AVM-Firewall package für Freetz

[Silent-Tears]

FAQ lesen zu der Meldung "Image too big" hilft auch. Da findet sich auch der Baum im Wald wieder. Oder so ähnlich.

Für die Zukunft: Fehlermeldung posten, .config anhängen, und evtl. einigermassen genau erzählen, was du getan has,t um den Fehler zu erzeugen.

 

[moonsorrox]

hallo ich habe nun mal einen neuen Anlauf genommen und habe wieder diese Fehlermeldung:
STEP 3: PACK
packing var.tar
creating filesystem image
merging kernel image
ERROR: kernel image is 177408 bytes too big
make: *** [firmware-nocompile] Fehler 1

folgendes hierzu ich hatte ja schon ein Image erstellt und habe als Package nur WebDAv dazu genommen.. daran kann es doch nicht liegen.
Ich hatte dann versucht ein weiteres Image zu erstellen wo ich alles raus genommen habe und auch hier der Fehler, nun weiß ich nichts mehr kann doch nicht zu groß sein..


//Edit: ich habe jetzt ein Image erstellt und habe dazu iptables heraus genommen (wollte es aber eigentlich nutzen) und er hat mir das Image erstellt..!!

 

[Silent-Tears]

Guck mal ins Wiki, bzw. die FAQ. "image too big" ist da ausreichend erklärt.

 

[pixide]

sehe ich das richtig, dass die avm firewall nicht stateful arbeitet,
ich also immer eine rückwärtsregel brauche ?

regeln
Incoming (lowinput)
Outgoing (highoutput)

-> beziehen die sich das nur auf die kommunikation dsl (internet) <-> lan
oder auch auf die kommunikation zwischen
der box selbst (z.b. voip) <-> dsl (internet)

 

[sf3978]

ich also immer eine rückwärtsregel brauche ?

Nein, brauchst Du nicht.

-> beziehen die sich das nur auf die kommunikation dsl (internet) <-> lan
oder auch auf die kommunikation zwischen
der box selbst (z.b. voip) <-> dsl (internet)

Auf Beides, Internet - LAN und Box - Internet/LAN.

 

[MaxMuster]

ich also immer eine rückwärtsregel brauche ?

Ich würde sagen: Jein. Wenn du die Default-Policy auf "deny" änderst, dann vermute ich Ja, sonst wohl nicht.
Für den "statefull" Teil gibt es die "...related" Regeln.

Jörg

 

[pixide]

aha,

das ist ja interessant.
ich wollte eigentlich erreichen, dass tatsächlich

a) eingehend
und
b) ausgehend

je alles denied wird, was nicht exklusiv erlaubt wird.

also z.b. raus nur
http, https, ftp active, dns, ntp,
sip, stun, rtp

rein z.b. nur
sip, rtp

die related regeln muss ich mir mal genau anschauen; heisst das, das der verkehr dabei als antwortverkehr erlaubt wird, der in die andere richtung exklusiv per regel erlaubt wurde ?

edit:
hier scheint was dazu zu stehen .)
http://www.ip-phone-forum.de/showpost.php?p=1224757&postcount=11

 

[cando]

Die "related" Regeln bewirken genau das. Wenn die fehlen ist "stateful" aus, das heist, Einbahnstrassen - Verkehr und du übernimmst selbst die Erstellung der Regeln für die Antwortpakete. Wenn eine "related" Regel im Rückwärtspfad existiert, übernimmt die Firewall für die Antwortpakete bei Bedarf die Öffnung der passenden Ports für die erlaubte Konversation.

Ist eine prima Sache.

Übrigens, es funktioniert nur, wenn keine Protokoll (TCP, UDP, ICMP) oder IP Einschränkungen (für Quelle / Ziel) in der Rückwärts-Regel existieren:

permit ip any any connection outgoing related

Die Regel schaltet nur die Automatik ein, sie dient nicht zur Einschränkung des Verkehrs (Bug oder Feature weiss nur AVM)

 

[moonsorrox]

ich lese hier mit weil ich gern meine AVM Firewall einstellen möchte aber verstehe rein gar nichts... Hat einer von euch mal ein Art grafische Darstellung oder Link der AVM Firewall damit man mal als Neuling/Laie durchsieht.

