FB 7170: Portweiterleitung spezieller Ports funktioniert nicht

[skies]

Hallo zusammen,

ich habe hier ein kleines Problem:
Ich möchte diverse Ports aus dem Internet auf einen Rechner hinter der FB weiterleiten. Probleme treten jedoch bei den Ports 135, 139 und 445(TCP) auf.
Die Ports sind definitiv offen auf dem Zielsystem, allerdings kann ich über diese 3 besagten Ports nicht zugreifen. Sind diese Ports standardmäßig auf der Fritzbox gesperrt?

Eine Alternative wäre ja noch, dass der Provider diese Ports sperrt(in meinem Fall die Telekom), jedoch habe ich diesbezüglich keine Informationen gefunden.

Hat da jemand eine Idee?

MfG,
skies

 

[Whoopi]

hallo und herzlich willkommen im forum!

Tippt man diese Portnummern mal in ner Suchmaschine ein, findet man leicht heraus, daß diese von dem ein oder anderen Wurm u.ä. genutzt werden. z.B. der Port 139 war das Ziel vom legendären LoveSan-Worm. Daher wäre beides durchaus sinnvoll.
Mir wäre es allerdings neu, daß die Telekom irgendwelche Ports sperrt...

Gruß,
Daniel

 

[NanoBot]

Hi skies,

zumindestens ein Teil der Ports ist auf der Box aus Sicherheitsgründen gesperrt:

/var/flash # grep 139 ar7.cfg

"reject udp any any range 137 139",
"reject tcp any any range 137 139",
"deny udp any any range 137 139",
"deny tcp any any range 137 139",
"reject udp any any range 137 139",
"reject tcp any any range 137 139",

und das ist, wie whoopie schon sagte, auch völlig richtig so, weil es viel zu gefährlich währe, auf diese Ports aus dem Internet zugreifen zu können.

Wenn du aus dem Internet auf dein lokales Lan zugreifen willst, solltest du dich nach Lösungen für ein virtual private network umsehen, daß ich viel sicherer.


C.U. NanoBot

 

[skies]

Hallo Whoopi,

schonmal danke für die Antwort.
Mir ist schon klar, dass es sich hierbei um die "bösen" Ports handelt.
Da ich allerdings einen Honeypot hinter der Fritzbox betreiben möchte, sind gerade diese Ports sehr interessant.
Zunächst habe ich die gewünschte IP als "Exposed Host" eingetragen und einen portscan gestartet. die gewünschten Ports waren offen, der Rest geschlossen. Lediglich die 3 besagten Ports hatten den Status "Stealth". Somit lag für mich nahe, dass entweder der Provider oder die Fritzbox filtert.

Bisher nutze ich eine nicht modifizierte FW-Version.
Kann jemand dieses Verhalten bestätigen oder mir einen Tipp geben wie ich das abschalten kann?

Edit:
Hatte NanoBots Antwort noch nicht gelesen. Gibt es eine Möglichkeit die rejects bzw. denies zu entfernen?

MfG,
skies

 

[Whoopi]

Ja, Du kannst via "nvi" die Datei /var/flash/ar7.cfg bearbeiten und die entsprechenden Zeilen entfernen. Das sollte eigentlich schon reichen...
(vorher natürlich backup anfertigen usw... )
Soweit ich das im Blick habe, ist es von AVM aber nicht so gerne gesehen, wenn man an den Innereien der Box was ändert. (Von wegen Garantieverlust usw.) -- Nur so zur Info. *g*

Gruß,
Whoopi

 

[Verpeiler]

Da ich allerdings einen Honeypot hinter der Fritzbox betreiben möchte, sind gerade diese Ports sehr interessant.

Ist ein Honeybot nicht eine Tool das vorgaukelt ein entsprechender Dienst zusein um dann nur die Anfragen zu protokollieren?

Das wäre dann als als wenn ich in einem gut gesicherten Beton/Stahl Tresor eine Funk-Kamera installieren und die Tür offen lassen muss, damit ich die Funksignale empfangen kann. Also irgendwie hirnrissig.

 

[wichard]

Nein, das wäre dann so, als säße die Polizei in dem Tresor, dessen Tür nur angelehnt ist, um potentielle Kriminelle direkt freundlich empfangen zu können.


Gruß,
Wichard

 

[Whoopi]

gut, mal abgesehen von testzwecken ist es, wenn die ports net gebraucht werden, tatsächlich net sinnvoll, die tresortür nur deswegen net abzuschließen, damit es der polizei im tresor net langweilig wird. *gg*