[Frage] Port Forwarding auf gewisse ext. IP's beschränken?

herbert11

Neuer User
Mitglied seit
8 Aug 2009
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Habt ihr vielleicht eine Idee wie man das Port Forwarding auf gewisse IP's beschränken kann, sodass zum Beispiel nur Anfragen von der IP 81.171.230.52 geforwarded werden?
Beispiel zum besseren Verständnis:
Portfreigabe: 0.0.0.0:80 -> 192.168.178.44:80
Anfrage von 81.171.230.52:80 -> 192.168.178.44:80
Anfrage von 55.144.78.90:80 (oder irgendeiner anderen IP die nicht auf der Whitelist steht) -> Fehler
 

karpe

Mitglied
Mitglied seit
22 Dez 2004
Beiträge
578
Punkte für Reaktionen
1
Punkte
18
Mit einer "richtigen" Firewall kein Problem, mit 'ner Fritz Box geht das derzeit nicht.

Klaus
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
646
Punkte für Reaktionen
3
Punkte
18
Nachdem hier das "AVMFRITZ!Box Fon: Modifikationen"-Forum ist, würde ich mal behaupten, das geht schon.

Ich sehe mehrere Möglichkeiten.
Die erste ist vermutlich die einfachste und beste, habe ich aber so noch nicht ausprobiert.

Die Portweiterleitungen stehen in der Datei /var/flash/ar7.cfg unter
Code:
ar7cfg {
dslifaces {
dsldpconfig { forwardrules =
                            "tcp 0.0.0.0:80 192.168.178.44:80 0 # HTTP-Server";                           
}
}
}
Man könnte mal versuchen, das manuell zu editieren, und die 0.0.0.0 durch die die gewünschte IP Adresse zu ersetzen. 'ar7cfgchanged' nach der Änderung ausführen oder die Box neu starten.

Wichtig: Die Regeln stehe jeweils in Anführungszeichen. Wenn mehrere Regeln eingetragen sind, muss zwischen den Regeln eine Koma stehen. Nach der letzten Regel steht ein Semikolon.

Ob das zum gewünschten Ergebnis führt, habe ich nicht getestet. Sollte aber m. E.
Es kann eigentlich auch nichts kaputt gehen.
Einstellungen vorher sichern und für den schlimmsten Fall ein Recoverimage bereit halten.

Gruß
maceis
 
Zuletzt bearbeitet:

herbert11

Neuer User
Mitglied seit
8 Aug 2009
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Nachdem hier das "AVMFRITZ!Box Fon: Modifikationen"-Forum ist, würde ich mal behaupten, das geht schon.

Ich sehe mehrere Möglichkeiten.
Die erste ist vermutlich die einfachste und beste, habe ich aber so noch nicht ausprobiert.

Die Portweiterleitungen stehen in der Datei /var/flash/ar7.cfg unter
Code:
ar7cfg {
dslifaces {
dsldpconfig { forwardrules =
                            "tcp 0.0.0.0:80 192.168.178.44:80 0 # HTTP-Server";                           
}
}
}
Man könnte mal versuchen, das manuell zu editieren, und die 0.0.0.0 durch die die gewünschte IP Adresse zu ersetzen. 'ar7cfgchanged' nach der Änderung ausführen oder die Box neu starten.

Wichtig: Die Regeln stehe jeweils in Anführungszeichen. Wenn mehrere Regeln eingetragen sind, muss zwischen den Regeln eine Koma stehen. Nach der letzten Regel steht ein Semikolon.

Ob das zum gewünschten Ergebnis führt, habe ich nicht getestet. Sollte aber m. E.
Es kann eigentlich auch nichts kaputt gehen.
Einstellungen vorher sichern und für den schlimmsten Fall ein Recoverimage bereit halten.

Gruß
maceis
Vielen Dank, so funktioniert es, aber es werden nur IPv4 Addressen unterstützt, ich bräuchte aber eine IPv6 und Domain (für DynDNS) Unterstützung. Gibt es da auch so eine ähnliche Lösung die mir noch nicht in den Sinn gekommen ist? :confused:
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
646
Punkte für Reaktionen
3
Punkte
18
Ich selbst nutze IPv6 nicht.
Soweit ich mich erinnern kann, kann man bei Freetz, die IPv6 Unterstützung aktivieren.
Ob die Fritzbox das von Haus aus mittlerweile auch kann, weiß ich nicht.

Wenn Du ständig wechselnde IP Adressen hast, fällt mir persönlich nur eine Lösung mit einem Sktript ein, dass regelmäßig die Adressauflösung macht und dann die ar7.cfg automatisch editiert und die Einstellungen neu lädt.

An der Stelle möchte ich vorschlagen, dass Du Dir eine Signatur zulegst, aus der man zumindest sieht, welche Firmware und welche Box Du hast.
Vielleicht kann Dir dann bezüglich IPv6 jemand anders konkret weiterhelfen.
 

karpe

Mitglied
Mitglied seit
22 Dez 2004
Beiträge
578
Punkte für Reaktionen
1
Punkte
18
....ich bräuchte aber eine IPv6 und Domain (für DynDNS) Unterstützung.......
Die aktuelle Laborfirmware unterstützt im Zusammenhang mit dyn.com dynamische IPv6 Eintragungen. Ansonsten kannst Du Dir über Sixxs einen festen IPv6 Bereich besorgen, dann hast Du feste Adressen. Die aktuell supporteten Fritz Boxen (7270, 7390) unterstützen voll IPv6.
 

herbert11

Neuer User
Mitglied seit
8 Aug 2009
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Ich selbst nutze IPv6 nicht.
Ich auch nicht, ist aber zeitnah geplant.

Wenn Du ständig wechselnde IP Adressen hast, fällt mir persönlich nur eine Lösung mit einem Sktript ein, dass regelmäßig die Adressauflösung macht und dann die ar7.cfg automatisch editiert und die Einstellungen neu lädt.
Das hört sich interessant an, wie sähe den so ein Skript aus?

An der Stelle möchte ich vorschlagen, dass Du Dir eine Signatur zulegst, aus der man zumindest sieht, welche Firmware und welche Box Du hast.
Schon erledigt :D

Die aktuelle Laborfirmware unterstützt im Zusammenhang mit dyn.com dynamische IPv6 Eintragungen.
Das schaue ich mir mal an. ;)
 

DualIP

Neuer User
Mitglied seit
26 Jun 2011
Beiträge
44
Punkte für Reaktionen
0
Punkte
0
To get back to original question:
Don't look into NAT stuff in ar7.cfg, look to firewall rules instead.
On incoming rules, add stuff like this (to make your internal webserver only accessible from external IP 81.171.230.52)
allow tcp 81.171.230.52 -> ANY:80
block any -> ANY:80
On freetzed box, this can be done from web interface
 

maceis

Mitglied
Mitglied seit
9 Apr 2006
Beiträge
646
Punkte für Reaktionen
3
Punkte
18
Firewall rules won't forward any traffic from outside to any machine inside with private IP addresses.
The original question didn't aim at accessing the internal webserver of the box itself.

It should also be mentioned, that the AVM firewall, which can be configured in ar7.cfg is not very stable and not intended to be used as a 'real' packet filter.
The other day I added only four simple rules to end up in a reboot loop.

Besides
Shouldn't it be permit instead of allow and reject or deny instead of block?
 

DualIP

Neuer User
Mitglied seit
26 Jun 2011
Beiträge
44
Punkte für Reaktionen
0
Punkte
0
Firewall rules won't forward any traffic from outside to any machine inside with private IP addresses.
Indeed, firewall rules don't do the NAT-ting. You still need a port forward.
Aim of suggested firewall rules is to filter your existing port forward.
The other day I added only four simple rules to end up in a reboot loop.
I used freetz GUI to add 4 outgoing rules in my current 7340 without any problems. Manual editing is prone to typos and syntax errors resulting in invalid ar7.cfg file
 

dfritz

Neuer User
Mitglied seit
28 Aug 2004
Beiträge
23
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe hier gerade eine 7390 mit FRITZ!OS 05.22 vor mir und möchte auch gerne das Forwarding auf eine IP oder eine Netmask beschränken. Leider klappt bei mir das ersetzen der 0.0.0.0 durch die gewünschte IP Adressse nicht. Hat noch jemand einen Tip ?
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,350
Beiträge
2,033,132
Mitglieder
351,932
Neuestes Mitglied
Retlaw