.titleBar { margin-bottom: 5px!important; }

Firewall | manuell rules erstellen

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von inquisitor, 20 Feb. 2006.

  1. inquisitor

    inquisitor Aktives Mitglied

    Registriert seit:
    7 Aug. 2004
    Beiträge:
    1,484
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Hallo Welt!

    Seit wenigen Minuten habe ich hinter meiner Fritz!Box einen Fon Hotspot (Linksys WRT54GL) laufen und möchte nun mein LAN hinter der Fritz!Box gegen Zugriffe der Foneros (die Benutzer auf meinem Hotspot) absichern.
    Leider bietet die Firmware des Fon Routers (modifizierte DD-WRT) keine Möglichkeit eigene Rules zu erstellen.
    Daher würde ich gerne in der Fritz!Box rules erstellen, sodaß alle Zugriffe von der IP des Fon Hotspots (10.99.1.201) auf meine Fritz!Box IPs (10.99.1.2-200) geblockt werden. Zusätzlich würde ich gerne den Port 80 der Fritz!Box für die 10.99.1.201 sperren.
    Ich nehme an, daß ich das hinbekomme, indem ich in der ar7.cfg unter "dpconfig" und/oder "dsldpconfig" enstprechende Einträge in folgender Liste anlege:

    Code:
    highoutput {
                                    policy = "permit";
                                    accesslist =
                                                 "reject ip any 242.0.0.0 255.0.0.0",
                                                 "deny ip any host 255.255.255.255",
                                                 "reject ip any 10.0.0.0 255.0.0.0",
                                                 "reject ip any 169.254.0.0 255.255.0.0",
                                                 "reject udp any any eq 135",
                                                 "reject tcp any any eq 135",
                                                 "reject udp any any range 137 139",
                                                 "reject tcp any any range 137 139",
                                                 "reject udp any any range 161 162",
                                                 "reject udp any any eq 520",
                                                 "reject udp any any eq 111",
                                                 "reject udp any any eq 22289",
                                                 "reject udp any any eq 1710",
                                                 "reject udp any any eq 1048",
                                                 "reject udp any any eq 158",
                                                 "reject udp any any eq 515",
                                                 "reject icmp any 149.1.1.0 255.255.255.0",
                                                 "reject tcp any host 202.106.185.127 eq 25";
                            }
    
    Allerdings bin ich mir bezüglich des Syntax unsicher.
    Daher meine Frage an Euch, wie ich folgende Rules korrekt anlege:

    reject alles von 10.99.1.201 zu 10.99.1.2-10.99.1.200

    und

    reject tcp von 10.99.1.201 zu 10.99.1.1:80

    Merci für Eure Hilfe vorab!
     
  2. jebu81

    jebu81 Neuer User

    Registriert seit:
    5 Jan. 2005
    Beiträge:
    178
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bremen
    [OT]Hast Du den WRT54GL regulär gekauft und die "FON-Firmware" installiert oder hast Du den Router für 25¤ bzw. $ plus Steuern und Versand bei denen gekauft?[/OT]
     
  3. inquisitor

    inquisitor Aktives Mitglied

    Registriert seit:
    7 Aug. 2004
    Beiträge:
    1,484
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Ich habe den Fon Router am 10. Februar für ¤ 49,xx inkl. Versand (die Jungs verschicken die Router per UPS "Express Saver", was für Privatpersonen von Madrid nach Deutschland ¤ 76 kosten würde, also keine Abzocke wenn auch es günstiger ginge) und Märchensteuer direkt bei Fon bestellt und er kam heute an, wobei ich unter Zuhilfenahme von Babelfish auf spanisch bestellen mußte.
    Allerdings ist da die Kindergarten Firmware drauf und ich mußte erstmal die "advanced" Version draufflashen.
    Trotzdem sparst Du Dir gegenüber dem hiesigen Ladenpreis nach Versandkosten mind. ¤ 15.
     
  4. jebu81

    jebu81 Neuer User

    Registriert seit:
    5 Jan. 2005
    Beiträge:
    178
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bremen
    Weißt Du wie sich das Teil mit anderer Linux-Firmware verträgt? Ist der evtl. so weit abgeriegelt, dass er nur FON-eigene Firmwares nimmt?

    Ich mache mir da um die Zukunft Sorgen. Wenn das ganze System floppt und ich dann keine andere Firmware flashen kann, habe ich wieder einen Haufen (teuren) Elektroschrott im Schrank liegen.
     