Ein Beispiel mit einem Port was wo lang geht wenn ich z.B. den Port 21 freigeben möchte. Bisher habe ich bei Portforwarding den Port freigegeben und gut war, aber was muss bei der FW eingestellt werden oder macht die Firewall jetzt.

 

[cando]

Hier http://www.freetz.org/wiki/packages/iptables ist einiges zum Thema iptables und AVM Firewall beschrieben.

Die AVM Firewall ist im dsld deamon realisiert und sitzt sozusagen zwischen dem Linux Kernel und dem DSL Modem.

netfilter / iptables hingegen ist im Linux Kernel integriert und kontrolliert alle Netzwerk Schnittstellen. Im Wiki zu iptables sind beide beschrieben.

Das AVM Portforwarding (Portfreigabe) ist ebenfalls Bestandteil des dsld und damit auch des AVM Firewall.

Das CGI Interface ist eine Entwicklung von Freetz, da AVM normalerweise dem User keinen direkten Zugriff auf die Konfiguration der Firewall erlaubt.
AVM geht normal davon aus, das das NAT + "alles abgehende stateful erlaubt" für Otto Normal als Sicherheit ausreicht und der Provider per tr069 die Box von aussen verstellen / warten können muss.
Falls jemand partout nicht Webspace beim Provider mieten will oder p2p Spielchen treibt, soll er mit der Portfreigabe glücklich werden.

Im Forum gibt es eine Menge Beiträge zur Sicherheit.

Viele Grüße

cando

P.S. zu port 21:

Da hast Du Dir eines der schwierigeren Fälle ausgesucht. Das FTP Protokoll (port 21) gibt es in 2 Varianten active / passive und es braucht zusätzlich (dynamische) udp Ports für die Daten.
Hier ein Überblick zum FTP Thema.

Die Standartregel von AVM (Alles Rauswärts erlaubt, alles Reinwärts mit Bezug zu einer abgehenden Verbindung wird genattet und durchgelassen) erlaubt durch die Freigabe / Forewarding von Port 21 auf eine interne Maschine
den Betrieb von lokalen ftp Servern.

Will man die generelle Erlaubnis für abgehende / Ankommende Pakete sperren, braucht man die Stateful Anweisungen:

permit ip any any connection outgoing related

für den Rückkanal abgehender Verbindungen

permit ip any any connection incomming related

für Antwortpakete eigener Freigaben von Diensten in das Internet.

 

[moonsorrox]

vielen Dank - ja die ersten beiden Links habe ich schon gekannt. Die anderen sind ja ganz interessant nur leider habe ich kein iptables mehr in die Box bekommen war zu groß das Image...

Werde mal ein wenig lesen was da so bei den unteren Links steht.

 

[maSpro]

logging dsld

Moin zusammen,

ich schlage vor, dass Jörg das Logging aus dem WebIF rausnimmt, da AVM dies beim dsld der aktuellen FWs offensichtlich nicht mehr unterstützt.

Gruß
Marc

 

[Therion]

Hallo,

wenn ich z.B. 4 Rechner habe und die befinden sich alle im selben Subnetz z.B. 255.255.0.0. Wie kann ich eine Regel definieren, die für alle gilt?

Ich habe mal sowas ausprobiert:
permit tcp 255.255.0.0 any eq 80

funktioniert aber nicht, genauso wenig das:
permit tcp net 255.255.0.0 any eq 80

Kann mir jemand helfen, komme nicht auf den Fehler.

