.titleBar { margin-bottom: 5px!important; }

Mit Firewall.cgi die Ports trennen?

Dieses Thema im Forum "Freetz" wurde erstellt von Strandläufer, 13 Feb. 2007.

  1. Strandläufer

    Strandläufer Neuer User

    Registriert seit:
    16 Jan. 2006
    Beiträge:
    58
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Ostfriesland
    Ich bin schon länger auf der Suche nach einer Möglichkeit bei der Fritz!Box fon 7050 die Ethernet Ports so zu trennen, daß Freigaben nicht auf allen Ports sichtbar sind (Bei meinem alten Draytek Router hieß so etwas VLAN). Zunächst dachte ich, daß es reicht "Alle Computer befinden sich im selben IP-Netzwerk" auszuschalten. Das hat aber nicht wie gewünscht funktioniert. Zwar bekamen jetzt alle Nutzer je nach Port IP´s aus verschiedenen Segmenten. Sehen konnten sie sich aber sehr wohl und auch auf die Freigaben der jeweiligen Rechner konnte von allen Ports zugegriffen werden.
    Jetzt habe ich mir beim letzten Update die Firewall.cgi mit einkompiliert. Auf den ersten Blick sieht es so aus, als wenn man irgendwie das gewünschte VLAN realisieren kann. Nur wie?
    Was müsste ich machen um Port1 und Wlan von Port2 so zu trennen , daß Rechner an Port 2 nicht auf Freigaben (CIFS,NFS etc.) der Rechner an Port1 und WLan zugreifen können? Port1 und Wlan Rechner sollten dies können. Und an allen Ports soll das Internet verfügbar sein.
     
  2. knox

    knox Mitglied

    Registriert seit:
    20 Mai 2006
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    also "vlan" (echtes vlan) oder "pseudo-vlan" (konfigurierbarer switch wie u.a. in linksys geräten) ist meines wissens nach mit der fritzbox leider nicht möglich.

    mit dem firewall-cgi lässt sich zwar auch einiges machen, aber nicht genau das, was du suchst. machbar wäre:
    - deaktivieren von "alle geräte befinden sich im selben netzwerk"
    - vergeben von unterschiedlichen ip bereichen für die verschiedenen anschlüsse
    - hinzufügen von "whitelist" einträgen in firewall-cgi nach beispiel
    192.168.23.0/24 * 53,T80,T443

    an sonsten bleibt dir noch die möglichkeit, eigene iptables regeln zu erstellen und zb über die debug.cfg beim booten setzen zu lassen.
     
  3. 3dfxatwork

    3dfxatwork Neuer User

    Registriert seit:
    22 Juli 2005
    Beiträge:
    112
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Halle
    Genau das hab ich auch bei mir gemacht, was du vorhast. Die Vorgehensweise ist abhängig, ob alle PCs im gleichen Subnetz sind oder nicht:

    Die einfachste Lösung ist wenn diese nicht im gleichen Subnetz sind. Man gehe per telnet oder ssh auf die box und erstelle dann IP Tables - Regeln:
    Code:
    iptables -A FORWARD  -i eth0 -o eth1   -j DROP     
    iptables -A FORWARD  -i wlan -o eth1   -j DROP
    iptables -A FORWARD  -i eth1 -o eth0   -j DROP
    iptables -A FORWARD  -i eth1 -o wlan   -j DROP
    
    Mit diesen Regeln trennt man die Weiterleitung der Netze LAN A und WLAN zwischen LAN B.
    Aber vorsicht, falls du etws falsches eingibst kommt du eventuell nich mehr auf die Box, deshalb immer erst im Ram ausprobieren (damit du mit nem Neustart der Box den Fehler beheben kannst) und erst wenn alles geht in die Debug.cfg schreiben.

    Ist es gewünscht, das Wlan und LAN A den gleichen IP bereich haben, muss man auch noch in der ar7.cfg etwas ändern (der hacken bei "Alle Computer im gleichen Subnetz" muss gesetzt sein):
    Im Abschnitt BRinterfaces im Bereich LAN muss man eth1 als Interface rausnehmen, diesen Abschnitt von LAN kopieren und daran dann den Namen, die IP, und das Interface ändern (in dem Falle auf eth1), oder falls du brauchst auch den DHCP einstellen.
    Das müsste dann an der Stelle ca. So aussehen:
    Code:
    brinterfaces {
                    name = "lan";
                    dhcp = no;
                    ipaddr = 192.168.0.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth0", "usbrndis", "tiwlan0", "wdsup0", 
                                 "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                    dhcpenabled = no;
                    dhcpstart = 0.0.0.0;
                    dhcpend = 0.0.0.0;
            } {
    		name = "lanneu";
                    dhcp = no;
                    ipaddr = 192.168.10.1;
                    netmask = 255.255.255.0;
                    dstipaddr = 0.0.0.0;
                    interfaces = "eth1";
                    dhcpenabled = yes;
                    dhcpstart = 192.168.10.220;
                    dhcpend = 192.168.10.230;
            }
    Diese Datei muss man speichern und dann neustarten. Vorsicht, falls du etwas falsch konfiguriert hast, könntes es möglich sein das deine Box nicht mehr richtig startet oder erreichbar ist und du musst diese recovern.
    Dann erstellt man wieder IP Tables regeln, analog zu der 1. Möglichkeit:
    Code:
    iptables -A FORWARD  -i lan -o lanneu   -j DROP
    iptables -A FORWARD  -i lanneu -o lan   -j DROP
    
    lanneu ist der Vergebene Name für das hinzugefügte interface.

    Man kann die regeln auch erweitern, sodass z.B. LAN B nicht mehr auf die Box zugreifen darf.

    Ich hoffe ich konnte dir weiterhelfen.

    MFg Matthias