  5. inquisitor

    inquisitor Aktives Mitglied

    Registriert seit:
    7 Aug. 2004
    Beiträge:
    1,484
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Also ich habe es zwar noch nicht ausprobiert, aber ich denke daß es da keinen OEM-lock gibt. Die aktuelle Firmware ist eine schlampig modifizierte DD-WRT Version - in der Advanced Version ist nicht mal die GUI entsprechend eingefärbt.
    Ob Du in 1-2 Jahren, wenn man mit Gewißheit das Scheitern Fons feststellen könnte, noch Verwendung für einen 802.11g Router hast, halte ich jedenfalls für fraglich. Als early adopter muß man eben was riskieren - ich habe auf meinem Gadget-Friedhof ggf. noch Platz neben dem DAT-Recorder, Iridium-Handy und dem ISDN-Bildtelefon. ;-)
     
  6. jebu81

    jebu81 Neuer User

    Registriert seit:
    5 Jan. 2005
    Beiträge:
    178
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bremen
    Das hat mich überzeugt, habe das Teil jetzt bestellt. :)
     
  7. inquisitor

    inquisitor Aktives Mitglied

    Registriert seit:
    7 Aug. 2004
    Beiträge:
    1,484
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Sehr ordentlich! Du bist somit auch in den elitären Kreis der IT-Pioniere aufgestiegen. ;-)
    Da Du ja wahrscheinlich dieselbe Konfiguration wie meine haben wirst, sind wir nun schon zu zweit, die ihr FBF-LAN vom Fon-LAN separieren wollen.

    Mittlerweile habe ich in einem DD-WRT Forum ein Tool namens Firewall Builder gefunden, mit dem man für den FON Router eine Firewall in Form einer iptable basteln kann. Allerdings durchschaue ich das Progamm noch nicht ganz und es schmiert mir immer ab, wenn ich versuche die 192.168.10.er Adressen zu ändern, da ich ein 10.x.y.er Netz verwende. Abgesehen davon habe ich Bedenken am Fon Router zu pfuschen, denn die Firewall und das Routing dürfte etwas komplexer sein (z.B. benötigt man an den LAN ports des Fon routers keinen Login) - vielleicht sollte man da die Finger von lassen, auch schon deshalb weil sicherlich einige neue Firmwares kommen werden und man da dann häufiger basteln muß als mit der guten alten FBF.

    Außerdem habe ich was gelesen, daß man bei zwei NAT Routern hintereinander am zweiten ein statisches Routing aktivieren solle. Ich habe zwar eine grobe Vorstellung von NAT, aber was genau ein statisches Routing am zweiten Router bewirken soll ist mir unklar. Falls jemand dazu etwas ausführen könnte, wäre ich sehr dankbar.

    Letztlich scheint mir derzeit das größte Problem zu sein, daß man den Port 80 auf der FBF sperren müßte, damit besonders lustige Foneros auf der FBF Loginseite kein Werksreset mehr durchführen können. Aber mit einem Block des Port 80 auf der FBF-IP dürfte doch der gesamte Webtraffic abgeblockt werden!?

    Da müssen wir uns noch ein wenig Gedanken machen, wie das zu lösen ist ohne die FBF hinter den Fon Router zu hängen und dann folglich wieder ein externes DSL Modem verwenden zu müssen.
     
  8. jebu81

    jebu81 Neuer User

    Registriert seit:
    5 Jan. 2005
    Beiträge:
    178
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bremen
    Richtig. Hatte evtl. gedacht, den FON-Router per WDS an die Box zu koppeln. Spart mir ein Kabel quer durch die Wohnung.

    Ich wollte da auch von der anderen Seite rangehen, also die FBF-Firewall entsprechend aufbohren. Habe dazu gerade die einzelnen Netze der Box aktiviert ("Alle Computer befinden sich im selben Netzwerk" deaktiviert). Somit hat man schon u.a. LAN A und LAN B mit getrennten Adressbereichen, auch wenn alles noch gegenseitig unreglementiert geroutet wird. Da dachte ich, dass man mit iptables aus dem danisahne-mod zwischenhauen kann und den Verkehr entsprechend regelt.
    Im ds-mod gibt es z.B. schon die vorgefertigte Möglichkeit das Webinterface nur von LAN A erreichbar zu machen. Natürlich vorausgesetzt man aktiviert auch die iptables und durchschaut deren Konfiguration, was bei mir im Moment noch nicht der Fall ist.
     
  9. Aragos

    Aragos Neuer User

    Registriert seit:
    28 Juni 2006
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    So, interessanter Thread, und schildert ziemlich exakt die Probleme, die ich hier: http://www.ip-phone-forum.de/showpost.php?p=628686&postcount=4 beschrieben habe.

    Habt ihr inzwischen eine Lösung gefunden? Wir sind hier in der Stadt zu mehreren, die gerne die Kombi FBF + Fon nutzen wollen, aber unsere Netzwerke sollten natürlich sicher bleiben.

    Aragos
     
  10. inquisitor

    inquisitor Aktives Mitglied

    Registriert seit:
    7 Aug. 2004
    Beiträge:
    1,484
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Das Problem hat sich erledigt seit FON mit der Firmware Version 0.6.5 entsprechende Rules in den FON Router integriert hat. Nun kann man das übergeordnete Subnetz nicht mehr erreichen, also weder Router noch die PCs im übergeordneten LAN.
     
  11. Aragos

    Aragos Neuer User

    Registriert seit:
    28 Juni 2006
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #11 Aragos, 3 Juli 2006
    Zuletzt bearbeitet: 3 Juli 2006