[Frage] Freetz AVM-Firewall für Guest-Interface konfigurieren

[Tecnetium]

Hallo,

habe auf meiner 7390 ein internes, sowie ein Guest-Interface am laufen.

Nun möchte ich, das Benutzer auf dem Guest-Interface nur http/https Seiten aufrufen dürfen. (Port 80/443)
Alles andere soll gar nicht erst nach außen gelangen.

Lässt sich dies mit der AVM Firewall realisieren?
Wenn ja, was müsste genau in der Freetz GUI bei Eingehende Regeln (lowinput) /Ausgehende Regeln (highoutput) eingegeben werden?

Könnte mir evtl. jemand ein Beispiel anhand eines Hosts (192.168.189.20), sowie für das ganze Subnet (192.168.189.x) nennen?

Vielen Dank

 

[JohnDoe42]

Ich nehme mal an, das Dein "Guest-Interface" der WLAN-Gastzugang der 7390 ist ... (?)
Wenn dem so ist, würd' ich das ganze mit einer Zeile in iptables lösen à la

iptables -A FORWARD -p tcp -s 192.168.189.0/24 -i wifi0 -m multiport --dport 80,443 -j ACCEPT
[...]
iptables -P FORWARD DROP

Noch eine kleine Randbemerkung: Die Beschränkung auf zwei Ports entbindet Dich bzw. den Betreiber des DSL-Anschlusses in keinster Weise von der sog. "Mitstörer-Haftung" ... ;-) Auch über Port 80 lassen sich semi-legale Dinge veranstalten.
Grüße,

JD.

 

[Tecnetium]

Hi.

erstmal danke für die Antwort.

Ich nehme mal an, das Dein "Guest-Interface" der WLAN-Gastzugang der 7390 ist ... (?)

Ja, ist er.

Wenn dem so ist, würd' ich das ganze mit einer Zeile in iptables lösen à la...

Mhmm, ich nehme mal, das geht nicht über die Freetz GUI?
Habe nano mit ins Image eingebaut, wo liegt denn die iptables auf der Box?

Noch eine kleine Randbemerkung: ... Auch über Port 80 lassen sich semi-legale Dinge veranstalten.

Ja, mit Tunneling kann man einiges machen, das stimmt - aber ein Ottonormalverbraucher kommt nicht auf so eine Idee.

Der Guest-Zugang wird nach Benutzung eh direkt wieder deaktiviert, inkl. Keywechsel.

 

[sf3978]

...
Habe nano mit ins Image eingebaut, wo liegt denn die iptables auf der Box?
....

Hast Du dein Freetz-Image mit iptables kompiliert?

root@fritz:/var/mod/root# find / -iname 'iptables'
[COLOR="red"]/usr/sbin/iptables[/COLOR]

 

[Tecnetium]

Ich ahne schlimmes.

Wenn es standardmäßig nicht aktiviert ist, wird es mir wohl fehlen.
Muss ich dann wohl noch einmal neu kompilieren.

Gehe ich recht in der Annahme, das iptables dann die Freetz AVM Firewall GUI kpl. ersetzt, oder sollte man diese trotzdem noch mit einbauen?

 

[sf3978]

Gehe ich recht in der Annahme, das iptables dann die Freetz AVM Firewall GUI kpl. ersetzt, oder sollte man diese trotzdem noch mit einbauen?

Nein, nicht ersetzen, evtl. ergänzen. iptables in/mit Freetz ist unstable. Schau im Wiki nach, wann bzw. wofür iptables auf der Box, evtl. verwendet werden kann.

 

[JohnDoe42]

Iptables und die AVM-Firewall laufen dann quasi beide auf der Box, allerdings hast Du mit iptables (nach einiger Einarbeitung) ein recht umfangreiches Kaleidoskop an Möglichkeiten an der Hand, jeglichen Datenverkehr auf der Box zu steuern bzw. zu reglementieren. Ich habe auch eine 7390 mit einigen iptables-Regeln in Betrieb, und soweit ich weiß, bringt die 7390 iptables mitz einiger Grundfunktionalität schon im Kernel mit (Heißt: Du mußt ggfs. kein neues Iamge erzeugen). Und um auf Deine Ausgangsfrage zurück zu kommen: Mit dem Grundgerüst an Regeln von hier und meinen zwei Zeilen von oben Dein Ziel erreichen solltest.
Grüße,

JD.