Mit Firewall.cgi die Ports trennen?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

Strandläufer

Neuer User
Mitglied seit
16 Jan 2006
Beiträge
58
Punkte für Reaktionen
0
Punkte
6
Ich bin schon länger auf der Suche nach einer Möglichkeit bei der Fritz!Box fon 7050 die Ethernet Ports so zu trennen, daß Freigaben nicht auf allen Ports sichtbar sind (Bei meinem alten Draytek Router hieß so etwas VLAN). Zunächst dachte ich, daß es reicht "Alle Computer befinden sich im selben IP-Netzwerk" auszuschalten. Das hat aber nicht wie gewünscht funktioniert. Zwar bekamen jetzt alle Nutzer je nach Port IP´s aus verschiedenen Segmenten. Sehen konnten sie sich aber sehr wohl und auch auf die Freigaben der jeweiligen Rechner konnte von allen Ports zugegriffen werden.
Jetzt habe ich mir beim letzten Update die Firewall.cgi mit einkompiliert. Auf den ersten Blick sieht es so aus, als wenn man irgendwie das gewünschte VLAN realisieren kann. Nur wie?
Was müsste ich machen um Port1 und Wlan von Port2 so zu trennen , daß Rechner an Port 2 nicht auf Freigaben (CIFS,NFS etc.) der Rechner an Port1 und WLan zugreifen können? Port1 und Wlan Rechner sollten dies können. Und an allen Ports soll das Internet verfügbar sein.
 
also "vlan" (echtes vlan) oder "pseudo-vlan" (konfigurierbarer switch wie u.a. in linksys geräten) ist meines wissens nach mit der fritzbox leider nicht möglich.

mit dem firewall-cgi lässt sich zwar auch einiges machen, aber nicht genau das, was du suchst. machbar wäre:
- deaktivieren von "alle geräte befinden sich im selben netzwerk"
- vergeben von unterschiedlichen ip bereichen für die verschiedenen anschlüsse
- hinzufügen von "whitelist" einträgen in firewall-cgi nach beispiel
192.168.23.0/24 * 53,T80,T443

an sonsten bleibt dir noch die möglichkeit, eigene iptables regeln zu erstellen und zb über die debug.cfg beim booten setzen zu lassen.
 
Genau das hab ich auch bei mir gemacht, was du vorhast. Die Vorgehensweise ist abhängig, ob alle PCs im gleichen Subnetz sind oder nicht:

Die einfachste Lösung ist wenn diese nicht im gleichen Subnetz sind. Man gehe per telnet oder ssh auf die box und erstelle dann IP Tables - Regeln:
Code: 
iptables -A FORWARD  -i eth0 -o eth1   -j DROP     
iptables -A FORWARD  -i wlan -o eth1   -j DROP
iptables -A FORWARD  -i eth1 -o eth0   -j DROP
iptables -A FORWARD  -i eth1 -o wlan   -j DROP
Mit diesen Regeln trennt man die Weiterleitung der Netze LAN A und WLAN zwischen LAN B.
Aber vorsicht, falls du etws falsches eingibst kommt du eventuell nich mehr auf die Box, deshalb immer erst im Ram ausprobieren (damit du mit nem Neustart der Box den Fehler beheben kannst) und erst wenn alles geht in die Debug.cfg schreiben.

Ist es gewünscht, das Wlan und LAN A den gleichen IP bereich haben, muss man auch noch in der ar7.cfg etwas ändern (der hacken bei "Alle Computer im gleichen Subnetz" muss gesetzt sein):
Im Abschnitt BRinterfaces im Bereich LAN muss man eth1 als Interface rausnehmen, diesen Abschnitt von LAN kopieren und daran dann den Namen, die IP, und das Interface ändern (in dem Falle auf eth1), oder falls du brauchst auch den DHCP einstellen.
Das müsste dann an der Stelle ca. So aussehen:
Code: 
brinterfaces {
                name = "lan";
                dhcp = no;
                ipaddr = 192.168.0.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth0", "usbrndis", "tiwlan0", "wdsup0", 
                             "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                dhcpenabled = no;
                dhcpstart = 0.0.0.0;
                dhcpend = 0.0.0.0;
        } {
		name = "lanneu";
                dhcp = no;
                ipaddr = 192.168.10.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth1";
                dhcpenabled = yes;
                dhcpstart = 192.168.10.220;
                dhcpend = 192.168.10.230;
        }
Diese Datei muss man speichern und dann neustarten. Vorsicht, falls du etwas falsch konfiguriert hast, könntes es möglich sein das deine Box nicht mehr richtig startet oder erreichbar ist und du musst diese recovern.
Dann erstellt man wieder IP Tables regeln, analog zu der 1. Möglichkeit:
Code: 
iptables -A FORWARD  -i lan -o lanneu   -j DROP
iptables -A FORWARD  -i lanneu -o lan   -j DROP
lanneu ist der Vergebene Name für das hinzugefügte interface.

Man kann die regeln auch erweitern, sodass z.B. LAN B nicht mehr auf die Box zugreifen darf.

Ich hoffe ich konnte dir weiterhelfen.

MFg Matthias
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 803 (Mitglieder: 32, Gäste: 771)

Neueste Beiträge

Statistik des Forums

Themen
244,871
Beiträge
2,219,892
Mitglieder
371,592
Neuestes Mitglied
dtochtermann
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück