.titleBar { margin-bottom: 5px!important; }

DMZ / Firewall abschalten / Portrange forwarden

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von Nörgler, 22 Mai 2005.

  1. Nörgler

    Nörgler Neuer User

    Registriert seit:
    22 Mai 2005
    Beiträge:
    18
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Leute,

    ja ich weißt, es nervt euch, die ihr es geschafft habt alle Pakete auf einen zweiten, anständigen Router, hinter der Fritz!Box weiter zu leiten, forwarden etc.
    Ich weiß auch, dass das Thema mit steter Regelmäßigkeit aufgegriffen und erörtert wird, aber irgendwie habe ich den Eindruck, und ich habe mich hier stundenlang durch die Suche gequält und bin dann trotzdem irgendwie vor die Wand gelaufen, dass die Lösungen extrem rudimentär und vor allem perifer angegeben werden.

    Habe selber die Fritz!Box Fon WLAN, altes Modell, und wollte heute nach längerem Studium der einzelnen Threads, welche über mein Vorhaben handelten, die Firewall abschalten, bzw. alles auf den zweiten Router hinter der FBF forwarden.
    Alles schön und gut, dieses "Telnet-Image" geladen und die Fehlermeldung übergangen, aber dann fing es damit an, dass im Dateisystem des Images der Firmware meines Gerätes unter dem Punkt forwardrules etwas andere Zeilen standen und ich mir dann doch leicht unsicher war, wo genau ich jetzt was einfügen sollte. Irgendwie waren alle Beispiele, die ich vorher gefunden hatte anders. Zwar nur ein ganz klein wenig aber eben doch dadurch etwas unverständlich, zumindest für mich.
    Ich hau hier mal rein, was da bei meiner Box steht:

    forwardrules = "tcp 0.0.0.0:0 0.0.0.0:0 1 out",
    "udp 0.0.0.0:0 0.0.0.0:0 1 out",
    "udp 0.0.0.0:5060 0.0.0.0:5060",
    "udp 0.0.0.0:7078 0.0.0.0:7078",
    "udp 0.0.0.0:7079 0.0.0.0:7079",
    "udp 0.0.0.0:7080 0.0.0.0:7080",
    "udp 0.0.0.0:7081 0.0.0.0:7081",
    "# tcp 0.0.0.0:21 192.168.178.20:21 0 # F
    "# tcp 0.0.0.0:80 192.168.178.20:80 0 # H
    "# tcp 0.0.0.0:4662 192.168.178.20:4662 0
    "# udp 0.0.0.0:4672 192.168.178.20:4672 0
    "# tcp 0.0.0.0:3389 192.168.178.20:3389 0

    Ja, und dann hab ich mal folgende Zeile ("tcp 0.0.0.0:0 192.168.0.254:0 0 # DMZ", ) unter der vorhandenen Zeile ("udp 0.0.0.0:7081 0.0.0.0:7081",) eingefügt. Danach den Editor korrekt verlassen, vorher natürlich abgespeichert und dann war die Box auch schon nicht mehr erreichbar.

    Eigenartig, darüber hatte ich nichts gelesen. Und dass die Box danach automatisch wieder auf Werkseinstellungen ging und ich erst mal ganz blöd aus der Wäsche geschaut habe, ja da hatte mich auch niemand drauf vorbereitet.
    Als ich das endlich gerafft hatte, dass ich über DHCP, was von mir ja eigentlich deaktiviert worden war, doch noch auf die Box zugreifen konnte, verging dann schon die eine oder andere Minute. Gut, da erkannte ich natürlich, dass die Box wieder ihre ursprüngliche werksseitig voreingestellte IP hatte. Nach all dem war ich natürlich erst mal wieder froh, dass ich wieder Zugriff hatte und hab die Box sich noch mal komplett auf die Werkseinstellungen resetten lassen.

    Vor meinem nächsten Test werde ich allerdings etwas vorsichtiger zur Tat schreiten.

    Jetzt wäre es echt nett von euch, wenn ihr mir und gewiss so manchem anderen Newbie mal ganz genau erklären könntet, was aber auch wirklich Schritt für Schritt gemacht werden muss. Wenn die Hälfte fehlt, steht man schon mal ganz schön schnell im Abseits und damit im Regen. Klar ihr habt es schon mal gemacht und kennt euch aus, aber denkt mal an uns, die wir es zum ersten Mal machen und großen Respekt vor einem Garantie-, oder schlimmer noch, Reparaturfall haben.

    Ok, viel zu lesen, und dafür, dass du es bis hier getan hast, bedanke ich mich schon mal recht herzlich. Und wenn jetzt noch mal der eine oder andere umfangreiche und vor allem ausführlich Tipp gegeben werden könnte, dann sind bestimmt sehr viele Leute einschließlich mir extrem dankbar.
     
  2. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Hi.
    Die Box setzt sich automatisch auf Werkseinstellungen zurück, wenn sie beim Einlesen der ar7.cfg auf einen Fehler stößt.
    Wobei ich an deiner Zeile ("tcp 0.0.0.0:0 192.168.0.254:0 0 # DMZ",)keinen Fehler entdecken kann.
    Hast du vielleicht das "," vergessen?
    Hab ich das richtig verstanden, dass die Box sofort nach dem :wq im nvi nicht mehr erreichbar war und neu gebootet hat.
    Eigentlich werden die neuen Einstellungen erst nach einem ar7cfgchanged eingelesen. Das ist zumindest bei meine alten WLAN so?

    MfG Oliver
     
  3. robot_rap

    robot_rap Aktives Mitglied

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    2,094
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Ort:
    Karlsruhe
    Hast du auch darauf geachtet, dass die letze Zeile der forwardrules mit einem ; aufhören muss?

    wenn deine DMZ Zeile die letze ist muss das dann natürlich "tcp 0.0.0.0:0 192.168.0.254:0 0 DMZ"; heissen.

    Weiss hier jemand, was die Zeile "tcp 0.0.0.0:0 0.0.0.0:0 1 out" bedeuten soll? Was bedeutet diese 1 vor "out". Das wären ja dann eigentlich zwei Regeln für "tcp 0.0.0.0:0". Vielleicht macht ja auch das Probleme (UDP Zeile genau so)

    Robert
     
  4. Nörgler

    Nörgler Neuer User

    Registriert seit:
    22 Mai 2005
    Beiträge:
    18
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Robert,

    danke für deine schnelle Antwort. Wenn ich ganz ehrlich sein soll, nein darauf habe ich echt nicht geachtet, allerdings war ich davon ausgegangen, dass dieses Semikolon nur innerhalb der forwardregeln stehen muss, wenn man nicht mit einer geschweiften Klammer diese wieder schließt.

    Ich versuche das Ganze heute Abend noch einmal und werde auf jeden Fall ausführlich berichten.

    Aber vielleicht hängt es ja mit der aktuellen Firmware ( oder der genauen Box zusammen (FRITZ!Box Fon WLAN (UI), Firmware-Version 08.03.37).

    Mir waren eben diese obersten Zeilen auch verdammt suspekt. Und dass ich echt erschrocken war, als die Box auf einmal nicht mehr ansprechbar war, könnt ihr euch denken. Das sie nachher auf Werkseinstellung gestanden hat, hat mich ja dann auch veranlasst, dass ich sie im Menü, als ich wieder an sie rankam, auch noch einmal resetten ließ.

    Ich hatte übrigens AVM über mein Problem des Abschaltens der Firewall berichtet und folgende Antwort erhalten; die ich selber, auch wenn ich nicht so die Leuchte bin, als ziemlich am Thema vorbei bezeichnen möchte:

    "Sehr geehrter Nörgler,

    vielen Dank für Ihre Anfrage.

    Die Konfiguration eines Exposed Host ist aktuell nicht möglich, da bei der
    Firewall der FRITZ!Box auf eine maximale Sicherheit für den Anwender
    geachtet wurde."

    (Anmerkung von mir: Exposed Host deshalb, weil es keine echte DMZ mit lediglich zwei Netzwerkkarten in einem Gerät geben kann; das bieten wohl nur die sehr teuren Router und die haben wohl drei Netzwerkkarten.)

    "Die in der FRITZ!Box bei Betrieb als DSL-Router aktiven und durch das NAT (Network-Adress-Translation) bedingten Firewallfunktionen können ebenfalls nicht deaktiviert werden.

    Hintergrund dieses Verhaltens ist das Problem, die Anfragen der mit der
    FRITZ!Box verbundenen Systeme bei nur einer externen IP-Adresse zu
    bedienen. Stellt nämlich eines der mit der FRITZ!Box verbundenen Systeme eine Internetadressanfrage, so muss die FRITZ!Box die interne IP-Adresse dieses Systems gegen die externe, Ihnen dynamisch von Ihrem
    Internetanbieter zugewiesene IP-Adresse austauschen und die Informationen üder diesen Austausch zwischenspeichern, damit die angeforderte Antwort dann wieder an das richtige System im lokalen Netzwerk übertragen werden kann.

    Dieses Verhalten wird als NAT definiert und von allen Hardware- und
    Software-Routern genutzt, da es (zumindest bis zur Ablösung von IP v4.0
    durch IP v6.0) keine Lösung zur eindeutigen Adressierung mehrerer interner IP-Adressen gegenüber einer externen IP-Adresse gibt.

    Ein Verzicht auf das NAT - und damit den zentralen Baustein der
    Firewallfunktionalität der FRITZ!Box - könnte nur durch den Einsatz der
    FRITZ!Box als reines DSL-Modem erreicht werden.

    Mit freundlichen Grüßen

    Frank XY (AVM Support)"

    Ist ja alles schön und gut, aber das hat absolut nichts mit NAT zu tun, wenn die Firewall nur einen einzigen Host hinter sich weiß und alle Pakete, bis auf jene der internen Telefonanlage, auf diesen weiterleiten soll. Das wäre sogar für die Box noch einfacher, wenn sie für ihr NAT nur diesen einen Host an ihrem LAN-Anschluss zu sorgen hätte (abgesehen, wie eschrieben, von der Telefonanlage).

    Und wenn hier jemand die beiden obersten Zeilen noch einmal ganz genau erklären könnte, das wäre echt nett.

    Fürs erste, danke, dass ihr wieder soviel gelesen habt, aber ich dachte es wäre wichtig es so umfassend wie möglich zu beschreiben, als auch nur das kleinste Detail weg zu lassen.
     
  5. Nörgler

    Nörgler Neuer User

    Registriert seit:
    22 Mai 2005
    Beiträge:
    18
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Leute,

    tut mir leid, bin noch zu nichts gekommen hinsichtlich der Box. Werde das wohl heute abend oder über das verlängerte Wochenende machen.

    Was mir aber grade noch ein- und aufgefallen ist:

    Ist das korrekt, wenn nach dem Aktivieren von Telnet an der Box die LED für DSL ausgeht? War bei meiner nämlich so. Und da hatte ich noch nicht mal auf sie zugegriffen. Vielleicht hat AVM ja irgendwie einen Schutz eingebaut?

    Vielleicht hilft diese Angabe ja weiter. Bis heute Abend, oder morgen.

    Gruß Nörgler.
     
  6. BomBastiK

    BomBastiK Mitglied

    Registriert seit:
    2 Okt. 2004
    Beiträge:
    353
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
  7. Nörgler

    Nörgler Neuer User

    Registriert seit:
    22 Mai 2005
    Beiträge:
    18
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Oliver,

    ich habe meine Vorgehensweise aus einem Konglomerat von Postings zusammen gestellt, diese Beschreibung war auch dabei.

    Werde es heute oder morgen noch einmal nach genau dieser Beschreibung erneut versuchen.

    Hast du denn auch dieselbe Box, wie ich, dieselbe Firmware und hattest du dort auch diese etwas eigenartigen Zeilen stehen?

    Danke für deine Hilfe,
    Nörgler
     
  8. Nörgler

    Nörgler Neuer User

    Registriert seit:
    22 Mai 2005
    Beiträge:
    18
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    So, ich habe Olivers Rat befolgt und mich detailgenau an die Anweisungen von Andre im aufgeführten Link gehalten:

    es hat hingehauen.

    IP-Telephonie und Forwarding auf den zweiten Router funktionieren nach ersten Tests korrekt.

    Eigenartig, ist, dass ich nach geltenden Linux-Regeln vorher genau dasselbe eingetragen hatte. Der Unterschied lag darin, dass ich die Originalzeilen auskommentiert hatte und damit erhalten wollte und die anderen Zeilen zusätzlich eingetragen habe; das Semikolon am Ende der Regeln war gesetzt, hatte daran nichts geändert. Damit habe ich allerdings die Größe des Images verändert und mir wohl ins Knie geschossen => Neustart mit Zurücksetzen auf die Werkseinstellungen und nix mit positivem Ergebnis.

    Tut mir leid, dass ich euch mit meinem einfältigen Vorgehen genervt habe, aber vielleicht hilft der Thread ja anderen mit gleicher Vorgehensweise und damit daraus resultierenden ähnlichen Problemen.

    Danke noch mal, Oliver.