.titleBar { margin-bottom: 5px!important; }

[Gelöst] (W)Lan alle Ports sperren außer Port 80!

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von mastertester, 4 Feb. 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. mastertester

    mastertester Mitglied

    Registriert seit:
    26 Sep. 2004
    Beiträge:
    498
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 mastertester, 4 Feb. 2006
    Zuletzt bearbeitet: 10 Feb. 2006
    Gibt es eine Möglichkeit dafür zu sorgen, dass auf den WLan Rechnern nur noch Daten auf Port 80 ankommen?


    EDIT:



    Habe das Problem lösen können!!!!

    Habe einfach in der ar7.cfg unter highoutput folgende Zeilen ergänzt:

    Code:
    
    “reject tcp any host xxx.xxx.xxx.xxx eq 80",
    "reject tcp any host xxx.xxx.xxx.xxx eq 80",              
    
    
    "reject tcp host 192.168.178.20 any range 1 79", 
    "reject tcp host 192.168.178.20 any range 81 442",
    "reject tcp host 192.168.178.20 any range 444 65535",               
                                            
    "reject udp host 192.168.178.20 any range 1 79", 
    "reject upd host 192.168.178.20 any range 81 442",                                             
    "reject upd host 192.168.178.20 any range 444 65535",
    
    
    Die ersten beiden Zeilen sperren 2 bestimmte Webseiten im Netzwerk auf Port 80. Leider habe ich es nicht geschafft diese Seiten nur für eine interne IP zu sperren.

    Der Rest filtert für die IP 192.168.178.20 alle Ports außer Port 80 für Web und 443 für SSL Verbindungen raus!

    Somit ist keinerlei Filesharing mehr möglich, und ich kann wieder beruhigt schlafen!
     
  2. masterof

    masterof Neuer User

    Registriert seit:
    11 Apr. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Moin,

    habe schon alles in diesem und anderen Foren durchsucht aber leider finde ich die Lösung zu meinem Problem nicht (oder vielmehr sie funktioniert bei mir nicht).
    :noidea:
    Möchte für WLAN Nutzer einfach nur die benötigten Ports freigeben... nur leider wenn ich die Datei abändere und die Box neustarte kann ich sie nicht mehr ansprechen...das WLAN ist noch da aber auch da komme ich nicht mehr auf die Box oder ins INet.:confused:

    Gibt es evtl. schon eine gepatchte Firmware mit der ich es über das menü machen kann.Oder fällt irgendjemanden etwas dazu sonst noch ein ???

    P.S.: Die oftmals erwähnte SahneMod oder so ist mir viel zu umständlich ... zumindest das kompilieren.
     
  3. mastertester

    mastertester Mitglied

    Registriert seit:
    26 Sep. 2004
    Beiträge:
    498
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Der Danisahne Mod würde aber dein Problem lösen....

    Wo in deiner ar7.cfg hast Du denn alles eingetragen? Poste doch mal den von Dir geänderten Abschnitt...


    Welche FritzBox hast Du denn? (?Signatur?)


    Gruß
    mastertester
     
  4. masterof

    masterof Neuer User

    Registriert seit:
    11 Apr. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #4 masterof, 12 Apr. 2006
    Zuletzt bearbeitet: 12 Apr. 2006
    Code:
    dslifaces {
                    name = "internet";
                    dsl_encap = dslencap_inherit;
                    ppptarget = "internet";
                    etherencapcfg {
                            use_dhcp = yes;
                            ipaddr = 0.0.0.0;
                            netmask = 0.0.0.0;
                            gateway = 0.0.0.0;
                            dns1 = 0.0.0.0;
                            dns2 = 0.0.0.0;
                    }
                    stay_always_online = yes;
                    redial_delay_after_auth_failure = 1m;
                    redial_limit = 3;
                    redial_after_limit_reached = 1h;
                    username_prefix_after_auth_failure = "D";
                    dsldpconfig {
                            security = dpsec_firewall;
                            lowinput {
                                    policy = "permit";
                                    accesslist =
                                                 "deny ip any 242.0.0.0 255.0.0.0",
                                                 "deny ip any host 255.255.255.255",
                                                 "deny udp any any eq 135",
                                                 "deny tcp any any eq 135",
                                                 "deny udp any any range 137 139",
                                                 "deny tcp any any range 137 139",
                                                 "deny udp any any range 161 162",
                                                 "deny udp any any eq 520",
                                                 "deny udp any any eq 111",
                                                 "deny udp any any eq 22289",
                                                 "deny udp any any eq 1710",
                                                 "deny udp any any eq 1048",
                                                 "deny udp any any eq 158",
                                                 "deny udp any any eq 515";
                            }
                            lowoutput {
                                    policy = "permit";
                            }
                            highinput {
                                    policy = "permit";
                            }
                            highoutput {
                                    policy = "permit";
                                    accesslist =
                                                 "reject ip any 242.0.0.0 255.0.0.0",
                                                 "deny ip any host 255.255.255.255",
                                                 "reject ip any 169.254.0.0 255.255.0.0",
                                                 "reject udp any any eq 135",
                                                 "reject tcp any any eq 135",
                                                 "reject udp any any range 137 139",
                                                 "reject tcp any any range 137 139",
                                                 "reject udp any any range 161 162",
                                                 "reject udp any any eq 520",
                                                 "reject udp any any eq 111",
                                                 "reject udp any any eq 22289",
                                                 "reject udp any any eq 1710",
                                                 "reject udp any any eq 1048",
                                                 "reject udp any any eq 158",
                                                 "reject udp any any eq 515",
                                                 "reject icmp any 149.1.1.0 255.255.255.0",
                                                 "reject tcp any host 202.106.185.127 eq 25",
    
