.titleBar { margin-bottom: 5px!important; }

LAN B: Nur Port 80 & 443 freigeben?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von tHaHooL, 7 Jan. 2006.

  1. tHaHooL

    tHaHooL Neuer User

    Registriert seit:
    7 Jan. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo!

    Ich würde gerne bei meiner FBF den LAN B Bereich komplett bis auf Port 80 & 443 sperren. Also rein nur für Internet.

    Kann mir da jemand die Regeln nennen die in der ar7.cfg einzutragen sind? :)
    In der Suche konnte ich leider nix dazu finden.

    Danke!
     
  2. wfech

    wfech Neuer User

    Registriert seit:
    25 Okt. 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Valencia
    ja das geht
    mach dir mein ein beispiel

    wenn LAn B 192.168.2.0 ( Netzadresse )
    dann
    schreibst du mit dem FBF Editor in die Firewall regeln einfach folgende 3 Zeilen rein und schon gehts nur noch über Port 80 und 443
    unter

    highoutput {
    policy = "permit";
    accesslist =

    "reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
    "reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"
    "deny ip 192.168.2.0 255.255.255.0 any"

    wobei 192.168.1.1 das gateway zum internet ist

    1. Zeile erlaubt das gesamte Netz von 192.168.2.0 bis 192.168.2.255 den zugang über port 80 nach internet gateway
    2. Zeile das selbe nur port 443
    3. Zeile verbietet den rest also diese zeile auch als 3. Zeile schreiben sonnst geht nix mehr es wird von oben nach unten durchgearbeitet und wenn was zutrifft wird der rest nicht mehr abgefragt
     
  3. tHaHooL

    tHaHooL Neuer User

    Registriert seit:
    7 Jan. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Super!
    Danke für die schnelle Antwort!! :)
     
  4. Darkyputz

    Darkyputz Aktives Mitglied

    Registriert seit:
    27 Juli 2005
    Beiträge:
    2,320
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Newton, New Jersey
    hallo...habe da mal eben ne verständinsfrage zu deiner regel...
    du schreibst:
    "reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
    "reject ip 192.168.2.0 192.168.2.255 host 192.168.1.1 eq 443"

    also den mit 443 würde ich verstehen...192.168.2.0 bis 192.168.255 an gateway 1.1 wenn 443....alles kalr...
    aber der erste???? hast du dich da vertipt, oder blick ich was nicht?
     
  5. wfech

    wfech Neuer User

    Registriert seit:
    25 Okt. 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Valencia
    denkfehler

    "reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"
    "reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 443"

    das sollte so heissen

    erst das protocoll ( TCP,UDP,IP ..)
    dann IP adresse von wo ,dann subnetmaske die berücksichtigt werden soll (z.b 255.255.0.0 dann wird von 192.168.0 bis 192.168.255.255 alles berücksichtigt)
    dann host [( subnetzmaske 255.255.255.255) man kan auch schreiben
    192.168.1.1 255.255.255.255 eq 80] danach ip adresse wo hin dann subnetmaske die berücksichtigt werden soll ,eq heist gleich,80 portnummer

    war wohl ein bischen verwirrt aber ich hoffe mit dieser erklärung geht das einigermasen
     
  6. fischefr

    fischefr Mitglied

    Registriert seit:
    30 Okt. 2004
    Beiträge:
    202
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Also für mich heißt das, dass 443 und 80 gesperrt werden, alle anderen nicht.
    Wollte er das nicht genau andersrum?
     
  7. Novize

    Novize Moderator
    Forum-Mitarbeiter

    Registriert seit:
    17 Aug. 2004
    Beiträge:
    20,676
    Zustimmungen:
    39
    Punkte für Erfolge:
    48
    Beruf:
    Jepp!
    Ort:
    NRW
    Nö, das heisst:
    Leite weiter Port 80
    Leite weiter Port 443
    Verbiete alles

    Wird von oben abgearbeitet und bei Erfolg die Schleife abgebrochen
    Also in Basic:
    If Port = 80 then reject to IP w.x.y.z else
    if Port = 443 then reject to IP w.x.y.z else
    deny all
     
  8. dello

    dello Neuer User

    Registriert seit:
    24 Jan. 2006
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also ich habe auch meine Probleme damit. Ich würde die erste Zeile als "Leite allen IP-Verkehr von (der einen und nur der) IP-Adresse 192.168.2.1, Port 80 ins Internet" verstehen, die zweite Zeile würde ich als "Leite allen IP-Verkehr vom Sub-Netz 192.168.2.0, Port 443, ins Internet" lesen.

    Es geht um das vierte Oktett, das ist verwirrend weil unterschiedlich in den beiden Zeilen...

    Was ist denn richtig? ...1 oder ...0?
     
