Fritz vor vorhandenem Router | Netze voneinander abschotten

[inquisitor]

Hallo Welt!

Seit heute betreibe ich einen WRT54GL mit Fon Firmware hinter meiner FBF 7050.

Beide Router stellen jeweils ein eigenes Class-C-Netz dar, wobei der WRT54GL WAN-mäßig eine statische IP im Netz der FBF hat.

Nun möchte ich aber verhindern, daß die User am WRT54GL auf die anderen IPs des FBF-Netzes sowie auf die WebGUI der FBF zugreifen können.

An anderer Stelle hatte ich bereits nach einer Möglichkeit gefragt, wie ich per Firewall Rules in der FBF die Zugriffe vom WRT54GL unterbinden kann, jedoch kam bislang keine Antwort und zum anderen leuchtete mir zwischenzeitlich ein, daß ich mit dem Sperren des Port 80 auf der FBF (damit niemand auf die WebGUI darf) auch sämtlichen Webtraffic sperren würde (oder irre ich da?).

Daher meine Frage, ob jemand bei bestehender Hardwarekonfiguration (WRT54GL per LAN an der FBF 7050) andere Ansätze zur Abschottung des FBF Netztes vom WRT54GL Netz hätte.
Könnte man evtl. einen der LAN ports der FBF entsprechend konfigurieren, daß er nur Traffic nach draußen läßt?

Besten Dank für etwaige Hilfe.

Euer Hexenverbrenner

 

[gandalf94305]

Ich kenne die Syntax der Firewall-Regeln in der FBF nicht, daher habe ich auf Dein anderes Posting nicht geantwortet. Prinzipiell sollte sich jedoch mit einem kleinen Adressierungstrick ohne großen Aufwand machen lassen, was Du vorhast:

Internet - FBF - Netz A - Router - Netz B

Ich nehme jetzt mal folgendes an:
- FBF in Netz A: 10.0.1.1
- PCs in Netz A: 10.0.1.128-254
- Router in Netz A: 10.0.1.2
- Router in Netz B: 10.0.2.1
- Systeme in Netz B: 10.0.2.x

Der Router muß Regeln enthalten, die folgendes verbieten:

deny src 10.0.2.0/24 dst 10.0.1.128/25
deny src 10.0.2.0/24 dst 10.0.1.0/25 port 80

Damit wird Verkehr auf die Systeme mit IPs 10.0.1.128..254 generell aus Netz B geblockt und ebenso der Verkehr auf Port 80 der Systeme in Netz A mit 10.0.1.1..127. ;-)

PS: Sperren des Traffics auf Port 80 der FBF würde nur dann den gesamten Webtraffic sperren, wenn nicht die IP-Adresse der FBF in der Regel mit definiert wäre. Würdest Du jedoch das gesamte Netz A per Regeln ausnehmen, dann leidet auch das Routing durch dieses Netz ;-)

PPS: Wenn Dir der Trick mit dem Bit 7 im letzen Byte der IP-Adresse nicht gefällt, dann nimm 10.1.1.x für sichtbare Systeme in Netz A, 10.1.2.x für unsichtbare, 10.2.0.x für Netz B.

PPPS: Wenn der Router jetzt noch TCP ESTABLISHED auswerten könnte (Cisco kann das, kann es Dein Router?), dann würde man damit erlauben können, daß die FBF oder ein anderes System in Netz A TCP-Verbindungen in Netz B hinein aufbaut, jedoch nicht aus Netz B heraus etwas aufgebaut werden kann.

--gandalf.

 

[inquisitor]

Dank Dir Gandalf.

In der Theorie ist das Problem gelöst, aber in der Umsetzung scheitert es bislang.

Ich habe einmal versucht den Eintrag

"reject tcp 10.99.1.2 10.99.1.1 eq 80",

unter "highoutput" einzufügen, der versuchsweise das WebGUI der FBF blocken soll, allerdings hat das nicht gefruchtet.

