Firewall mit FirewallBuilder und ds-mod

jowag12

Neuer User
Mitglied seit
8 Jul 2006
Beiträge
15
Punkte für Reaktionen
0
Punkte
0
Vorwort

Ich möchte in diesem Beitrag kurz die Benutzung des FirewallBuilders (NetCitadel) im Zusammenspiel mit der Fritzbox (mit ds-mod) beschreiben.

Der FirewallBuilder ist u.a. eine Oberfläche zur komfortablen Konfiguration von IP-Tables (das Command-Line-Tool der Linux Netfilter) siehe auch Wikipedia . Mit dem Firewall Bulder lassen sich sehr einfach Regeln für den Zugang ins und vom Internet erstellen und schließlich auf die Fritzbox laden.

Auf der Fritzbox wird der ds-mod benötigt, da die Box von Haus aus keine iptables unterstützt. Im ds-mod sind diese automatisch in den Kernel eingebunden. Das Kompilieren des ds-mod für die eigene Box ist in anderen Beiträgen hinreichend beschrieben.

Allerdings gibt es auch noch einige nicht eingebundene Teile im ds-mod, so dass verschiedene Filter des FirewallBuilders nicht funktionieren (z.B. ICMP). Da aber Firewall-Aktionen meist mit verschiedenen Regeln erreicht werden können, lassen sich hier alternative Wege finden.

Im Moment ist das Implementieren der Regen noch ungefährlich, da das entstandene Firewall-Script nach einem Neustart der Box nicht automatisch ausgeführt wird, alle Regeln damit zwar in einem File auf der Box sind, aber nicht wieder von alleine aktiv werden. Damit die Firewall nicht bei Stromausfall unsicher wird, muss das noch gemacht werden. (Hilfe erwünscht, sie Fragen ganz unten.)

Vielleicht trägt dieser Beitrag auch dazu bei, die noch bestehenden Fragen auszuräumen.

Versionen

  • FirewallBuilder 2.0.10 Windows
  • Fritzbox 7170 mit 7170.29.04.06
  • ds-mod 0.2.8
  • 1&1 Internet Zugang mit IP Telefonie
(die Versionen sind natürlich nicht vorgeschrieben, sondern nur Referenz für meine Installation)

Vorbereitung

FirewallBuilder

Bei der Installation des FirewallBuilders auf dem PC gab es keine Besonderheiten. Da der FirewallBuilder eine SSH Session zum Kopieren und Aktiveren des Firewall-Scripts auf der Fritzbox braucht, habe ich noch plink.exe und pscp.exe für meinen WindowsPC runtergeladen (einfach danach googeln). Putty geht wohl auch.

DS-Mod

Bei der Kompilierung des ds-mod für die Fritzbox ist es notwendig, das iproute2 Modul (freundlicherweise bereitgestellt von olistudent :) und ganz unten angehängt), auspacken (im cygwin: gzip -d iproute.tar.gz , tar xvf iproute2.tar ) und die entpackte Datei "ip" in das Verzeichnis des zu kompilierenden ds-mod /root/usr/bin zu kopieren. Damit ist es später auf der Box auch dort zu finden. Anderenfalls gibt es bei Ausführen der Firewall-Scripts später eine Fehlermeldung „iproute not found“.
Überprüfen kann man das später indem man auf der Fritzbox „/usr/bin/ip link show“ eingibt. Ohne die Datei im /usr/bin Verzeichnis kommt eine Meldung zurück wie der Befehl richtig lauten muss. Ist die Datei da, listet die Box die vorhandenen Interfaces.

SSH (Dropbear) muss beiden Paketen ausgewählt sein, da der FirewallBuilder SSH zum download der Config nimmt und über SSH auch das Script ausführt.

Es folgt die Installation des ds-mod auf der Fritzbox (auch in anderen Beiträgen schon behandelt)

Jetzt kann mal „/usr/bin/ip link show“ und SSH getestet werden (user is „root“ und Passwort wurde in der ds-mod Konfiguration gesetzt.)

Das sollte so aussehen:
(ACHTUNG! Beim allerersten Mal fragt das Programm ob man sicher ist, mit diesem Host verbunden zu werden und ob der Geräte Hash permanent auf dem Rechner abgespeichert werden soll. Diese Frage mit y beantworten.):

Code:
F:\Down0604\Hardware\Fritzbox>plink 192.168.1.253
login as: root
[email protected]'s password:
   _                    _
 _| |___ __ _____ ___ _| |
| . |_ -|__|     | . | . |
|___|___|  |_|_|_|___|___|

  Have a lot more fun ...


BusyBox v1.1.2 (2006.04.15-10:46+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

ermittle die aktuelle TTY
tty is "/dev/pts/0"
Console Ausgaben auf dieses Terminal umgelenkt

WICHTIG! Hier schon mal die Interfaces abfragen, die brauchen wir später

Code:
/var/mod/root # ifconfig       

dsl       Link encap:Point-Point Protocol
          inet addr:192.168.179.1  P-t-P:192.168.179.1 Mask:255.255.255.255

eth0      Link encap:Ethernet  HWaddr 00:15:0C:BF:AB:8C
          inet addr:192.168.1.254  Bcast:192.168.1.255  Mask:255.255.255.0

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0

wlan      Link encap:Ethernet  HWaddr 00:15:0C:BF:AB:8C
          inet addr:192.168.2.254  Bcast:192.168.2.255  Mask:255.255.255.0

/var/mod/root # exit

Prima, dann können wir auf dem FirewallBuilder eine neue Firewall generieren.

Firewall einrichten

Firewall anlegen

Beim Start fragt der FirewallBuilder, ob er eine Datei öffnen oder eine neue Projektdatei anlegen soll. Beim ersten Mal machen wir natürlich eine neue Datei.
Im Userbereich legen wir eine neue Firewall an („Objekt“ „Neues Objekt“, „Firewall“). Keine Vorkonfigurierte verwenden, da muss man zu viel drin ändern (theoretisch kann man natürlich Template 2 der Vorkonfigurierten verwenden). Ich fand es besser die Regeln selber zu erstellen.
Wichtig ist, dass als Software ‚iptables’ und als Betriebssystem ‚Linux 2.4/2..6’ angegeben wird, sonst kommen falsche Befehle raus. > Weiter

Auf der Nächsten Seite wählt man ‚Interfaces von Hand konfigurieren’ SNMP geht nicht. > Weiter

Jetzt müssen die Interfaces konfiguriert werden, die Namen und Adressen haben wir weiter oben schon mit „ifconfig“ abgefragt:

Name, Bezeichner, Adresse, Netzmaske, dynamische Adresse

eth0,eth0,192.168.1.254,255.255.255.0, nein
dsl,dsl,-,-,JA
wlan,wlan,192.168.1.254,255.255.255.0,nein
lo,lo,127.0.0.1,255.0.0.0,nein
Je nach Konfiguration weichen die Namen und Adressen ab (eth0 heißt lan oder lan0, eth0:0 und lan0:0 könne ignoriert werden, typisch sind die IP Adressen 192.168.178.1, 192.168.179.1)

> Weiter

Im jetzt erschienenen Firewall Fenster legen wir noch die Version der „iptables“ mit „1.29 oder neuer“ fest und über den Button „Host Betriebssystem Einstellungen“ „Pfad“ legen wir noch für IP fest wo wir beim Kompilieren das IP File hingelegt haben. /usr/bin/ip

„OK“

Unter den „Firewall Einstellungen“ „Kompiler“ sollte man vielleicht den letzten Punkt „Immer Zugriff mit SSH von einer Management Station“ erlauben und die eigene IP Adresse eintragen (nur zu Sicherheit, dass man sich nicht mal mit einem falschen Filter selber aussperrt).

Unter dem Reiter „Installations-Programm“ wird als Verzeichnis „/var/flash“ angegeben und als Benutzername „root“

„OK“

„Änderungen durchführen“

Firewall ist angelegt.


Sonstige Einstellungen

Im FirewallBuilder unter „Bearbeiten“, „Einstellungen“, „SSH“ werden jetzt die beiden Programme, die wir runtergeladen haben, mit Pfad eingegeben, z.B.
  • F:/Down0604/Hardware/Fritzbox/pscp.exe für das Kopierprogramm
  • F:/Down0604/Hardware/Fritzbox/plink.exe für das Remote Cotrol Programm

Firewall Regeln

Die Regeln kann man sehr schön mit „drag and Drop“ anlegen wobei es User- (selbst definierbare) und massig Standardobjekte (bekannte Ports, Dienste, Netzte usw.) gibt. Einige Dienste müssen z.B. selber angelegt werden, um die Telefonie zu erlauben. Wenn später in den Regeln z.B. UDPsrc7078-7085 auftaucht, ist ein Dienst zu definieren (rechte Maustaste auf UDP unter Services im User Bereich), der als Quellportnummern 7078 bis 7085 hat.