 

[gnieder]

...ich würde es mal anders probieren.

z.B.:

permit     tcp     192.168.0.0 255.255.0.0     any     eq     80
------     ---     -----------------------     ---     --     --
Aktion     Proto   Quell-Adresse/Netz          Ziel           Port

Es reicht nicht, wenn du nur die Netzmaske angibst. Bei der Definition net gehört als erstes die Netzadresse hin.

-Wanninger

 

[Therion]

Hallo, in dieser Form lege ich mich doch wieder auf ein Rechner nur fest, und zwar den mit der Ip 192.168.0.0 oder nicht? wird diese IP besonders behandelt?

Was ich nicht erwähnt habe ist, dass ich die Regeln per avm Firewall cgi eingeben muss, also entweder per Dropdown-Boxen oder in der edit Zeile darunter.

Hm, wie geht das nur??

 

[Silent-Tears]

Eimn paar Netzwerkbasics hättne dir gesagt, dass kein Rechenr die IP .0 haben kann, sondern damit das gesamte Class-C-Netz gemeint ist.

 

[gnieder]

@Therion
Ich würde auch sagen, dass du dir erst mal die elementarsten IP Grundlagen verinnerlichst,
bevor du an IP basierten Firewall Regeln herum schraubst.

Zum Verständnis:

Die Regel die ich als Beispiel angab ist eine Nezt-Regel die alle Hosts von 192.168.0.1 bis
192.168.255.254 beinhaltet. Die Adressen 192.168.0.0 und 192.168.255.255 werden zwar
ebenfalls behandelt, sind aber aus deiner Sicht keine verwendbaren Hostadressen.
192.168.0.0 ist die sog. Netzadresse und die 192.168.255.255 ist die sog. Broadcastadresse.
Und das alles unter der Voraussetzung, dass du die Netzmaske 255.255.0.0 verwendest.

Wenn du nun die IP Adressen deiner Umgebung so lässt, wie AVM das vorgesehen hat,
nämlich mit 192.168.178.xxx, dann würde das für dich in etwa so aussehen:

Netzadresse: 192.168.178.0
mögliche Hosts von .1 bis .254
Broadcast: 192.168.178.255
Netzmaske: 255.255.255.0

Damit beinhaltest du alle IP's von 192.168.178.1 bis 192.168.178.254

Alternativ kann du auch sog. Hostregeln für deine vier IP's angeben.
Dann musst du aber auch wirklich für jeden Host eine eigene Regel anlegen.
Das würde dann in etwa so aussehen:

permit tcp host 192.168.178.10 any eq 80
permit tcp host 192.168.178.20 any eq 80
...usw

Die Angabe "net" brauchst du nicht, da für den paketfilter die Angabe der netmask
bereits alles aussagt.

Und nun google mal ein wenig nach IP Grundlagen!

Gruß

-Wanninger

 

[Therion]

Ah jetzt verstehe ich es, jap da fehlen mir echt noch Basics. Vielen Dank.

Vielleicht eine Frage die schon etwas offtopic ist:

An der Fritzbox ist nur ein Lan Anschluß dran, ich dachte ich nehme jetzt einen Switch. Hat der Switch eine eigene IP oder leitet er still alles weiter?

Ich frage so dumm, weil wenn der eine eigene IP hat, dann könnte ich bei der Firewall vermutlich nicht mehr zwischen den 4 Rechnern unterscheiden oder? Am liebsten wäre mir ein Switch der keine IPs ändert.

Und nochmal entschuldigung für die Anfänger Fragen.

 

[gnieder]

Ein klassischer "0815" Switch hat/braucht keine eigene IP und bedient auch nur den Layer 2.

Somit hast du keinerlei Einschränkung.
Einfach dazwischen damit und gut ist.

-Wanninger

 

[Therion]

Hallo, jap hatte ich mir fast schon gedacht, weilich auch gelesen habe, dass ein Switch ohne Managment "transparent" fürs Netz sein soll. Aber frage lieber vorher nach, bevor ich mir sowas kaufe.

Nochmals vielen Dank