Fritzbox Port innerhalb des LANs sperren

[redspider]

Hallo, gibt es eine möglichkeit, wie man über die fritzbox einen port (oder von mir aus auch alle) eines bestimmten computers sperren kann, so dass man nicht mehr von innerhalb darauf zugreifen kann?

grund: ich habe einen http server, der nach inaktivität in den standby modus fährt. ein bestimmtes programm (firefox addon noscript) sendet jedoch alle paar minuten http requests an alle lokalen rechner, so dass der nicht mehr in den standby modus geht. da ich nicht der einzige im netzwerk bin würde es wenig bringen, das programm einfach abzuschalten.

hab schon probiert in der ar7.cfg folgendes einzufügen:

...
        pppoefw {
                interfaces = "lan", "usbrndis", "eth0", "wlan";
                nofirewall = yes;
                dnsfilter_for_active_directory = yes;
                hostuniq_filter = "";
                dpconfig {
                        security = dpsec_host;
                        filter_teredo = yes;
                        filter_netbios = yes;
                        lowinput {
                                policy = "reject";
                                accesslist =
                                             "deny tcp any 192.168.0.254 255.255.255.0 eq 80", # das hier ist der server
                                             "permit ip any any connection outgoing-related",
                                             "permit ip any any connection incoming-related",
                                             "permit icmp any any";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist =
                                             "reject ip any 242.0.0.0 255.0.0.0"
                                             "deny ip any host 255.255.255.255",
                                             "reject ip any 169.254.0.0 255.255.0.0",
                                             "deny tcp any 192.168.0.254 255.255.255.0 eq 80"; # das hier ist der server
                        }
...

hat aber nichts gebracht... hat jemand ne idee?

 

[frank_m24]

Hallo,

in der Fritzbox kann man das nicht machen. Die Pakete im LAN werden ja nicht geroutet; im LAN arbeitet die Fritzbox nur als Switch. Also sieht ihre Firewall die Pakete nicht. Das Problem musst du in den betreffenden Rechnern bzw. Programmen lösen - oder den HTTP Server in eine DMZ verschieben, wo er durchs LAN nicht erreichbar ist. Dafür brauchst du aber mehr Hardware.

 

[knoerrli]

Ich frage mich gerade wie sinnvoll es überhaupt wäre den http port für einen Webserver zu sperren???? Dann kannst du den ja gleich ausschalten!

 

[redspider]

der port soll ja nur für das /24 subnetz gesperrt sein

 

[dj-prophaganda]

Ich denke mal, dass sich das Problem in etwa so lösen lässt:
Die Fritzbox als Class-B configurieren,
Den Web-Server als Class-C
Die ganzen anderen Rechner in ein anderes Class-C "stecken"
Dann dürften diese den Web-Server nicht mehr erreichen...

Die Rechner wie auch der Server müssen sich aber innerhalb des Class-B Bereiches befinden...

Beispiel:
FB:
10.110.100.1 Subnet 255.255.0.0
Portfreigabe zum Webserver IP: 10.110.110.1

Webserver:
10.110.110.1 Subnet 255.255.255.0 GW: 10.110.100.1

Die anderen Rechner:
10.110.120.x Subnet 255.255.255.0 GW: 10.110.100.1

 

[knoerrli]

Versteh ich trotzdem immernoch nicht! Ein webserver der automatisch in standby bei inaktivität fährt macht für mich einfach keinen Sinn!
Dann ist er ja von Aussen nicht mehr erreichbar, ich kenne noch keinen Server der durch einen http request qieder aufweckt!

 

[dj-prophaganda]

ich kenne noch keinen Server der durch einen http request qieder aufweckt!

Geht schon... jedoch dauert dann die Antwort des Servers in dem Falle erstmal Ewigkeiten....
Wenn es sich um einen Server handelt, auf den evtl. 2 bis 10 Anfragen am Tag gehen - sicher ausreichend.
Wenn Kunden per I-Net auf der HP einer Firma Informationen suchen bzw. darüber selbige
kontaktieren wollen: eher unangebracht.
Das muss der Betreiber dann selber wissen und der Zweck ist das Ziel... (oder auch nicht)...

