.titleBar { margin-bottom: 5px!important; }

Emule Ports sperren?

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von daelch, 29 Jan. 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. daelch

    daelch Mitglied

    Registriert seit:
    20 Jan. 2005
    Beiträge:
    296
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Mainz
    Hallo,

    ich möchte die Nutzung von Emule und Kazaa und ähnlicher Software unterbinden. Ich habe die fritz!box fon wlan mit neuester firmware .29.

    Unter Internet ---> Portfreigabe stehen ja schon die Emule Ports. Ich habe keinen Haken gemacht, also Ports nicht freigegeben... Emule kann aber immernoch connecten!
    Die zentrale Fragestellung ist nun: Was muss ich tun, um den Zugriff auf Emule usw. zu verhindern ?

    Welche Ports hat Kazaa? Ich glaube Skype funktioniert nach dem ähnlichen Prinzip wie Kazaa. Was passiert wenn ich die Kazaa Ports sperre... wäre dann Skype auch tot ?

    ratlose Grüße,
    Christoph
     
  2. spunk_

    spunk_ Mitglied

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    620
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    das sind die ports für eingehende verbindungen (betrifft nicht nur mule, sondern jeder art "server" programm) - wenn dides ports - die sind im übrigen frei wählbar - eingehend nicht weitergeleitet werden ist soweit ich weiss emuls trotzdem lauffähig, nur eben mit niedriger id.
    um emule komplett zu sperren ist es am einfachten, das programm komplett vom rechner zu löschen und den nutzern keine rechte zur neu-installation zu geben.
     
  3. daelch

    daelch Mitglied

    Registriert seit:
    20 Jan. 2005
    Beiträge:
    296
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Mainz
    hallo spunk,

    vielen dank für deine antwort. lokales löschen bringt in meinem fall nichts, da ich die emules der w-lan nutzer sperren will auf deren rechner ich keinen direkten einfluss habe. es geht darum, dass ich verschiedene bekannte habe, die sich bei einem besuch auch ganz gern mal mit dem laptop einloggen. bei manchen ist emule und kazaa beim windowsstart schon aktiv und da ich nicht immer nachfragen will, ob die geschichte nun an oder aus ist, möchte ich die nutzung der programme gleich durch den avm-router unterbinden. (habe einen volumentarif)

    muss doch irgendwie gehen... in der firma kann ich ja auch kein emule nutzen :)

    gruß
     
  4. spunk_

    spunk_ Mitglied

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    620
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    wenn du in deiner firma der Admin bist, kannst du auch alle Arten von Tauschbörsen nutzen (ob das sinnvoll in Bezug auf Arbeitsplatzerhalt mag ein Diskussionsthema sein)

    um nur bestimmte Dienste anzubieten geht das über einen Proxy. - für technische details dazu bin ich leider überfragt.
     
  5. nightsinger

    nightsinger Neuer User

    Registriert seit:
    28 Nov. 2004
    Beiträge:
    48
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    wenn du eine Personal Firewall hast, kannst du doch den Zugriff aufs Netz für einzelne Programme in dieser einfach unterbinden..

    Falls du noch keine besitzt, findest du z.B. hier eine kostenlose:
     
  6. daelch

    daelch Mitglied

    Registriert seit:
    20 Jan. 2005
    Beiträge:
    296
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Mainz
    Nightsinger,

    vielen Dank für Deine Antwort! die Lösung bringt in meinem Falle aber nichts, da ich wie schon gesagt, unterbinden möchte, dass Gäste (unbewußt) über meine fritzbox Emule betreiben...

    deshalb sollte die Sperrung seiten der fritzbox liegen, da ich ja nicht jedem Bekannten ne Firewall draufhauen kann... da kann ich ihn auch gleich fragen, ob er Emule oder Kazaa noch an hat :)
     
  7. JSchling

    JSchling Gesperrt

    Registriert seit:
    21 Sep. 2004
    Beiträge:
    1,543
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    also mit einer richtigen Firewall und richten Regeln mag es moeglich sein, aber die Fritzbox hat ja nur NAT-Umsetzung eingebaut, absolut nicht moeglich. Wenn die Ports gespert sind bekommen deine Kollegen keine High-ID und saugen wird etwas langsamer, was es ja eh fast immer so ist, senden tut Emule aber auch bei Low-ID mit vollem Speed.
    Eventuell koennte es mit Fritzweb gehen, ist ja auf der CD, oder wie hier schon steht ueber eine andere Firewall, aber wenn das WLan von der Fritzbox genutzt werden soll und davon gehe ich mal aus, wird das ohne heftigere Konfigurationen auch nicht laufen, weil der Traffic ja erst garnicht ueber deinen PC laeuft
     
  8. Andre

    Andre IPPF-Promi

    Registriert seit:
    27 Dez. 2004
    Beiträge:
    3,307
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Beruf:
    Ingenieur
    Ort:
    Schotten
    Ganz stimmt das nicht, wenn ich mich recht entsinne blokt die FBF zumindest die Netzwerkumgebung nach außen. Für mich sieht das so aus, als sei es in der ar7.cfg geregelt:
    Code:
         
