Firewall | manuell rules erstellen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
inquisitor

inquisitor

Aktives Mitglied
Mitglied seit
7 Aug 2004
Beiträge
1,494
Punkte für Reaktionen
6
Punkte
38
Hallo Welt!

Seit wenigen Minuten habe ich hinter meiner Fritz!Box einen Fon Hotspot (Linksys WRT54GL) laufen und möchte nun mein LAN hinter der Fritz!Box gegen Zugriffe der Foneros (die Benutzer auf meinem Hotspot) absichern.
Leider bietet die Firmware des Fon Routers (modifizierte DD-WRT) keine Möglichkeit eigene Rules zu erstellen.
Daher würde ich gerne in der Fritz!Box rules erstellen, sodaß alle Zugriffe von der IP des Fon Hotspots (10.99.1.201) auf meine Fritz!Box IPs (10.99.1.2-200) geblockt werden. Zusätzlich würde ich gerne den Port 80 der Fritz!Box für die 10.99.1.201 sperren.
Ich nehme an, daß ich das hinbekomme, indem ich in der ar7.cfg unter "dpconfig" und/oder "dsldpconfig" enstprechende Einträge in folgender Liste anlege:

Code: 
highoutput {
                                policy = "permit";
                                accesslist =
                                             "reject ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "reject ip any 10.0.0.0 255.0.0.0",
                                             "reject ip any 169.254.0.0 255.255.0.0",
                                             "reject udp any any eq 135",
                                             "reject tcp any any eq 135",
                                             "reject udp any any range 137 139",
                                             "reject tcp any any range 137 139",
                                             "reject udp any any range 161 162",
                                             "reject udp any any eq 520",
                                             "reject udp any any eq 111",
                                             "reject udp any any eq 22289",
                                             "reject udp any any eq 1710",
                                             "reject udp any any eq 1048",
                                             "reject udp any any eq 158",
                                             "reject udp any any eq 515",
                                             "reject icmp any 149.1.1.0 255.255.255.0",
                                             "reject tcp any host 202.106.185.127 eq 25";
                        }

Allerdings bin ich mir bezüglich des Syntax unsicher.
Daher meine Frage an Euch, wie ich folgende Rules korrekt anlege:

reject alles von 10.99.1.201 zu 10.99.1.2-10.99.1.200

und

reject tcp von 10.99.1.201 zu 10.99.1.1:80

Merci für Eure Hilfe vorab!
 
[OT]Hast Du den WRT54GL regulär gekauft und die "FON-Firmware" installiert oder hast Du den Router für 25¤ bzw. $ plus Steuern und Versand bei denen gekauft?[/OT]
 
Ich habe den Fon Router am 10. Februar für ¤ 49,xx inkl. Versand (die Jungs verschicken die Router per UPS "Express Saver", was für Privatpersonen von Madrid nach Deutschland ¤ 76 kosten würde, also keine Abzocke wenn auch es günstiger ginge) und Märchensteuer direkt bei Fon bestellt und er kam heute an, wobei ich unter Zuhilfenahme von Babelfish auf spanisch bestellen mußte.
Allerdings ist da die Kindergarten Firmware drauf und ich mußte erstmal die "advanced" Version draufflashen.
Trotzdem sparst Du Dir gegenüber dem hiesigen Ladenpreis nach Versandkosten mind. ¤ 15.
 
Weißt Du wie sich das Teil mit anderer Linux-Firmware verträgt? Ist der evtl. so weit abgeriegelt, dass er nur FON-eigene Firmwares nimmt?

Ich mache mir da um die Zukunft Sorgen. Wenn das ganze System floppt und ich dann keine andere Firmware flashen kann, habe ich wieder einen Haufen (teuren) Elektroschrott im Schrank liegen.
 
Also ich habe es zwar noch nicht ausprobiert, aber ich denke daß es da keinen OEM-lock gibt. Die aktuelle Firmware ist eine schlampig modifizierte DD-WRT Version - in der Advanced Version ist nicht mal die GUI entsprechend eingefärbt.
Ob Du in 1-2 Jahren, wenn man mit Gewißheit das Scheitern Fons feststellen könnte, noch Verwendung für einen 802.11g Router hast, halte ich jedenfalls für fraglich. Als early adopter muß man eben was riskieren - ich habe auf meinem Gadget-Friedhof ggf. noch Platz neben dem DAT-Recorder, Iridium-Handy und dem ISDN-Bildtelefon. ;-)
 
inquisitor schrieb:
Ob Du in 1-2 Jahren, wenn man mit Gewißheit das Scheitern Fons feststellen könnte, noch Verwendung für einen 802.11g Router hast, halte ich jedenfalls für fraglich.
Zum Vergrößern anklicken....
Das hat mich überzeugt, habe das Teil jetzt bestellt. :)
 
jebu81 schrieb:
Das hat mich überzeugt, habe das Teil jetzt bestellt. :)
Zum Vergrößern anklicken....
Sehr ordentlich! Du bist somit auch in den elitären Kreis der IT-Pioniere aufgestiegen. ;-)
Da Du ja wahrscheinlich dieselbe Konfiguration wie meine haben wirst, sind wir nun schon zu zweit, die ihr FBF-LAN vom Fon-LAN separieren wollen.

