.titleBar { margin-bottom: 5px!important; }

FB 7170: Portweiterleitung spezieller Ports funktioniert nicht

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von skies, 16 Nov. 2006.

  1. skies

    skies Neuer User

    Registriert seit:
    27 Juli 2006
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich habe hier ein kleines Problem:
    Ich möchte diverse Ports aus dem Internet auf einen Rechner hinter der FB weiterleiten. Probleme treten jedoch bei den Ports 135, 139 und 445(TCP) auf.
    Die Ports sind definitiv offen auf dem Zielsystem, allerdings kann ich über diese 3 besagten Ports nicht zugreifen. Sind diese Ports standardmäßig auf der Fritzbox gesperrt?

    Eine Alternative wäre ja noch, dass der Provider diese Ports sperrt(in meinem Fall die Telekom), jedoch habe ich diesbezüglich keine Informationen gefunden.

    Hat da jemand eine Idee?

    MfG,
    skies
     
  2. Whoopi

    Whoopi Mitglied

    Registriert seit:
    10 Juni 2006
    Beiträge:
    282
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatiker
    hallo und herzlich willkommen im forum!

    Tippt man diese Portnummern mal in ner Suchmaschine ein, findet man leicht heraus, daß diese von dem ein oder anderen Wurm u.ä. genutzt werden. z.B. der Port 139 war das Ziel vom legendären LoveSan-Worm. Daher wäre beides durchaus sinnvoll.
    Mir wäre es allerdings neu, daß die Telekom irgendwelche Ports sperrt...

    Gruß,
    Daniel
     
  3. NanoBot

    NanoBot Mitglied

    Registriert seit:
    27 Juni 2005
    Beiträge:
    278
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Hi skies,

    zumindestens ein Teil der Ports ist auf der Box aus Sicherheitsgründen gesperrt:

    /var/flash # grep 139 ar7.cfg

    "reject udp any any range 137 139",
    "reject tcp any any range 137 139",
    "deny udp any any range 137 139",
    "deny tcp any any range 137 139",
    "reject udp any any range 137 139",
    "reject tcp any any range 137 139",

    und das ist, wie whoopie schon sagte, auch völlig richtig so, weil es viel zu gefährlich währe, auf diese Ports aus dem Internet zugreifen zu können.

    Wenn du aus dem Internet auf dein lokales Lan zugreifen willst, solltest du dich nach Lösungen für ein virtual private network umsehen, daß ich viel sicherer.


    C.U. NanoBot
     
  4. skies

    skies Neuer User

    Registriert seit:
    27 Juli 2006
    Beiträge:
    2
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #4 skies, 16 Nov. 2006
    Zuletzt bearbeitet: 16 Nov. 2006
    Hallo Whoopi,

    schonmal danke für die Antwort.
    Mir ist schon klar, dass es sich hierbei um die "bösen" Ports handelt.
    Da ich allerdings einen Honeypot hinter der Fritzbox betreiben möchte, sind gerade diese Ports sehr interessant.
    Zunächst habe ich die gewünschte IP als "Exposed Host" eingetragen und einen portscan gestartet. die gewünschten Ports waren offen, der Rest geschlossen. Lediglich die 3 besagten Ports hatten den Status "Stealth". Somit lag für mich nahe, dass entweder der Provider oder die Fritzbox filtert.

    Bisher nutze ich eine nicht modifizierte FW-Version.
    Kann jemand dieses Verhalten bestätigen oder mir einen Tipp geben wie ich das abschalten kann?

    Edit:
    Hatte NanoBots Antwort noch nicht gelesen. Gibt es eine Möglichkeit die rejects bzw. denies zu entfernen?

    MfG,
    skies
     
  5. Whoopi

    Whoopi Mitglied

    Registriert seit:
    10 Juni 2006
    Beiträge:
    282
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatiker
    Ja, Du kannst via "nvi" die Datei /var/flash/ar7.cfg bearbeiten und die entsprechenden Zeilen entfernen. Das sollte eigentlich schon reichen...
    (vorher natürlich backup anfertigen usw... ;) )
    Soweit ich das im Blick habe, ist es von AVM aber nicht so gerne gesehen, wenn man an den Innereien der Box was ändert. (Von wegen Garantieverlust usw.) -- Nur so zur Info. *g*

    Gruß,
    Whoopi
     
  6. Verpeiler

    Verpeiler Mitglied

    Registriert seit:
    20 Okt. 2004
    Beiträge:
    359
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ist ein Honeybot nicht eine Tool das vorgaukelt ein entsprechender Dienst zusein um dann nur die Anfragen zu protokollieren?

    Das wäre dann als als wenn ich in einem gut gesicherten Beton/Stahl Tresor eine Funk-Kamera installieren und die Tür offen lassen muss, damit ich die Funksignale empfangen kann. Also irgendwie hirnrissig.
     
  7. wichard

    wichard IPPF-Promi

    Registriert seit:
    16 Juni 2005
    Beiträge:
    6,954
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Aachen
    Nein, das wäre dann so, als säße die Polizei in dem Tresor, dessen Tür nur angelehnt ist, um potentielle Kriminelle direkt freundlich empfangen zu können. ;)


    Gruß,
    Wichard
     
  8. Whoopi

    Whoopi Mitglied

    Registriert seit:
    10 Juni 2006
    Beiträge:
    282
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatiker
    gut, mal abgesehen von testzwecken ist es, wenn die ports net gebraucht werden, tatsächlich net sinnvoll, die tresortür nur deswegen net abzuschließen, damit es der polizei im tresor net langweilig wird. *gg*