Wo sollte denn dieser Eintrag hier rein?

pppoefw {
                interfaces = "usbrndis", "eth0", "eth1", "tiwlan0", "wdsup0", 
                             "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                nofirewall = yes;
                ipnetbiosfilter = yes;
                dnsfilter_for_active_directory = yes;
                hostuniq_filter = "";
                dpconfig {
                        security = dpsec_host;
                        lowinput {
                                policy = "reject";
                                accesslist = 
                                             "permit ip any any connection outgoing-related", 
                                             "permit ip any any connection incoming-related", 
                                             "permit icmp any any";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any 10.0.0.0 255.0.0.0", 
                                             "reject ip any 169.254.0.0 255.255.0.0", 
                                             "reject udp any any eq 135", 
                                             "reject tcp any any eq 135", 
                                             "reject udp any any range 137 139", 
                                             "reject tcp any any range 137 139", 
                                             "reject udp any any range 161 162", 
                                             "reject udp any any eq 520", 
                                             "reject udp any any eq 111", 
                                             "reject udp any any eq 22289", 
                                             "reject udp any any eq 1710", 
                                             "reject udp any any eq 1048", 
                                             "reject udp any any eq 158", 
                                             "reject udp any any eq 515", 
                                             "reject icmp any 149.1.1.0 255.255.255.0", 
                                             "reject tcp any host 202.106.185.127 eq 25";
                        }

Sieht jemand eine Möglichkeit z.B. für eth1 eigene Rules zu erstellen?

 

[gandalf94305]

Das genau ist der Punkt, warum ich auf Dein anderes Posting nicht geantwortet habe ;-) Ich kann Dir sagen, wie das Routing aussehen muß... aber ich habe noch nie mit den Firewall-Regeln der FBF gespielt...

Mein Firewall ist ein Router vor der FBF.

--gandalf.

 

[inquisitor]

Nachdem ich nun fruchtlos fünf Stunden lang in der ar7.cfg rumgespielt habe und diesen Thread entdeckt habe, vermute ich, daß die Firewall Rules tatsächlich in einem andern File definiert sind.
Also geht die Suche weiter. Für jedweder Input bin ich dankbar!

 

[gandalf94305]

Öhm... wie wäre es mit
http://www.ip-phone-forum.de/showthread.php?t=91516

--gandalf.

 

[inquisitor]

Die Anleitung funktioniert für "dslifaces" (raus ins Internet).
Aber intern unter "ethinterfaces", wo die Regel bereits greifen sollte funktioniert es leider nicht.

Habe zuletzt getrennte Netze eingereichtet, sodaß dem LAN port B das Netz 10.99.3.0 zugeordnet war. Daran hängt der WRT54GL mit der WAN-IP 10.99.3.1 (intern dann 10.99.4.0).
Nun habe ich folgende Rule unter "ethinterfaces"|"highoutput" eingerichtet:

"deny ip 10.99.3.0 255.255.255.0 any"

Das hat leider nichts gebracht. Konnte sowohl ins Netz raus, als auch sämtliche Subnetze der FBF erreichen.

Es kotzt mich langsam an! Am WRT54GL möchte ich auch nicht wirklich rumbasteln, denn die Fon-Firmware werde ich wohl noch einige male updaten müssen und dazu läßt sich die Firewall nur mit einem Tool namens Firewall Builder modifizieren, wobei mir das permanent abstürzt und dazu fürchte ich, daß ich was verpfuschen könnte, denn diese Fon Router hat diverse Besonderheiten (LAN <==> WLAN ist geblockt und die ganze Authentifizierungsgeschichte).

 

[TWELVE]

Was hälst Du von folgenden Konstruktionen:

1. Zusätzlicher Router für das zweite LAN

FBF/LAN A-----> Linksys
FBF/LAN B-----> neuer Router

bzw. LAN A ---> Switch und dann die Router dahinter ( LAN A und B sind ja kein echter Switch)


Bedingt durch die NAT Firewalls beider Sub-Router können Clients hinter dem einen Router nicht auf Clients hinter dem anderen Router zugreifen.Ich habe einen solchen Aufbau in Betrieb und separiere damit verschiedene LANs ( u.a. schütze ich damit mein LAN zusätzlich gegenüber dem WLAN).

