigens auch mal 2 Semester Cisco CCNA gemacht)
"permit ip 192.168.2.0 255.255.255.0 any eq 80"
"permit ip 192.168.2.0 255.255.255.0 any eq 443"
"deny ip 192.168.2.0 255.255.255.0 any"
Danke, und Gruß
dello
Kurze Frage:
An welche Stelle der ar7cfg müssen die Regeln eingetragen werden, so dass diese Ihre Arbeit wirksam verrichten?
hat denn keiner ne Idee?
Hier:
highoutput {
policy = "permit";
accesslist =
Vor dem ersten Mal forwardrules, im Abschnitt DSL-Ifaces...
MfG Oliver
Router: Fritz!Box Fon WLAN 7570, 7390, 7320, 7270, 3170
Anbindung: T-Online DSL 16.000 RAM
Visit ##fritzbox on Freenode for help
Spenden für Freetz
Vielen Dank Oli!
Ist es auch möglich die Ports eines bestimmten/gezielten Rechners im Netzwerk zu sperren?
Ja, würde mich auch interessieren.
Gruß Testmaster
Versuch doch mal die Subnetzmaske 255.255.255.255 anstatt 255.255.255.0 und dann mit der IP anstatt der Netzadresse. Wenn alle Stricke reissen und es nicht mit Boardmitteln geht (oder du den die Ports auch von z.B. LAN A nach LAN B sperren willst), dann kannst du immer noch iptables modden und es damit machen.
Beispiel:Aber versuch es mal mit der anderen Subnetzmaske. TCP/IP Kenntnisse vorhanden?Code:"permit ip 192.168.2.26 255.255.255.255 any eq 80" "permit ip 192.168.2.26 255.255.255.255 any eq 443" "deny ip 192.168.2.26 255.255.255.255 any"
Mfg,
danisahne
Router: SMC 7008 BR hinter Fritz!Box Fon WLAN 7050 (UI) FW: 14.04.15ds-0.2.8
Provider: 1und1 DSL 6000 mit (leider nur) 3130/406 kbps (Down/Up)
Berechtigungen
Zitieren