[Gelöst] Zugriff auf Port 5031 nur von einer IP zulassen?

[wichard]

Eine Frage zur Fortführung der NETCAPI-Erfolgsmeldung:

Meine Fritzbox hat eine feste öffentliche IP und hängt über das Uni-Netz direkt am Internet. Faxen möchte ich auch von meinem PC aus können, der ebenfalls eine feste öffentliche IP hat. Dieser hängt also nicht hinter der Fritzbox.

Nachdem ich anfangs (also in der Nacht, in der ich NETCAPI eingerichtet habe) durch einen SSH-Tunnel (PuTTY) faxen konnte, verweigert mir FritzFax jetzt das Auffinden der CAPI. Ja, der Registry-Eintrag (FoundFritzBoxes - 127.0.0.1) ist vorhanden und IMHO korrekt, auch PuTTY habe ich IMHO korrekt eingerichtet. Der genauso eingerichtete Tunnel auf Port 80 funktioniert zumindest korrekt.

Da ich die NETCAPI eigentlich ungern mit fester, öffentlicher IP weltweit freigeben möchte, suche ich nach einer Möglicheit, den Zugriff auf Port 5031 auf nur für IP zuzulassen.

"Was bisher geschah":
- Portforwarding der 5031 auf die IP der Box, damit funktioniert die CAPI von meinem PC aus (nach Änderung des Registry-Schlüssels von 127.0.0.1 auf öffentliche IP der Box):

"tcp 0.0.0.0:5031 192.168.2.2:5031 0 # NetCAPI",

Mit der Zeile

lowinput {
          policy = "permit";
          accesslist =
                       "deny tcp any any eq 5031",

kann ich den Zugriff von außen auf den Port 5031 wieder unterbinden. Jetzt würde ich aber gerne den Zugriff von einer speziellen IP wieder erlauben, also habe ich sowas versucht wie

"permit tcp 134.130.xxx.yyy any eq 5031",

oder

"permit tcp any host 134.130.xxx.yyy eq 5031",

oder

"permit ip any 134.130.xxx.yyy 255.255.255.255",

vor oder nach der deny-Zeile einzufügen - leider war damit die CAPI weiterhin nicht vom PC aus ansprechbar.

Stattdessen hatte ich auch versucht, beim Portforwarding mittels

"tcp 134.130.xxx.yyy:5031 192.168.2.2:5031 0 # NetCAPI",

nur Verbindungen von der einen IP weiterzuleiten. Auch kein Erfolg.

Hat jemand einen guten Vorschlag für mich? Danke!

 

[wichard]

Lösung gefunden!

So, nach diversem rumprobieren habe ich folgende Lösung für mein Problem gefunden, die in ersten Tests zu funktionieren scheint:

In der ar7.cfg habe ich im Abschnitt "dslifaces" folgende zwei Zeilen ergänzt:

lowinput {
        policy = "permit";
        accesslist =
                      [...]
                     "permit tcp host 134.130.xxx.yyy any eq 5031",
                     "reject tcp any any eq 5031", 
                      [...]

Damit werden, wenn ich die Syntax richtig verstanden habe, TCP-Verbindungen auf Port 5031, welche von der IP 134.130.xxx.yyy kommen (und an irgendeine ("any") Zieladresse gehen), zugelassen. Alle Verbindungen von anderen Source-IPs auf Port 5031 werden dann in der zweiten Zeile geblockt.

Da ich mich ja von extern mit dem WAN-Interface verbinde, muß ich natürlich noch den Port 5031 auf die interne IP der Box weiterleiten, bei mir 192.168.2.2:

"tcp 0.0.0.0:5031 192.168.2.2:5031 0 # NetCAPI",

Die Syntax der accesslist scheint an die Cisco-Accesslist-Syntax angelehnt zu sein, zumindest habe ich mich daran orientiert. Vielleicht hilft meine "Erkenntnis" ja dem einen oder anderen bei ähnlichen Problemen weiter...


Gruß,
Wichard

 

[Dino75195]

Re: Lösung gefunden!

lowinput {
        policy = "permit";
        accesslist =
                      [...]
                     "permit tcp host xyz.dyndns.org any eq 5031",
                     "reject tcp any any eq 5031", 
                      [...]

Hi, kann mann statt einer festen IP auch mit einem dyndns account arbeiten?
die frage ist, ob die IP dann auch noch aktualisiert wird, wenn sich die IP hinter dem dyndns acount ändert

mfg Robert

 

[wichard]

Probier es aus... Aber ich denke eher, daß es nicht funktionieren wird. Denn die "Anfrage" an die Box kommt ja nicht per Namen (DynDNS), sondern per IP. (Einfach mal mit Ethereal mitloggen...) Und eine umgekehrte Namensauflösung wird die Box IMHO nicht machen ("welcher Name gehört zu dieser IP?").

Aber wie ich in den letzten Tagen wieder gemerkt habe: "Versuch macht kluch " - mehr, als daß Du an die Box nicht mehr drankommst, kann eigentlich nicht passieren. (Und noch ein )

Viel Erfolg,
Wichard

 

[fritzchen]

für den Zugriff von außen gilt meiner Meinung nach immer das gleiche:

nur mit ssh!

Damit ist es ein leichtes, auch port 5031 zu tunneln und zu faxen - habe ich auch schon gemacht

 

[wichard]

Re: [Gelöst] Zugriff auf Port 5031 nur von einer IP zulassen

für den Zugriff von außen gilt meiner Meinung nach immer das gleiche:
nur mit ssh!

Nachdem ich anfangs (also in der Nacht, in der ich NETCAPI eingerichtet habe) durch einen SSH-Tunnel (PuTTY) faxen konnte, verweigert mir FritzFax jetzt das Auffinden der CAPI.

Frag mich nicht, warum - es hatte ja geklappt, der "Fernzugriff" auf die Weboberfläche klappt per Tunnel ja auch immer noch. Nur das (die?) CAPI wollte nicht mehr.
Mit meinem Weg (Klar - Spezialfall wegen fester IP) bin ich auber - denke ich - auch auf halbwegs sicherem Boden, da ich tatsächlich nur von meinem Rechner auf das CAPI zugreifen kann; Zugriffe von anderen IPs auf Port 5031 werden geblockt.

Gruß,
Wichard