2. Verwendung der FBF Einstellung "Alle Computer befinden sich im selben IP-Netzwerk"

Für jedes der FBF Interfaces kannst Du ein eigenes IP Netz einstellen.Sobald Du diese Einstellung wählst, können die Netze nicht mehr untereinander kommunizieren.

LAN A ---> Linksys/LAN1

LAN B ---> Switch ---> LAN2

WLAN ---> LAN 3

Somit ist eine Separierung zwischen den Netzen gewährleistet und jedes Netz kommt über die Fritz ins Internet.



Grüße


TWELVE

 

[inquisitor]

Hi 12!

Danke für Deine Antwort.

1. Zusätzlicher Router für das zweite LAN

Daran hatte ich auch schon gedacht, allerdings will ich keine drei Router hier laufen haben, nur um anderern Internet Zugang zu schenken.

2. Verwendung der FBF Einstellung "Alle Computer befinden sich im selben IP-Netzwerk"

Für jedes der FBF Interfaces kannst Du ein eigenes IP Netz einstellen.Sobald Du diese Einstellung wählst, können die Netze nicht mehr untereinander kommunizieren.

Das hatte ich gestern nach ausprobiert, aber ich konnte die Subnetze trotzdem untereinander erreichen. Bist Du Dir da sicher, daß die Trennung der Netze auch zur Separierung des Traffics führt?

 

[gandalf94305]

Das hatte ich gestern nach ausprobiert, aber ich konnte die Subnetze trotzdem untereinander erreichen. Bist Du Dir da sicher, daß die Trennung der Netze auch zur Separierung des Traffics führt?

Die FBF routet dann... da müßte man genau Firewall-Regeln definieren, um das zu verbieten.

--gandalf.

 

[TWELVE]

Das hatte ich gestern nach ausprobiert, aber ich konnte die Subnetze trotzdem untereinander erreichen. Bist Du Dir da sicher, daß die Trennung der Netze auch zur Separierung des Traffics führt?

Sicher nicht.Wie kann ich!Diese Funktion kann sich ja mit jeder Firmware Release anders verhalten, ohne das ich das merken würde.Aber laut Hilfe und Handbuch wäre das so.Wobei die Hilfe nicht wirklich tief darauf eingeht.
Müßte man mal mit Ethereal oder so verfolgen.Wobei man dann trotzdem nicht sicher sein könnte, das es bei der nächsten FW immer noch so ist.

Die FBF routet dann.

Ich bin zwar der Meinung, das sie dann weder routet noch bridged, zumindest aber ist ein gegenseitiger Zugriff auf die Netzwerkfreigaben zwischen den Anschlüssen nicht mehr möglich.Und das macht ja den "Zugriff" bei PCs hauptsächlich aus.Ok, es laufen noch mehr Dienste, über die man "angreifen" könnte, sofern zwischen den Anschlüssen wirklich nur ein Filter für NetBios/SMB läuft, aber die Frage wäre für mich, ob man sich bei Bekannten, denen man einen Interzugang zur Verfügung stellt, vor einem "Hacker-Angriff" schützen muss.Insofern reicht vielleicht schon ein Blocken der Freigaben.

Die eingebaute Hilfe beschreibt das so:

Die Einstellung "Alle Computer befinden sich im selben IP-Netzwerk" ist deaktiviert