 

[knoerrli]

Geht schon... jedoch dauert dann die Antwort des Servers in dem Falle erstmal Ewigkeiten....

Und wie wenn ich mal Fragen darf?
Das ich einen Server per WOL aufwecke ist mir nicht neues aber über eine Webanfrage ist mir neu!

 

[KunterBunter]

Beispiel:
FB:
10.110.100.1 Subnet 255.255.0.0 ....

Da hast du ja reichlich IP-Adressen ins Blaue vergeben

Wobei nur nebenbei anzumerken ist, dass alle mit 10. beginnenden IP-Adressen der (früher üblichen) Netzklasse A angehören Aber Netzklassen gibt es ja eh nicht mehr ...

 

[dj-prophaganda]

Es war einfach ein Beispiel...
Und das der 10-ner Bereich Class-A ist weiss ich auch
In der Form des von mir geschriebenen Beitrages fand ich es am verständlichsten
für den Fragesteller.
Und der Class-A bereich wäre in der Konstellation meines Beispiels noch frei für VPN...
Deshalb hat sich die Darstellung für das Problem in dieser Form angeboten...

Unterm Strich wollte ich nur mitteilen: Server und die Rechner in unterschiedliche Subnetzbereiche zu legen...
Dann sollte das Problem gelöst sein.....

Nachtrag
Hatte grad gesehen, daß ich nen Tippfehler oben bei den Gateway-Adressen hatte.
Habe ich eben korrigiert

 

[dj-prophaganda]

Und wie wenn ich mal Fragen darf?
Das ich einen Server per WOL aufwecke ist mir nicht neues aber über eine Webanfrage ist mir neu!

Ich selber habe es nicht gemacht...
Leider ist derjenige nicht Mitglied dieses Forums...
sonnst hätte ich die Frage an ihn weitergeleitet...
Innerhalb unserer LUG war das ein Thema... das es zu lösen galt
Aber soweit ich weiß hatte er dafür einen IBM-PC benutzt,
da in dem BIOS entsprechende Funktionen vorhanden waren.

Davon abgesehen denke ich mal, daß es hier sicher auch ein Missverständnis zwischen Standby- und Sleep-Modus giebt...
Ich gehe mal davon aus, daß redspider eher den Sleepmodus meint...

 

[redspider]

ja, meinte sleepmode
danke für die idee mit erstellen von subnetzen.
die netzwerkkarte ist auf wake on unicast eingestellt. das ding springt an sobald ein an ihn adressiertes (!) paket in seine richtung kommt.
bei linux gehts mit dem ethtool, bei windows muss man bei der netzwerkkarte im gerätemanager gerät kann computer aus dem ruhezustand wecken aktivieren und das kästchen dadrunter deaktivieren.
das funktioniert bei mir recht gut. der http request kann innerhalb von weniger als 2 sekunden beantwortet werden und der rechner verbraucht nur ca. 2 watt im sleepmode.

 

[dj-prophaganda]

Nabend redspider,
dann geh ich mal davon aus, dass jetzt alles wie gewünscht funktioniert...

Der von meinem LUG-Freund verwendete IBM-PC reagierte schon vom BIOS aus
auf IP-Anfragen... Auf der Kiste lief natürlich Linux...
Irgendwie ließ der sich auch aus dem Standby aufwecken... allerdings brauchte es ne Weile.
Ist ja jetzt auch egal... wenn jetzt bei dir alles läuft...

Nachtrag:

<OT beginn>

ich kenne noch keinen Server der durch einen http request qieder aufweckt!

Ich weiss: total OT, wollte aber die Frage soweit doch noch beantworten...

Ich habe heut Nachmittag diesbezüglich bei meinen Freund angerufen:
Es handelte sich bei der Hardware um das Board einer IBM-Diskless-Workstation...
Ausgerechnet das BIOS dieses als Client gedachten PC's hatte die die passenden Funktionen.
Obwohl als Diskless konzipiert waren Controler + Anschlüsse für Festplatte wie auch Diskette vorhanden.
Mit diesem eigentlichen ClientBoard wurde von ihm damals dieser Server "gebastelt" der auch aus dem Standby erwachte...
<OT Ende>