.titleBar { margin-bottom: 5px!important; }

ar7.cfg firewall ändern für Webif bedienen aus Internet

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von on_the_way_with_fbf, 11 Okt. 2005.

  1. on_the_way_with_fbf

    on_the_way_with_fbf Neuer User

    Registriert seit:
    3 Jan. 2005
    Beiträge:
    80
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo!
    Kurz und gut gefragt.
    Ich möchte auf die webinterface von mein FBF zugreifen über Internet. Meine ferne IP ist fest und mir bekannte daher möchte nur diese Host erlauben die webinterface aus Internet zu sehen.

    Würde mir freuen was zu lessen da grad Zeitdrück habe :)
    Danke im Voraus.
     
  2. martian

    martian Mitglied

    Registriert seit:
    26 Mai 2005
    Beiträge:
    273
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hmm, ich kann dir leider auch nicht sagen, wie du da eine "whitelist" für erlaubte IPs erstellst, aber vielleicht könnte man deinen thread ja insofern erweitern, das auch leute mit dyndns sicher ihre fbox aus dem internet bedienen können!

    Ich hatte mir das so gedacht, das irgendwie der "ich habe mein passwort vergessen" knopf beim loginschirm deaktiviert wird, wie auch immer. Das ist dann zwar doof, wenn man wirklich sein PW vergessen hat, aber wer den Mod dann einspielt sollte wirklich so clever sein, sich sein PW merken zu können :wink:

    Aber vielleicht gibts ja auch noch andere Methoden das sicherer zu machen...
    Wäre für eure Ideen dankbar :)
     
  3. fritzchen

    fritzchen Aktives Mitglied

    Registriert seit:
    29 Dez. 2004
    Beiträge:
    813
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    das ganze wurde hier an anderer Stelle schon herausgearbeitet, ich weiß aber nicht mehr wo...

    Meine Empfehlung: ssh installieren auf der Box, damit geht es dann sicher und einfach ;)
     
  4. prodigy7

    prodigy7 Mitglied

    Registriert seit:
    28 Mai 2005
    Beiträge:
    732
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hallo,

    kann mich meinem Vorredner (fast) anschließen: Ich habe in meinem Netzwerk zuhause einen Rechner (Linux) laufen, auf dem SSH läuft. Einfach ein Portforwarding auf der Box auf diesen Rechner einrichten und dann kannst du das Webif so tunneln dass du Remote dran kommst.
    Falls du einen Windows Rechner hast, lad dir Cygwin (www.cygwin.com) runter - dann kannst du auch eine auf Windows portierte OpenSSH-Version installieren.

    p7
     
  5. fritzchen

    fritzchen Aktives Mitglied

    Registriert seit:
    29 Dez. 2004
    Beiträge:
    813
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    upps, warum einen Rechner laufen lassen, wenn doch nur auf die Box zugegriffen werden soll? Mit Kanonen auf Spatzen etc pp
     
  6. MiataMuc

    MiataMuc Neuer User

    Registriert seit:
    19 Juni 2005
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    München
    Der "Ich habe mein paßwort vergessen" - Knopf ist in der regel nicht auf der weboberfläche zu finden, da dieser wohl nur innerhalb der ersten Viertelstunde (?) nach Einschalten/Anschließen der Box erscheint (sofern es bei dir nicht regelmäßige Stromausfälle gibt *g*). Ich habe die Oberfläche freigegeben, und sehe den Button nie. Anderseits wäre zu bedenken, daß man nicht weß, ob's irgendwelche Tricks/Umgeheungsmöglichkeiten für das PW gibt, weswegen ich die Festlegung auf eine fixe IP auch interessant fände (habe hier im Büro eine).