Ich habe hier mal die notwendigen Regeln für eine funktionierende Firewall zusammengeschrieben, die auch VoIP mit 1&1 Telefonie berücksichtigt. Damit kann man erst mal Telefonieren, Surfen, kriegt seine Adresse im Netz und kann die Fritzbox managen. Die Sicherheit der Endgeräte dürfte ansonsten erst mal mit der normalen Fritzbox vergleichbar sein, die Box selber ist etwas besser geschützt glaube ich. (Ich habe nichts mit der Fritzsoftware, die auf dem PC installiert wird, probiert eventuell müssen da noch Ports konfiguriert werden)

Darüber hinaus lassen sich tausende von Kombinationen ausdenken, was man durchlassen oder blocken will. Wie gesagt, einige Regeln produzieren Fehler (ICMP, NAT), da bin ich für Hinweise dankbar.

Hier also meine Regeln:
(wenn Fritzbox, eth0, dsl,lo dasteht, so ist aus der Tree-Ansicht der Firewall das Interface einfach in die Spalte gezogen, statt eth0 ist eventuell lan0 zu verwenden)

Unter Policy


Nummer Quelle -> Ziel Dienst Aktion

0. net192.168.1.0/24 -> eth0, ssh,dns,http,TCPdst81, accept
2. dsl -> beliebig, UDPdest5060, accept
3. dsl -> beliebig, UDPsrc7078-7085, accept
4. dsl -> beliebig, DNS, accept
5. dsl -> beliebig, beliebig, deny
6. Beliebig -> dsl, beliebig, deny
7. net192.168.1.0/24-> beliebig, beliebig, allow

0 regelt den Zugriff aus meinem Netz (192.168.1.0/24) auf die Fritzbox, TCP 81 habe ich für das Web-Interface des ds-mod angelegt

2, 3 Für die Telefonie zu 1&1 (mehr brauche ich tatsächlich nicht !!)

4 Die DNS requests, die die Fritzbox selber braucht

5 Den Rest von der Fritzbox abgehend wegschmeißen

6 Alles wegschmeißen, was in die Fritzbox auf das DSL sonst noch kommt. Die Telefoniekommunikation wird über die Filter 2 und 3 auch zur Fritzbox definiert.

7 Schließlich alles, was aus meinem lokalen Netz ins Internet (incl. zurück) will


Unter lo


Nummer Quelle -> Ziel Dienst Richtung Aktion

0 lo -> lo (also 127.0.0.1 ->127.0.0.1), alle dienste, both , allow

0 Sonst funktionieren die Anruflisten und anderen Telefoniesachen im Webinterface der Box nicht.

Unter eth0


Nummer Quelle -> Ziel Dienst Richtung Aktion

0. net192.168.1.0/24 -> eth0, beliebig , inbound, accept

0 regelt den Zugriff aus meinem Netz (192.168.1.0/24) auf die Fritzbox, eigentlich hatte ich das schon oben in den Policies, aber hier kommen noch mal Andere Dienste wie FTP .. dazu.


Wenn ich jetzt was aus dem lokalen Netz ins Internet sperren will definiere ich das direkt auf dem Ethernet Interface.

Z.B. net192.168.1.0/24 -> beliebig, TCP8080, inbound, deny​

Oder restriktiv, lasse nur definierte Sachen ins Internet dann

1 net192.168.1.0/24 -> beliebig, http,https,pop3,pop3s,smtp,ftp,ftpdata,AOL inbound, allow
2 net192.168.1.0/24 -> beliebig, beliebig, inbound, deny

Dann muss ich in 1 alle Dienste definieren, die ins Internet dürfen.

Man kann das ganze auch noch zeitabhängig regeln wenn man will, also für Kinder (wer das über Erziehung nicht hinkriegt (auweia)

Regeln auf die Fritzbox laden

Jetzt kommt das spannende:
Als Erstes die Regeln kompilieren, da sollten eigentlich keine Fehler auftreten. (damit wird auch das aktuelle Regelwerk gespeichert).
Dann die Regeln installieren.

Im folgenden Fenster ist das Passwort für den Nutzer root einzugeben. Des Weiteren sollte die ausführliche Installation gewählt werden.
Das Häkchen Testdurchlauf ist egal, die Box merkt sich das nach einem Reboot sowieso nicht (sie Fragen ganz unten).

Im Installationsfenster werden die Aktionen und Fehler mitgeschrieben (und ich bin sicher, dass es jede Menge Fehler und Meldungen am Anfang geben wird).
Bleibt das Script nach ca. 15 bis 20 Zeilen mit einer Frage stehen (ob die Verbindung zu diesem Gerät sichtig ist und ob der Geräte Hash gespeichert werden soll) und erwartet eine Antwort, muss das Programm für die Secure Remote Console mal separat gestartet und diese Meldung dort bestätigt werden,

Aussehen soll es aber normalerweise so:
Code:
Zusammenfassung:
    * Firewall Name : AVM
    * Benutzer Name: root
    * Verwaltungs-Adresse : 192.168.1.254
    * Plattform iptables
    * Host Betriebssystem : linux24
    * Laden der Konfiguration aus Datei C:/Dokumente und Einstellungen/avm254_3.fwb
Copying C:/Dokumente und Einstellungen/AVM.fw -> 192.168.1.254:/var/tmp 
Ausgeführter Befehl 'F:/Down0604/Hardware/Fritzbox/plink.exe -ssh -pw XXXXXX -v -l root 192.168.1.254 echo '--**--**--';mkdir -p /var/flash/tmp;cat > /var/tmp/flash/AVM.fw && echo Done; ' 
Server version: SSH-2.0-dropbear_0.48
:
:
Initialised HMAC-SHA1 server->client MAC algorithm
Using username "root".
Sent password
Access granted
Opened channel for session
Started a shell/command
--**--**--
eingeloggt
Sent EOF message
Done
Server sent command exit status 0
All channels closed. Disconnecting
Server closed network connection
SSH-Sitzung beednet, Status: 0
Neue Policy wird aktiviert 
Ausgeführter Befehl 'F:/Down0604/Hardware/Fritzbox/plink.exe -ssh -pw XXXXXX -v -l root 192.168.1.254 echo '--**--**--'; sh /var/flash/tmp/AVM.fw && echo 'Policy activated' ' 
Server version: SSH-2.0-dropbear_0.48
:
Using username "root".
Sent password
Access granted
Opened channel for session
Started a shell/command
--**--**--

Ich habe ein bisschen rausgeschnitten, hier kommt der eigentlich wichtige Teil:

Code:
eingeloggt
Activating firewall script generated Fri Aug 11 20:40:17 2006  by 
Rule 0 (eth0)
Rule 1 (eth0)
Rule 2 (eth0)
Rule 3 (eth0)
Rule 4 (eth0)
Rule 5 (eth0)
Rule 6 (eth0)
Rule 0 (lo)
Rule 0 (global)
Rule 2 (global)
Rule 3 (global)
Rule 4 (global)
Rule 5 (global)
Rule 6 (global)
Rule 7 (global)
Policy activated
Server sent command exit status 0
All channels closed. Disconnecting
Server closed network connection
SSH-Sitzung beednet, Status: 0
Fertig

So Jetzt sind die Regeln auf der Box. Die werden auch relativ schnell aktiv.
Kontrolle mit iptables –L.

WENN IHR JETZ NICHT MEHR DRAUFKOMMT HABT IHR WAS IN DEN REGELN FALSCH GEMACHT :-(

Aber ein Reset der Box (notfalls Stecker raus und rein) gibt euch wieder Zugang.

Ende

So das war’s. …… Puh.
Ich hoffe es hilft, ich hatte schon einige Post gesehen, die nach Firewall-Funktionen gefragt haben (z.B. in meiner WG sollen alle Surfen können, aber keiner E-Donkey o.ä.), das kann man damit alles regeln.

Ich gebe keine Garantien für das alles immer so klappt, wie beschrieben, bei mir läuft es aber so.

Fragen

Vielleicht kommen bei einer regen Nutzung auch ein paar Antworten auf meine Fragen.

  1. Es fehlen noch einige Teile der iptables z.B. icmp, nat. Ich habe vergeblich versucht die reinzukomplieren. Vielleicht kann Danisahne die ins Paket kompilieren?, Eventuell auch iproute in die BusyBox?
    Code:
    ls: *_nat_*: No such file or directory
    aus dem Script Kommando
    Code:
    ls *_conntrack_* *_nat_*
    Wenn ich das richtig interpretiere findet das Script nicht 'nat'
    Wahrscheinlich daher auch die folgende Meldung:
    Code:
    iptables v1.3.5: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
    Perhaps iptables or your kernel needs to be upgraded.
    der Befehl ist wohl:
    Code:
    $IPTABLES -t nat -A POSTROUTING -o dsl -s 192.168.1.0/24 -j MASQUERADE
    ICMP Fehler der aus dem Befehl:
    Code:
    iptables -A INPUT -p icmp -m icmp -s 192.168.1.0/24 -m state ...
    resultiert.
    Code:
    iptables v1.3.5: Couldn't load match `icmp':File not found
    Try `iptables -h' or 'iptables --help' for more information.
  2. Wenn man sich in der Telefonie verkonfiguriert stürzt die Fritzbox bei Anrufen ab. Im Telefon hört man dann nur Knistern bis die Box resettet.
  3. Die Regeln sind auch nicht aktiv nach einem Reset, man müsste noch ein Script beim Start der Fritzbox schreiben, was das Firewall-Script aufruft - Unix-Fans bitte vortreten.
  4. Ich kann nicht nachvollziehen, was man unter Advanced Options bei make menuconfig beim ds-mod kompilieren unter net machen kann, wenn ich dort mehr Kommandos der IP Tables aktiviere, funktioniert wesentlich weniger der Firewall Scripts.

Links

http://www.fwbuilder.org/
http://kris.koehntopp.de/artikel/fwb...fwbuilder.html
http://de.wikipedia.org/wiki/Iptables

Der erste Satz ist schlichtweg ein Witz geworden („… KURZ ….. beschreiben.“)

Danke an danisahne für den ds-mod und alle die bei den holprigen Anfängen geholfen haben.

Juergen
 

Anhänge

  • iproute2.tar.gz
    59 KB · Aufrufe: 63
Zuletzt bearbeitet von einem Moderator:
Klasse Anleitung. Thumbs up.
Wäre so was nicht auch fürs Wiki geeignet?

MfG Oliver
 
wieso soll mit dem Teil niemand mehr edonkey nutzen können?
Denn jemand der edonkey nutzen möchte, der ändert einfach den Port im Esel auf einen Port der eben nicht gesperrt ist. Zum Beispiel auf Port 80.
 
Über e-donkey und Konsorten wollte ich in diesem Beitrag eigentlich so überhaupt nicht diskutieren. Der Zweck war eigentlich ein anderer, aber da ich das als Beispiel genommen habe, bin ich ja faktisch selber schuld.

Natürlich kann man mit der Verwendung von Port 80 viele (auch viel bessere Firewalls) umgehen, aber es geht ja vor allem darum, erst mal einen grundsätzlichen Schutz aufzubauen.
Was den e-donkey betrifft, so glaube ich, dass er inbound (also in das geschützte Netzwerk) Verbindungen aufbauen möchte, ohne die der Datenaustausch nicht funktionert. Die kann man definitiv blocken. Ich bin kein Experte, aber das war was mit Port 4662 oder so. Selbst wenn man ihm beibringen kann stattdessen Port 80 zu verwenden, wird ein Verbindungsaufbau aus dem Internet geblockt.

Wenn das Thema zu einer größeren Diskussion führen sollte, bietet sich vielleicht ein neuer Thread an?
 
jowag12 schrieb:
Über e-donkey und Konsorten wollte ich in diesem Beitrag eigentlich so überhaupt nicht diskutieren. Der Zweck war eigentlich ein anderer, aber da ich das als Beispiel genommen habe, bin ich ja faktisch selber schuld.

Natürlich kann man mit der Verwendung von Port 80 viele (auch viel bessere Firewalls) umgehen, aber es geht ja vor allem darum, erst mal einen grundsätzlichen Schutz aufzubauen.
Was den e-donkey betrifft, so glaube ich, dass er inbound (also in das geschützte Netzwerk) Verbindungen aufbauen möchte, ohne die der Datenaustausch nicht funktionert. Die kann man definitiv blocken. Ich bin kein Experte, aber das war was mit Port 4662 oder so. Selbst wenn man ihm beibringen kann stattdessen Port 80 zu verwenden, wird ein Verbindungsaufbau aus dem Internet geblockt.

das ist leider falsch! Ich habs ausprobiert. Man stellt emaule auf die Pors 80 und 21. Und er funktioniert bestens. Hat zwar keine High-ID mehr, läuft aber trotzdem.
Das einzige, das edonkey wirklich aussperrt ist ein filternder Proxy-Server
 
Um das mit e-Donkey zu beenden: Im ds-mod ist das Modul ipp2p. Das ist perfekt um p2p zu blocken...
 
und wie genau stellt man das an, dass man p2p-Verkehr komplett aussperrt?
 
was müsste man denn eingeben um alles an p2p auf allen Protokollen(TCP/UDP) zu sperren?
 
Laut Doku auf dieser Seite:
Code:
iptables -A FORWARD -m ipp2p --ipp2p -j DROP
Man muß es doch eigentlich nur lesen, oder? :-Ö
In diesem Thread geht es aber um FirewallBuilder!
 
also, das heisst ich gebe das in der console ein und das wärs dann?
Und wenn ich das ganze dann wieder deaktivieren möchte(p2p-Filter). Was muss ich dann eingeben?
Wie lange bleibt solch eine "chain" wirksam?
Gibt es auch einen Filter gegen Netzverkehr von Steam(CS & co).
 
meimi039 schrieb:
Laut Doku auf dieser Seite:
Code:
iptables -A FORWARD -m ipp2p --ipp2p -j DROP
Das erkennt nicht alle Pakete. Besser geht es zusammen mit dem CONNMARK Modul, wie es auch auf der Seite beschrieben ist. Aller Anfang mit iptables ist schwer, aber beiss dich da mal durch.

Mfg,
danisahne
 
Woher bekomme ich die bibliothek mit den ganzen standard objekten?
hab die neuste version runtergeladen, aber nix gefunden, kann mir die jemand schicken, hab keine lust alle möglichen dienste von hand anzugeben :(

Danke!
ice
 
jowag12 schrieb:
...

So Jetzt sind die Regeln auf der Box. Die werden auch relativ schnell aktiv.
Kontrolle mit iptables –L.
...

Hat soweit alles funktioniert, bei obigem Befehl "iptables -L" bis der durch ist sind 3min um. Die Zeit kommt mir etwas lang vor. Ansonsten konnte ich, von keinem anderen Rechner aus im Netz feststellen das irgendetwas langsamer ist.

Wies siehts bei anderen aus.

gruss
Gerald
 
Das ist klar. iptables versucht jede Addresse aufzulösen. Mit -n gehts besser...
 
couldn't load match - Fehler warum?

Code:
iptables -A FORWARD -m ipp2p --ipp2p -j DROP

Ich bekomme dabei immer die Fehlermeldung couldn't load match. ipp2p. File not Found.

Muss ich noch irgendwas an der Config des DS-MOD machen, bevor
ich die IPtables module benutzen kann?
Modul scheint im Dateisystem zu sein.

Wer hat plan?
 
Hast du auch libipt_ipp2p.so ausgewählt? Du brauchst immer das Kernel Modul und die iptables Library um Regeln mit dem Programm iptables hinzuzufügen.
 
Hast du auch libipt_ipp2p.so ausgewählt? Du brauchst immer das Kernel Modul und die iptables Library um Regeln mit dem Programm iptables hinzuzufügen.

Das war es genau! Hatte zwar bei den Kernelmodulen alles angewählt, aber bei den Libraries vergessen.

Und das beste - es scheint so leidlich zu klappen.
Das mit dem CONNMARK Modul - habe ich noch nicht geblickt.

Wie kann man die Einstellungen denn nun Permanent machen?

Wo darf ich das als Script mit rein tun?

Ich bin übrigens sehr beeindruckt. Das DS-Mod ist schon eine tolle Sache!
 
Funkioniert das auch mit der FB7170?
Ich bekomme mein VOIP damit einfach nicht zum laufen, habe alles genau nach Anleitung gemacht.
Nun habe ich am Ende der Policy noch diese Regel eingebaut damit ich im syslog sehe ob noch was geblockt wird:
beliebig, -> beliebig, beliebig, deny

Im syslog kann ich aber nichts außer ACCEPTs finden sprich es wird nichts geblockt. (das logging ist ja standartmäßig für alle regeln aktiv)

Wenn ich mit meinem Telefon über Voip rauswähle, dann klingelt die Gegenseite. Ab dem Zeitpunkt sobald abgenommen wird höre ich nur ein rauschen und rattern, kurz darauf stürtzt die FBox ab und startet manchmal neu.

Direkt nach dem neustart funktioniert das VOIP wieder ohne Probleme weil die Regeln ja noch nicht aktivert sind, aber sobald ich diese wieder aktiviere habe ich das selbe Problem.

hat das jemand mit seine 7170 zum laufen bekommen?
Was mache ich noch verkehrt?
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.