Mit dieser Einstellung soll erreicht werden, dass sich immer die Computer im selben IP-Netzwerk befinden, die über dieselbe Anschlussart mit der FRITZ!Box verbunden sind. Das heißt, es hängt von der Anschlussart ab, ob sich zwei Computer im selben IP-Netzwerk befinden. Nur Computer, die sich im selben IP-Netzwerk befinden, können untereinander auf freigegebene Dateien und Ordner zuzugreifen.
In diesem Fall müssen Sie der FRITZ!Box für jede Anschlussart eine IP-Adresse zuweisen und dadurch die unterschiedlichen IP-Netzwerke festlegen.
Für jede Anschlussart stehen folgende Felder für die IP-Einstellungen zur Verfügung:
IP-Adresse Für jede Anschlussart müssen Sie der FRITZ!Box eine IP-Adresse zuweisen. Durch die IP-Adresse und die Subnetzmaske wird das IP-Netzwerk für die Anschlussart definiert. Bei der Vergabe dieser IP-Adresse wird empfohlen, im vierten Block der IP-Adresse immer die 1 zu wählen. Subnetzmaske Für die Subnetzmaske kann für jede Anschlussart der Wert 255.255.255.0 eingetragen werden. DHCP-Server an der Schnittstelle aktivieren Der DHCP-Server kann für die unterschiedlichen Anschlussarten unterschiedlich eingestellt sein.

Grüße

TWELVE

 

[inquisitor]

Also habe es nochmal probiert. Ich kann Clients in unterschiedlichen Subnetzen anpingen, kann Netmeeting Verbindungen aufbauen, aber sehe sie in der Netzwerkumgebung nicht und kann auch nicht gezielt über \\10.99.1.20\ Freigaben anderer Rechner erreichen. Offensichtlich werden hier nur die Samba ports gesperrt.
Firewall rules haben bei mir nie gefruchtet, wenn sie sich auf den internen Traffic bezogen.

Ist Euch denn eine Möglichkeit bekannt, zumindest mal das WebGUI der FBF für einzelne Subnetze zu sperren?

 

[TWELVE]

Und sie routet doch...

Tja, schade auch.Habe auch gerade mal den Haken weggenommen und gesehen, das dann neue Interfaces erzeugt werden:

# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
192.168.178.0 * 255.255.255.0 U 0 0 0 eth0
192.168.179.0 * 255.255.255.0 U 0 0 0 usbrndis
192.168.182.0 * 255.255.255.0 U 0 0 0 wlan
default * 0.0.0.0 U 2 0 0 dsl
#

Sollte man das Routing nicht irgendwie unterbinden können...?

Ansonsten als "kleine" Lösung könntest Du vielleicht eine Filterregel im Linksys setzen, die den Zugriff auf 192.168.178.1:80 verbietet, falls nur Du Zugriff zum Web UI des Linksys hast.Der Zugriff auf die Netzwerkfreigaben im Fritz LAN von einem Linksys Client aus dürfte eh nicht gehen, wegen dem NAT des Linksys, das dazwischen liegt.


Grüße

TWELVE

 

[inquisitor]

Nachdem ich das Problem gestern im Fon Board gepostet hatte, wurde die Firmware heute modifiziert, sodaß der Fon Router sämtliche Zugriffe auf das Subnetz des WAN mit Ausnahme des Gateways blockiert.
Wenn ich nun nicht die FONadvanced firmware 0.6.0 drauf hätte, bei der das Firmware Update deaktiviert ist, könnte ich nun mit der FONbasic firmware 0.6.0 das Problem weitestgehend lösen.
Nur den Zugriff auf das WebGUI der FBF müßte ich nun noch unterbinden.

Den Ansatz auf dem Linksys Regeln einzurichten war meine erste Idee, aber da bin ich auf einige Probleme gestoßen:
Zum einen kann man im WRT54GL keine Regeln per Web einrichten und der Firewall Builder, eine WinApp, schmiert mir immer ab, sobald ich versuche die Adressbereiche anzupassen.
Zum anderen kann man mit dem Firewall Builder die bestehenden Rules des WRT54GL nicht importieren. D.h. ich habe keine Ahnung, was da bereits alles an Regeln drin ist und da diese Fon Firmware diverse Besonderheiten hat (WLAN <==> LAN wird geblockt, Authentifizierung am Fon Server) traue ich mich nicht, da einfach selbstgemachte Regeln hochzuladen.
Leider konnte ich bislang auch nicht in Erfahrung bringen, ob und ggf. wie man per shell/vi im WRT54GL eine zusätzliche Rule einfügen kann.