Mittlerweile habe ich in einem DD-WRT Forum ein Tool namens Firewall Builder gefunden, mit dem man für den FON Router eine Firewall in Form einer iptable basteln kann. Allerdings durchschaue ich das Progamm noch nicht ganz und es schmiert mir immer ab, wenn ich versuche die 192.168.10.er Adressen zu ändern, da ich ein 10.x.y.er Netz verwende. Abgesehen davon habe ich Bedenken am Fon Router zu pfuschen, denn die Firewall und das Routing dürfte etwas komplexer sein (z.B. benötigt man an den LAN ports des Fon routers keinen Login) - vielleicht sollte man da die Finger von lassen, auch schon deshalb weil sicherlich einige neue Firmwares kommen werden und man da dann häufiger basteln muß als mit der guten alten FBF.

Außerdem habe ich was gelesen, daß man bei zwei NAT Routern hintereinander am zweiten ein statisches Routing aktivieren solle. Ich habe zwar eine grobe Vorstellung von NAT, aber was genau ein statisches Routing am zweiten Router bewirken soll ist mir unklar. Falls jemand dazu etwas ausführen könnte, wäre ich sehr dankbar.

Letztlich scheint mir derzeit das größte Problem zu sein, daß man den Port 80 auf der FBF sperren müßte, damit besonders lustige Foneros auf der FBF Loginseite kein Werksreset mehr durchführen können. Aber mit einem Block des Port 80 auf der FBF-IP dürfte doch der gesamte Webtraffic abgeblockt werden!?

Da müssen wir uns noch ein wenig Gedanken machen, wie das zu lösen ist ohne die FBF hinter den Fon Router zu hängen und dann folglich wieder ein externes DSL Modem verwenden zu müssen.
 
inquisitor schrieb:
Da Du ja wahrscheinlich dieselbe Konfiguration wie meine haben wirst, sind wir nun schon zu zweit, die ihr FBF-LAN vom Fon-LAN separieren wollen.
Zum Vergrößern anklicken....
Richtig. Hatte evtl. gedacht, den FON-Router per WDS an die Box zu koppeln. Spart mir ein Kabel quer durch die Wohnung.

inquisitor schrieb:
Mittlerweile habe ich in einem DD-WRT Forum ein Tool namens Firewall Builder gefunden, mit dem man für den FON Router eine Firewall in Form einer iptable basteln kann.
Zum Vergrößern anklicken....
Ich wollte da auch von der anderen Seite rangehen, also die FBF-Firewall entsprechend aufbohren. Habe dazu gerade die einzelnen Netze der Box aktiviert ("Alle Computer befinden sich im selben Netzwerk" deaktiviert). Somit hat man schon u.a. LAN A und LAN B mit getrennten Adressbereichen, auch wenn alles noch gegenseitig unreglementiert geroutet wird. Da dachte ich, dass man mit iptables aus dem danisahne-mod zwischenhauen kann und den Verkehr entsprechend regelt.
inquisitor schrieb:
Letztlich scheint mir derzeit das größte Problem zu sein, daß man den Port 80 auf der FBF sperren müßte, damit besonders lustige Foneros auf der FBF Loginseite kein Werksreset mehr durchführen können.
Zum Vergrößern anklicken....
Im ds-mod gibt es z.B. schon die vorgefertigte Möglichkeit das Webinterface nur von LAN A erreichbar zu machen. Natürlich vorausgesetzt man aktiviert auch die iptables und durchschaut deren Konfiguration, was bei mir im Moment noch nicht der Fall ist.
 
So, interessanter Thread, und schildert ziemlich exakt die Probleme, die ich hier: http://www.ip-phone-forum.de/showpost.php?p=628686&postcount=4 beschrieben habe.

Habt ihr inzwischen eine Lösung gefunden? Wir sind hier in der Stadt zu mehreren, die gerne die Kombi FBF + Fon nutzen wollen, aber unsere Netzwerke sollten natürlich sicher bleiben.

Aragos
 
Das Problem hat sich erledigt seit FON mit der Firmware Version 0.6.5 entsprechende Rules in den FON Router integriert hat. Nun kann man das übergeordnete Subnetz nicht mehr erreichen, also weder Router noch die PCs im übergeordneten LAN.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 737 (Mitglieder: 20, Gäste: 717)

Neueste Beiträge

Statistik des Forums

Themen
244,868
Beiträge
2,219,790
Mitglieder
371,586
Neuestes Mitglied
Patterchon
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück