AVM Firewall reverse lookup

[tommyr1]

Hi,

ich ärger mich jetzt schon stundenlang mit der avm firewall rum.

Ich versuche einen kleinen ftp für mich und ein paar Kollegen anzulegen.
Da es aber nur 3 Benutzer sind und auf dem ftp wichtige Sachen fürs Studium liegen soll dieser nicht von aussen sichtbar sein.

Unsere Idee war folgende:

Jeder legt sich einen DynDNS Account an und diesen Account machen wir dann der Firewall kenntlich.

Sollte dann in etwa so aussehen

permit tcp host dnydnsAccount1.org host Serverdyndns.org eq 80
permit tcp host dnydnsAccount2.org host Serverdyndns.org eq 80
permit tcp host dnydnsAccount3.org host Serverdyndns.org eq 80
deny tcp any host Serverdyndns.org eq 80

Die Idee find ich gut. Nur leider klappt es nicht. Ich vermute das die avm firewall den DynDNS-Namen nicht auflösen kann. Weiß da jemand mehr dazu. Gibt es irgendwie die möglichkeit ein Reverse Lookup abzusetzen?

Gruß

 

[hermann72pb]

So was kann sogar iptables nicht nativ und du erwartest es von der AVM-Firewall. Das ist mutig.

Ich betreibe so eine ähnliche Konfiguration seit Jahren mit iptables, allerdings über einen Trick. Denn wenn du so eine Regel in iptables einträgst, dann geht es zwar, der Name wird allerdings so aufgelöst, wie es zu dem Moment der Eintragung galt. Sprich, in Wirklichkeit wird da die IP-Adresse eingetragen und nicht der Name. Mir ist nicht bekannt, dass da bei jedem Zugriff dynamisch reverse-lookup-Anfragen erfolgen. Das wäre zu langsam und kontraproduktiv.
Der Trick besteht darin, dass du die betroffenen Zeilen unter einer bestimmten Zeilennummer in iptables einträgst (z.B. Zeilen Nr. 5, 6 und 7). Und ja, iptables heißt nicht umsonst so, weil es wie eine Tabelle funktioniert.
Dann schreibst du dir ein shell-Skript, mit dem du Regeln nummer 5,6 und 7 zunächst löschst und dann wieder anlegst (lies bitte iptables-Bedienung, es ist möglich Regeln zeilenweise zu entfernen und sie wieder unter der Nummer reinschreiben). Dieses Skript trägst du in crond mit einer Terminierung von z.B. 3 Minuten ein.
Bei einem richtigen Linux-Router (basierend auf einem 486-PC) hatte ich dadurch keine Performance-Einbusse gesehen. Bei der Fritz!Box sollte man schauen, ob es nicht alle 3 Minuten zu einem gewaltigen Anstieg der Prozessorleistung kommt.
Derjenige, der von extern kommt hat dann im schlimmsten Fall 3-5 Minuten zu warten, bis er ran darf.

Solche Experimente mit AVM-Firewall zu treiben würde ich nicht empfehlen. Denn die AVM-Firewall ist leider fast immer gezwungen wenigstens dsld neu zu starten.

MfG

 

[f4lkon]

Hallo Tommy,

es kommt natürlich immer ganz darauf an WIE wichtig die Daten sind aber was würde gegen Ftp über einen SSH Tunnel sprechen? Natürlich nur wenn du eh schon SSH von außen zugänglich gemacht hast.

 

[sf3978]

[...]
Gibt es irgendwie die möglichkeit ein Reverse Lookup abzusetzen?
[...]

Was Du vor hast, funktioniert mit vsftpd (mit ssl und tcp_wrappers) und tcp_wrappers. Bei mit so realisiert. Mehr dazu, findest Du hier im Forum.

 

[tommyr1]

vielen dank für die Antworten,

werde mal beides ausprobieren. IP-Tables und vsftpd.

Gruß Tommy

 

[RalfFriedl]

Gibt es irgendwie die möglichkeit ein Reverse Lookup abzusetzen?

Selbst wenn man in der Firewall-Konfiguration einen Reverse Lookup machen könnte (was nicht sinnvoll ist bei jedem eingehenden Paket), wäre dieser Lookup nicht so "reverse", er würde also nicht irgendwelche DynDNS-Namen liefern.