    Gruß Flo
     
  7. on_the_way_with_fbf

    on_the_way_with_fbf Neuer User

    Registriert seit:
    3 Jan. 2005
    Beiträge:
    80
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Jungs.!
    Ich möchte nur die Firewall regeln anpassen, aber nicht ssh und und installieren/modden müssen :)
     
  8. fritzchen

    fritzchen Aktives Mitglied

    Registriert seit:
    29 Dez. 2004
    Beiträge:
    813
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    dann benutze doch mal die suche, deine Lösung gibt es schon irgendwo
     
  9. on_the_way_with_fbf

    on_the_way_with_fbf Neuer User

    Registriert seit:
    3 Jan. 2005
    Beiträge:
    80
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Genau das ist mein Falls.
    Naja, jetzt habe was im Firewall geändert und jetzt ist der FBF weg !
    Pech gehabt :)
     
  10. martian

    martian Mitglied

    Registriert seit:
    26 Mai 2005
    Beiträge:
    273
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hmm, also bei mir ist der knopf (...klicken sie "hier") leider nicht weg, sondern auch von außen abrufbar! Obs da Sicherheitslücken gibt... na da muss sich ein Angreifer ja wohl schon sehr gut mit der Fritzbox auskennen, um sowas dann ausnutzen zu können. Das Risiko halte ich auch bei Dynamischer IP & Dyndns verschwindend gering... ich will halt nur vermeiden, das irgendjemand, der mit nem portscan aufs webinterface meiner box gelangt (auch wenn ich die box nicht auf port 80 freigegeben habe) einfach meine box reseted, auch wenn er davon nichts hat, hab ich ein bisschen ärger :roll:

    EDIT: Hab grad gesehen, bei meiner Eumex 300IP ist das der Fall, das man nur innerhalb von 15min nach Neustart das PW reseten kann...Grr@Fritzbox!
     
  11. MaZderMind

    MaZderMind Neuer User

    Registriert seit:
    30 Juli 2005
    Beiträge:
    169
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi
    martian der Knopf bleibt da, ist jedoch nur eine Minute (?) nach reboot benutzbar, danach passiert damit glatt garnix.
    Was das erlauben eines IP-Bereiches / einer IP aus dem Webinterface angeht, habe ich einen Proff-Of-Concept Webcm-Mod vorgestellt. Schau dir mal dieses Archiv an, speziell die Install Snippets. Die diskussion dazu findest du auch in obigem Thread.

    Gruß, Peter
     
  12. Switch42

    Switch42 Neuer User

    Registriert seit:
    25 März 2004
    Beiträge:
    146
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bochum
    Hallo zusammen,

    Um die Box aus dem Internet erreichbar zu machen, gibt es einen kleinen Trick ohne die Box zu schrotten.

    Ganz einfach:

    Portfreigabe mit folgenden Einträgen einrichten:

    von Port: 80 oder ein anderer (dies ist der Port wo man in das Webinterface kommen wird von extern)
    nach Port: 80
    IP: 192.168.179.1

    Einen sinnvollen Namen und fertig. Die Box sollte spätestnes jetzt passwortgeschützt werden, alles andere ist leichtsinnig.
     
  13. shadow000

    shadow000 Mitglied

    Registriert seit:
    25 Apr. 2005
    Beiträge:
    653
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Port 80 kann man leider nicht auf Port 80 freigeben.
    Übrigens: wenn die Box im Netz steht ist es wahrscheinlich keine schlechte Idee wenn man sie nicht schon von Weitem als Fritzbox erkennt.
    Im Anhang mal ein Bild meiner leicht modifizierten login.html ;-)
     

    Anhänge:

  14. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Hallo,

    wirklich mit Sicherheit hat nur der Vorschlag von fritzchen zu tun, nämlich das ganze über SSH zu tunneln (oder VPN). Alles andere halte ich für überflüssig (wann muss man denn schon dauernd auf das Konfiguartionsmenü, wenn man nicht zu Hause ist?) und fahrlässig. Ist es cool sein Webinterface ins Internet zu stellen oder gibt es da einen Nutzen?

    Denn wer weiß schon, wie gut/schlampig webcm geschrieben ist. Auf einigen Linksys Routern sind erst vor wenigen Monaten grobe Sicherheitslücken genau im Webinterface bekannt geworden. Denkt daran, dass durch Voip massiv Kosten entstehen können, falls es mal jemand auf eure Box schaffen sollte.