  9. wfech

    wfech Neuer User

    Registriert seit:
    25 Okt. 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Valencia
    schau 2 beiträge weiter oben da hab ich es berichtigt und nochmal erklärt
    wenn du es so richtig verstehen willst habe da unterlagen von cisco systems( CCNA) drüber kann ich dir ja zukommen lassen
     
  10. dello

    dello Neuer User

    Registriert seit:
    24 Jan. 2006
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe oben nachgeschaut, und gesehen, daß du dich korrigiert hast. Du schreibst dann:
    Gehe ich richtig davon aus, daß du damit nur den Traffic vom Host mit der IP 192.168.2.1 ins Internet umleitest, ein Host mit der IP 192.168.2.212 hingegen nicht? Ich würde vom Verständnis her folgende Schreibweise präferieren:
    "reject ip 192.168.2.0 255.255.255.0 host 192.168.1.1 eq 80"
    "reject ip 192.168.2.0 255.255.255.0 host 192.168.1.1 eq 443"

    Damit würde dann doch das ganze Subnetz ins Internet weitergeleitet, also auch der Host mit der IP 192.168.2.212... Oder steh ich immer noch auf dem Schlauch?

    Danke im voraus,

    Grüße,

    dello
     
  11. wfech

    wfech Neuer User

    Registriert seit:
    25 Okt. 2005
    Beiträge:
    6
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Valencia
    das subnetz wird mit der 255.255.255.0 bestimmt und die deckt jetzt von 1 bis 254 ab. (255 ist broadcast)
    ich denke das es egal ist ob .0 oder .1 am schluss der ip adresse
    ich habe nur cisco router configuriert die sind ein bischen anderst
     
  12. Der_Vogel

    Der_Vogel Neuer User

    Registriert seit:
    2 Jan. 2006
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    bin zufällig über diesen Thread gestolpert.
    Ich denke auch, dass ein "REJECT" das entsprechende Paket verweigert, und NICHT weiterleitet!

    Der Unterschied zu "DENY" ist bloß, dass ein "DENY" das Paket kommentarlos verwirft und ein "REJECT" eine ICMP unreachable Nachricht zurückschickt. (oder andersrum? :) )

    Die Regel
    "reject ip 192.168.2.1 255.255.255.0 host 192.168.1.1 eq 80"

    würde also meiner Meinung nach nur den Zugriff von Netzwerk 192.168.2.0/24 auf Port 80 des hosts 192.168.1.1 verweigern. Der Zugriff auf den Port 80 von anderen Rechnern über den Router 192.168.1.1 würde aber dennoch funktionieren.

    Meiner Meinung nach sollte die Regel etwa so aussehen:
    "permit ip 192.168.2.0 255.255.255.0 any eq 80"

    also erlaube den Zugriff von Netzwerk 192.168.2.0/24 auf Zielport 80 beliebiger Adressen.

    Über welches Gatway das Paktet weitergeleitet werden soll muss man hier nicht angeben, dafür gibts ja die Routing Einträge in den Routern.

    Am Ende muss man jetzt noch alles andere verweigern, dazu also am besten die Standartrichtline (policy = "permit") auf "deny" setzen.

    (hab übrigens auch mal 2 Semester Cisco CCNA gemacht)
     
  13. xsapling

    xsapling Mitglied

    Registriert seit:
    30 Jan. 2005
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    gibt es denn kein Tool mit dem man sich die benötigten Zeilen erstellen lassen kann?
     
  14. dello

    dello Neuer User

    Registriert seit:
    24 Jan. 2006
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Lösung?

    Das sieht gut aus... Ich werde mal folgendes probieren:
    "permit ip 192.168.2.0 255.255.255.0 any eq 80"
    "permit ip 192.168.2.0 255.255.255.0 any eq 443"
    "deny ip 192.168.2.0 255.255.255.0 any"

    Danke, und Gruß

    dello
     
  15. xsapling

    xsapling Mitglied

    Registriert seit:
    30 Jan. 2005
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kurze Frage:

    An welche Stelle der ar7cfg müssen die Regeln eingetragen werden, so dass diese Ihre Arbeit wirksam verrichten?
     
  16. xsapling

    xsapling Mitglied

    Registriert seit:
    30 Jan. 2005
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    hat denn keiner ne Idee?
     
  17. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Hier:
    highoutput {
    policy = "permit";
    accesslist =

    Vor dem ersten Mal forwardrules, im Abschnitt DSL-Ifaces...

    MfG Oliver
     
  18. xsapling

    xsapling Mitglied

    Registriert seit:
    30 Jan. 2005
    Beiträge:
    755
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Vielen Dank Oli!
    Ist es auch möglich die Ports eines bestimmten/gezielten Rechners im Netzwerk zu sperren?
     
  19. Testmaster

    Testmaster Neuer User

    Registriert seit:
    28 Juni 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ja, würde mich auch interessieren.

    Gruß Testmaster
     
  20. danisahne

    danisahne Aktives Mitglied

    Registriert seit:
    30 Juli 2005
    Beiträge:
    1,493
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    Informatik Studium
    Ort:
    Marktoberdorf
    Versuch doch mal die Subnetzmaske 255.255.255.255 anstatt 255.255.255.0 und dann mit der IP anstatt der Netzadresse. Wenn alle Stricke reissen und es nicht mit Boardmitteln geht (oder du den die Ports auch von z.B. LAN A nach LAN B sperren willst), dann kannst du immer noch iptables modden und es damit machen.

    Beispiel:
    Code:
    "permit ip 192.168.2.26 255.255.255.255 any eq 80"
    "permit ip 192.168.2.26 255.255.255.255 any eq 443"
    "deny ip 192.168.2.26 255.255.255.255 any"
    Aber versuch es mal mit der anderen Subnetzmaske. TCP/IP Kenntnisse vorhanden?

    Mfg,
    danisahne