AVM-Firewall Problem

[rumpelstielzche]

Hallo Leute,

ich habe heute meine FB 7170 "gefreezt" und bin total begeistert. Großes Kompliment an die Entwickler!

Da mir die Möglichkeit der iptables gefehlt hat, und ich sie nun mit Webinterface habe war ich erstmal happy das auch alles direkt mit dem installieren geklappt hat.

Jetzt zu meinem Problem. Mit Rsync lass ich immer ein Backup zu mir nach Hause laufen über SSH.

Irgendwie bekomme ich aber die Ports nicht freigeschaltet. Der Online-Portscanner sagt mir immer das mein Port (2104) geschlossen sei.

Der Rsync-Server hat eine feste IP (beispiel: 217.11.11.11) die ich für meinen Rechner der hinter der fritz.box (192.178.1.22) steht öffnen möchte. Was mache ich da falsch? Gibt es da irgendwie ein gutes Manual?

Anbei habe ich mal einen Screenshot angehängt!

Vielen Dank für eure Hilfe

 

[MaxMuster]

Moin,

das ist vermutlich der "falsche Ansatz" ;-):
Die AVM-Firewall ist nur dafür da, verschiedene (aus AVM-Sicht) "böse" Dinge zu sperren, der normale Fall ist, dass alle Ports erlaubt sind. Geblockt werden diese dann, wenn keine "NAT-Einträge" dafür vorhanden sind. Und diese werden entweder dynamisch erzeugt, wenn du von drinnen nach draußen zugreifst (z.B. vom PC eine Webseite aufrufst), oder aber statisch, wenn ein "interner Dienst" betrieben werden soll wie bei dir über die "Portweiterleitung", die den eingehenden Port (2104) auf den PC mit der IP 192.168.178.22 weiterleitet. Und ich vermute, das ist das, was dir fehlt...


Jörg

 

[cando]

zunächst mal brauchst du entweder eine statische ip adresse für deine box oder einen dyndns eintrag, damit du deine box von aussen erreichen kannst (oder du musst jeden tag eine neue ip adresse bei deinem RSync verbindungsaufbau mitgeben. Dann musst du ein portforwarding auf deine kiste im LAN eintragen (geht beides im normalen fritz interface ohne freetz zu bemühen).

dann solltest du ssh auf dein server hinter der box von aussen hinbekommen.

welches protokoll verwendet der RSync, geht das über ssh / tcp oder macht der so eine Art ftp über dynamische udp ports? Das würde nicht so ohne weiteres gehen, oder du musst die udp portrange auh noch komplett mappen.

per AVM-Firewall in freetz kannst du dann zusätzlich regeln setzen, damit nur dein host mit der festen ip durchkommt. Dafür eine lowinput Regel in die AVM Firewall für das TCP Protokoll / Port von
217.11.11.11 nach 192.178.1.22 und in die Gegenrichtung highoutput eine regel mit connection inbound-related setzen, was den Rückwärtsweg für erfolgreiche Verbindungen von aussen dynamisch öffnet. Wenn du keine eigenen Regeln / default Einstellungen gemacht hast, kannst du dir das schenken, da outbound eh alles offen ist (bis auf NetBIOS und Broadcast für UPnP).

Die Verbindung machst Du dann vom RSync Host zur Fritzbox auf das freigegebene (externe) Port (was für den RSync transparent) auf den internen Host / internes Port weitergeleitet wird, die Antwort kommt dann auch von der öffentlichen Fritzbox IP-Adresse.

viele grüße

cando

P.S in Deinem Screenshot ist die gesetzte implizite Standardregel eh PERMIT, d.h. Du kannst dir die Regel sowieso sparen (ausser Du hast irgendwo am Ende, was ich nicht sehen kann, noch eine any/any DENY Regel eingefügt).