    Nur von einer festen IP Adresse mag vielleicht für den ein oder anderen als sicher genug erscheinen. Ich persönlich würde IP Adressen niemals zur Authentifizierung verwenden, weil man die prinzipiell auch spoofen kann. Der bad guy könnte z.B. ein Arbeitskollege sein, der sieht, dass du dich remote einloggen kannst und dann von einem anderen Rechner im Netz deine IP spoofed und die Session auf der Fritzbox übernimmt. Wunderbar, da braucht er nicht mal das Passwort mehr. Ist jetzt ein sehr spezielles Beispiel, aber wenn man von Sicherheit redet, dann muß man den bad guy überall sehen. Ich will damit sagen, dass meiner Meinung nach IP und Fritzbox Webpasswort lange nicht die erforderliche Sicherheit bringen, um das ganze Webinterface preiszugeben.

    @shadow000:
    Hast du bedacht, dass die Fritzbox Frames verwendet und man an dem Parent Frame sofort erkennen kann, dass es eine Fritzbox ist?

    Mfg,
    danisahne
     
  15. martian

    martian Mitglied

    Registriert seit:
    26 Mai 2005
    Beiträge:
    273
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also zu diesem Thread: ... Ich würde schon gerne mein WebIf online stellen, wenn da dieser Knopf weg wäre, da es prima ist z.B. von woanders die aktuelle Rufumleitung zu ändern, die Anrufliste zu sehen, die Internetzugangsdaten zu ändern...(das hat alles logische Gründe: Hab z.b. 1 Flat, woanders aber nur 5GB Limit; schnell die Daten getauscht kann ich überall unlimited saugen 8) etc.).
    Das immer ein Restrisiko da ist ist mir auch klar, aber ich habe gewisses Vertrauen in meine Mitmenschen und bin in der Hinsicht nicht so "Paranoid" :p , wie vielleicht einige andere hier. Der Zuwachs an Komfort überwiegt da für mich!
     
  16. MaZderMind

    MaZderMind Neuer User

    Registriert seit:
    30 Juli 2005
    Beiträge:
    169
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi
    Du weißt dass dieser Zurücksetzen-Knopf föllig wirkungslod ist? Probiers aus - es passiert absolut garnichts.

    Gruß, Peter

    -[ edit ]-
     
  17. shadow000

    shadow000 Mitglied

    Registriert seit:
    25 Apr. 2005
    Beiträge:
    653
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Natürlich hab ich auch den Header und den noframes Text "angepasst" ;-)
    Das einzige woran die Fritzbox noch von aussen erkennbar ist, ist der webcm Link im Quellcode.

    Jemand der sich auf Fritzbox-Hacking spezialisiert wird das bei entsprechenden Sicherheitslücken nicht abhalten, immerhin sieht man aber nicht auf den ersten Blick was da im Netz steht...
     
  18. on_the_way_with_fbf

    on_the_way_with_fbf Neuer User

    Registriert seit:
    3 Jan. 2005
    Beiträge:
    80
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    :)
     
  19. martian

    martian Mitglied

    Registriert seit:
    26 Mai 2005
    Beiträge:
    273
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ähh, bitte nochmal auf deutsch :lol:
    was fürn "knöpfle" ist das problem? ich finde das versteckte interface ganz lustig... wenn du mir erklärst wie ich es in meine FW einbaue, oder mir ein fake-fw-image bastelst werd ich das nutzen :p
     
  20. shadow000

    shadow000 Mitglied

    Registriert seit:
    25 Apr. 2005
    Beiträge:
    653
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hier mal das versteckte Interface zum Nachladen.
    Die Wahlbox ist auch enthalten, wenn kein Bedarf besteht foncalls.html einfach weglassen...

    debug.cfg
    Code:
    wget -O/var/tmp/html/login.html http://www.webserver.de/login.html
    wget -O/var/tmp/html/index.html http://www.webserver.de/index.html
    wget -O/var/tmp/html/foncalls.html http://www.webserver.de/foncalls.html
    
    chmod 444 /var/tmp/html/login.html
    chmod 444 /var/tmp/html/index.html
    chmod 444 /var/tmp/html/foncalls.html
    #brauch ich das eigentlich oder war ich nur so faul das von den .js dateien zu übernehmen die ich hier mal drin hatte?!
    
    mount -o bind /var/tmp/html/login.html /usr/www/all/html/de/login.html
    mount -o bind /var/tmp/html/index.html /usr/www/all/html/index.html
    mount -o bind /var/tmp/html/foncalls.html /usr/www/all/html/de/fon/foncalls.html
    
     

    Anhänge: