.titleBar { margin-bottom: 5px!important; }

FBF nicht mehr anpingbar machen

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von blackhawk81, 29 Okt. 2005.

  1. blackhawk81

    blackhawk81 Neuer User

    Registriert seit:
    14 Okt. 2005
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    :lol:
    Für die die es brauchen können ;)

    so sperrt man den Ping von aussen aus:

    1.) Telnet / SHH Login
    2.) nvi /var/flash/ar7.cfg
    3.) unter dslifaces unter lowinput diese Linie eintragen:
    "reject icmp any any",

    Beispiel hier:
    Code:
            dslifaces {
                    name = "internet";
                    dsl_encap = dslencap_inherit;
                    ppptarget = "internet";
                    etherencapcfg {
                            use_dhcp = yes;
                            ipaddr = 0.0.0.0;
                            netmask = 0.0.0.0;
                            gateway = 0.0.0.0;
                            dns1 = 0.0.0.0;
                            dns2 = 0.0.0.0;
                    }
                    stay_always_online = yes;
                    redial_delay_after_auth_failure = 1m;
                    redial_limit = 3;
                    redial_after_limit_reached = 1h;
                    username_prefix_after_auth_failure = "D";
                    dsldpconfig {
                            security = dpsec_firewall;
                            lowinput {
                                    policy = "permit";
                                    accesslist =
                                                 "deny ip any 242.0.0.0 255.0.0.0",
                                                 "deny ip any host 255.255.255.255",
                                                 "deny udp any any eq 135",
                                                 "deny tcp any any eq 135",
                                                 "deny udp any any range 137 139",
                                                 "deny tcp any any range 137 139",
                                                 "deny udp any any range 161 162",
                                                 "deny udp any any eq 520",
                                                 "deny udp any any eq 111",
                                                 "deny udp any any eq 22289",
                                                 "deny udp any any eq 1710",
                                                 "deny udp any any eq 1048",
                                                 "deny udp any any eq 158",
                                                 "reject icmp any any",
                                                 "deny udp any any eq 515";
                            }
                            lowoutput {
                                    policy = "permit";
                            }
                            highinput {
                                    policy = "permit";
                            }
    
     
  2. betateilchen

    betateilchen Grandstream-Guru

    Registriert seit:
    30 Juni 2004
    Beiträge:
    12,882
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    am Letzenberg
  3. blackhawk81

    blackhawk81 Neuer User

    Registriert seit:
    14 Okt. 2005
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hoppsala ^^

    mhh ok habs gerade gesehen .. sorrüüüüü

    bin gerade mehr damit beschäftigt die webseiten umzubauen von der box ^^
    mir war zwar so als hatte ich schonmal gesehen aber war mir nimmer sicher.
     
  4. betateilchen

    betateilchen Grandstream-Guru

    Registriert seit:
    30 Juni 2004
    Beiträge:
    12,882
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    am Letzenberg
    Kein Problem - ich wußte das auch nur, weil die Diskussion zu dem Thema erst vor einigen Tagen auch nochmal in einem anderen Thread aufkam :mrgreen:
     
  5. JensemannWF

    JensemannWF Mitglied

    Registriert seit:
    22 Juli 2005
    Beiträge:
    262
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    da das icmp protokoll ja auch wichtige funktionale eigenschaften hat, ist ein pauschales reject wohl nicht die optimale lösung.
    sinnvoller wäre es, lediglich icmp typ8 (echo request) zu blocken, sofern man das so feingranular defineren könnte.
    kennt jemand den weg, diese differenzierung zu machen?
    gruß jens