AVM-Firewall Zugriff auf IP beschränken

[candyman666]

Hi..

Ich habe ein kleines Problem mit der Firewalleinstellung....

Wenn ich das hier im Forwarding eintrage

tcp 0.0.0.0:2222 192.168.0.2:22 0 # SSH-NAS

funktioniert der SSH Zugriff ohne Probleme.

Wenn ich es in

tcp EXTERNE.IPADRESSE:2222 192.168.0.2:22 0 # SSH-NAS

ändere geht es nicht mehr.

Weiß jemand warum bzw wie ich das realisieren kann???
Hintergrund ist das ich einen FTP-Server auf dem NAS laufen habe und der nur von einer bestimmten IP erreichbar sein soll..
Früher hab ich das mit iptables auf einem richtigen Debian-System erfolgreich laufen gehabt.
Will halt wegen der Sicherheit nicht den FTP-Server von allen IP's erlauben.

gruß
candyman

 

[Silent-Tears]

Ist die Frage, ob die avm-firewall dies überhaupt beherrscht?

 

[olistudent]

Die Firewall schon (siehe hier), aber ob die Forwarding Abteilung das kann und ob die Syntax stimmt!? Mit der internen IP?

MfG Oliver

 

[candyman666]

ob die Syntax stimmt!? Mit der internen IP?

naja, mit der 0.0.0.0 als Source-IP geht es ja....

 

[wichard]

Sowas ähnliches hatte ich mal (nur mit einem anderen Port und einer viel älteren Firmwareversion): http://www.ip-phone-forum.de/showthread.php?t=84279

Sollte eigentlich - entsprechend angepasst - noch immer funktionieren.


Gruß,
Wichard

 

[candyman666]

Versuch ich morgen bzw am we...

Hab nur ssh Zugriff vom I-Net aus... Will nicht in der ar7.conf rumschrauben wenn ich keinen echten Zugriff auf den Router hab...

danke erstmal
Gruß
candyman

 

[webman123]

Hi,

ich würde gerne von extern auch gerne auf meine Box zugreifen können auf die http (Port 81) Schnittstelle.

Dyndns ist vorhanden und würde ich in der Box eintragen.

Ich möchte den Zugriff auf das WebIF auf Port 81 aber gerne beschränken auf eine externe IP?
D. h. es soll nur diese eine IP berechtigt sein per HTTP auf Port 81 der FB zuzugreifen.

Ist dies so möglich?

Was müsste dazu eingetragen werden?

- Eine Firewall Regel für nur diese eine externe IP auf Port 81?
- Ein Portweiterleitung auf Port 81 der Fritzbox?

Müsste für interne IP-Adressen dann auch noch eine Regel eingetragen werden damit auch diese weiterhin auf das WebIF zugreifen können oder sind diese ohnehin nicht betroffen von den Firewall Regeln?

cu

 

[sf3978]

Siehe Link von wichard im Beitrag #5 und dort Beitrag #2.

 

[candyman666]

@wichard

Hat gleich auf Anhieb geklappt.
Vielen dank und bis zum nächsten mal

gruß
candyman


ps
@webman123
Das funktioniert aber nicht mit einem Dyndns Account. Du kannst da nur eine richtige IP Adresse eingeben.
nur zur info....

 

[webman123]

ps
@webman123
Das funktioniert aber nicht mit einem Dyndns Account. Du kannst da nur eine richtige IP Adresse eingeben.
nur zur info....

Ja Danke für die Info. Das habe ich mir schon gedacht. Ich möchte eine feste public IP berechtigen (also kein Dyndns Account) für den Zugriff auf den Port 81.
Ich werde mir die Sachen in den geposteten Links durchlesen und bei Fragen wieder auf euch zurück kommen.

cu

 

[webman123]

@wichard und candyman666:

Kann ich diesen Eintrag auch über das WebIF der Freetz Box vornehmen?

Wenn nein wie komme ich in die ar7.cfg um diese bearbeiten zu können?


Code:

lowinput {
policy = "permit";
accesslist =
[...]
"permit tcp host 134.130.xxx.yyy any eq 5031",
"reject tcp any any eq 5031",
[...]


cu

 

[sf3978]

... wie komme ich in die ar7.cfg um diese bearbeiten zu können?

Siehe hier im Abschnitt "Portweiterleitung", wie man mit dem vi über die Konsole, die ar7.cfg bearbeiten kann.
Wie immer, auf eigene Gefahr.

 

[candyman666]

Kannste auch mit mc machen...
Da geht nur kein copy paste
Wenn er Image is.

gruß
candyman

Ps
Im Webinterface hab ich es nicht hin bekommen. Hab eigentlich alles möglich ausprobiert. Die Regeln die ich jetzt in der ar7.cfg anlegt hab, sieht man auch nicht im WebIf.