                                                 "reject tcp host 192.168.5.20 any range 1 79", 
                                                 "reject tcp host 192.168.5.20 any range 81 442",
                                                 "reject tcp host 192.168.5.20 any range 444 65535",               
                                            
                                                 "reject udp host 192.168.5.20 any range 1 79", 
                                                 "reject upd host 192.168.5.20 any range 81 442",                                             
                                                 "reject upd host 192.168.5.20 any range 444 65535";
                            }
    
    Also die letzten 6 Zeilen habe ich dazu getragen.

    FRITZ!Box Fon WLAN 7050 (UI), Firmware-Version 14.04.03-3452

    Achja und selbst wenn ich wollte ich finde einfach nicht die downloadmöglichkeit für den mod...
     
  5. mastertester

    mastertester Mitglied

    Registriert seit:
    26 Sep. 2004
    Beiträge:
    498
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @masterof,

    ich kann bei deinen Änderungen keinen Fehler entdecken....

    Das sollte eigentlich bewirken, dass die IP 192.168.5.20 nur noch auf Port 80 und 443 arbeiten darf.

    Das einzige was anders ist als bei mir, ich habe das ganze an den Anfang gesetzt, und nicht ans Ende. Daran kann es aber eigenlich nicht liegen....

    Was passiert denn an dem Rechner, der die IP 192.168.5.20 hat?

    Und was ist mit den anderen rechnern? Geht da noch alles?


    Gruß
    mastertester
     
  6. masterof

    masterof Neuer User

    Registriert seit:
    11 Apr. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sobald ich die Box dann neustarte, kann ich das WLAN noch sehen aber nicht mehr beitreten mit dem Rechner (5.20) und auch die LAN Rechner kommen nicht mehr ins INET und nichtm al auf das BOX Interface.:confused:
     
  7. mastertester

    mastertester Mitglied

    Registriert seit:
    26 Sep. 2004
    Beiträge:
    498
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hört sich aber echt merkwürdig an...

    Hattest Du das ganze auch mal mit der NICHT-Beta probiert? Mit der Beta hatte ich das noch nicht getestet....


    Gruß
    mastertester
     
  8. masterof

    masterof Neuer User

    Registriert seit:
    11 Apr. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    jo..merkwürdig...werde jetz die 14.04.01 einspielen und das dann nochmal versuchen...melde mich dann obs funktioniert hat oder nicht...danke für deine Antworten bis jetzt
     
  9. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    623
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Mal ne Frage:
    Wie kommst Du denn dann überhaupt wieder auf die Box?

    Ich frage, weil ich demnächst auch ein wenig mit den access Listen rumspielen möchte, aber keine Lust habe, meine Box kaputt zu machen ;).

    Danke im voraus.
     
  10. masterof

    masterof Neuer User

    Registriert seit:
    11 Apr. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Auf die Box komst ja mit z.B. mit putty...
     
  11. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    623
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Ach soo; Du meintest das Web Interface.
    Solange man via SSH noch draufkommt ist ja alles gut ;).
     
  12. gandalf94305

    gandalf94305 Guest

    Das Problem ist gelöst und damit können wir hier schliessen...

    --gandalf.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.