    ...
                    default_dsliface {
                    ppptarget = "internet";
                    stay_always_online = no;
                    redial_delay_after_auth_failure = 1m;
                    redial_limit = 3;
                    username_prefix_after_auth_failure = "";
                     dsldpconfig {
                            security = dpsec_firewall;
                            lowinput {
                                    policy = "permit";
                                    accesslist =
                                                 "deny ip any 242.0.0.0 255.0.0.0",
                                                 "deny ip any host 255.255.255.255",
                                                 "deny udp any any eq 135",
                                                 "deny tcp any any eq 135",
                                                 "deny udp any any range 137 139",
                                                 "deny tcp any any range 137 139",
                                                 "deny udp any any range 161 162",
                                                 "deny udp any any eq 520",
                                                 "deny udp any any eq 111",
                                                 "deny udp any any eq 22289",
                                                 "deny udp any any eq 1710",
                                                 "deny udp any any eq 1048",
                                                 "deny udp any any eq 158",
                                                 "deny udp any any eq 515";
                            }
                            lowoutput {
                                    policy = "permit";
                            }
                            highinput {
                                    policy = "permit";
                            }
                            highoutput {
                                    policy = "permit";
                                    accesslist =
                                                 "reject ip any 242.0.0.0 255.0.0.0",
                                                 "deny ip any host 255.255.255.255",
                                                 "reject ip any 10.0.0.0 255.0.0.0",
                                                 "reject ip any 169.254.0.0 255.255.0.0",
                                                 "reject udp any any eq 135",
                                                 "reject tcp any any eq 135",
                                                 "reject udp any any range 137 139",
                                                 "reject tcp any any range 137 139",
                                                 "reject udp any any range 161 162",
                                                 "reject udp any any eq 520",
                                                 "reject udp any any eq 111",
                                                 "reject udp any any eq 22289",
                                                 "reject udp any any eq 1710",
                                                 "reject udp any any eq 1048",
                                                 "reject udp any any eq 158",
                                                 "reject udp any any eq 515",
                                                 "reject icmp any 149.1.1.0 255.255.255.0",
                                                 "reject tcp any host 202.106.185.127 eq 25";
    
    Ich habe es noch nicht probiert, aber müsste nicht ein

    "deny udp any any range 1 79",
    "deny tcp any any range 81 64367",
    "deny tcp any any range 1 64367",

    alles außer Webzugriffen nach außen untersagen?
    eventuell ginge ja auch

    policy = "deny";
    accesslist = "permit tcp any any eq 80";

    Wie gesagt, habe es nicht probiert, ist nur eine Idee, für die ich selber keinen Bedarf habe.
    (Ich weis auch nicht, ob man nicht noch andere Ports benötigt)
     
  9. daelch

    daelch Mitglied

    Registriert seit:
    20 Jan. 2005
    Beiträge:
    296
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Mainz
    Vielen Dank für die Antworten!

    Was ich nun herauslesen kann: Es gibt von seiten der Fritzbox keine Möglichkeit das komplett zu sperren und wenn, dann müsste es eine Bastellösung via Skript sein. Kenne mich auf diesem Gebiet nicht aus. Vielleicht wird ja irgendwann mal jemand Andres Ansatz fortführen.

    Da ich vom "skripten" keine Ahnung habe, habe ich meinen Teil in Form eines Tickets an AVM beigetragen.

    Dann heißt es nun Abwarten :)

    Gruß,
    Christoph
     
  10. ihno

    ihno Neuer User

    Registriert seit:
    18 Jan. 2005
    Beiträge:
    52
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Andre
    Das sieht sehr vielversprechend aus !
    So etwas habe ich in meinem alten Billion Router schon für eine bestimmte IP mit erfolg eingebaut. ( Da ging das natürlich über Webinterface )
    Also meiner Meinung braucht man abgehend folgende Ports :
    80 http
    443 https
    21 ftp
    25 smtp
    110 pop3
    eventuell noch imap
    Demnach müsste eine Sperre von 26-79 und 111-442 und 444-maximum ausreichen, um vielen Proggies das leben schwer zu machen.
    Obwohl ich glaube, dass KaZaA auch mit nur Port 80 klarkommt ?
    Kann man das per ar7.cfg so regeln ? Zusätzlich das ganze noch auf eine IP beschränkt ???
    Hat das schon einmal jemand ausprobiert ?
    Ich habe zwar schon eine meiner Boxen so per ar7.cfg umprogrammiert, dass ich auf das Webinterface per Internet komme. Aber das traue ich mir dann noch nicht so ganz zu, solche Sperren auszuprobieren ohne dass das jemand vorher getestet hat. ( hauptsächlich ein Zeit/Ausfallproblem )

    Vielleicht hat das ja jemand laufen und kann hier berichten ???
     
Status des Themas:
Es sind keine weiteren Antworten möglich.