.titleBar { margin-bottom: 5px!important; }

[Frage] Port Forwarding auf gewisse ext. IP's beschränken?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von herbert11, 31 Dez. 2011.

  1. herbert11

    herbert11 Neuer User

    Registriert seit:
    8 Aug. 2009
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Habt ihr vielleicht eine Idee wie man das Port Forwarding auf gewisse IP's beschränken kann, sodass zum Beispiel nur Anfragen von der IP 81.171.230.52 geforwarded werden?
    Beispiel zum besseren Verständnis:
    Portfreigabe: 0.0.0.0:80 -> 192.168.178.44:80
    Anfrage von 81.171.230.52:80 -> 192.168.178.44:80
    Anfrage von 55.144.78.90:80 (oder irgendeiner anderen IP die nicht auf der Whitelist steht) -> Fehler
     
  2. karpe

    karpe Mitglied

    Registriert seit:
    22 Dez. 2004
    Beiträge:
    578
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Beruf:
    Dipl.-Ing. Spezialität Rechnernetze
    Ort:
    Hamburg
    Mit einer "richtigen" Firewall kein Problem, mit 'ner Fritz Box geht das derzeit nicht.

    Klaus
     
  3. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    628
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    #3 maceis, 1 Jan. 2012
    Zuletzt bearbeitet: 1 Jan. 2012
    Nachdem hier das "AVMFRITZ!Box Fon: Modifikationen"-Forum ist, würde ich mal behaupten, das geht schon.

    Ich sehe mehrere Möglichkeiten.
    Die erste ist vermutlich die einfachste und beste, habe ich aber so noch nicht ausprobiert.

    Die Portweiterleitungen stehen in der Datei /var/flash/ar7.cfg unter
    Code:
    ar7cfg {
    dslifaces {
    dsldpconfig { forwardrules =
                                "tcp 0.0.0.0:80 192.168.178.44:80 0 # HTTP-Server";                           
    }
    }
    }
    Man könnte mal versuchen, das manuell zu editieren, und die 0.0.0.0 durch die die gewünschte IP Adresse zu ersetzen. 'ar7cfgchanged' nach der Änderung ausführen oder die Box neu starten.

    Wichtig: Die Regeln stehe jeweils in Anführungszeichen. Wenn mehrere Regeln eingetragen sind, muss zwischen den Regeln eine Koma stehen. Nach der letzten Regel steht ein Semikolon.

    Ob das zum gewünschten Ergebnis führt, habe ich nicht getestet. Sollte aber m. E.
    Es kann eigentlich auch nichts kaputt gehen.
    Einstellungen vorher sichern und für den schlimmsten Fall ein Recoverimage bereit halten.

    Gruß
    maceis
     
  4. herbert11

    herbert11 Neuer User

    Registriert seit:
    8 Aug. 2009
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Vielen Dank, so funktioniert es, aber es werden nur IPv4 Addressen unterstützt, ich bräuchte aber eine IPv6 und Domain (für DynDNS) Unterstützung. Gibt es da auch so eine ähnliche Lösung die mir noch nicht in den Sinn gekommen ist? :confused:
     
  5. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    628
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Ich selbst nutze IPv6 nicht.
    Soweit ich mich erinnern kann, kann man bei Freetz, die IPv6 Unterstützung aktivieren.
    Ob die Fritzbox das von Haus aus mittlerweile auch kann, weiß ich nicht.

    Wenn Du ständig wechselnde IP Adressen hast, fällt mir persönlich nur eine Lösung mit einem Sktript ein, dass regelmäßig die Adressauflösung macht und dann die ar7.cfg automatisch editiert und die Einstellungen neu lädt.

    An der Stelle möchte ich vorschlagen, dass Du Dir eine Signatur zulegst, aus der man zumindest sieht, welche Firmware und welche Box Du hast.
    Vielleicht kann Dir dann bezüglich IPv6 jemand anders konkret weiterhelfen.
     
  6. karpe

    karpe Mitglied

    Registriert seit:
    22 Dez. 2004
    Beiträge:
    578
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Beruf:
    Dipl.-Ing. Spezialität Rechnernetze
    Ort:
    Hamburg
    Die aktuelle Laborfirmware unterstützt im Zusammenhang mit dyn.com dynamische IPv6 Eintragungen. Ansonsten kannst Du Dir über Sixxs einen festen IPv6 Bereich besorgen, dann hast Du feste Adressen. Die aktuell supporteten Fritz Boxen (7270, 7390) unterstützen voll IPv6.
     
  7. herbert11

    herbert11 Neuer User

    Registriert seit:
    8 Aug. 2009
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich auch nicht, ist aber zeitnah geplant.

    Das hört sich interessant an, wie sähe den so ein Skript aus?

    Schon erledigt :D

    Das schaue ich mir mal an. ;)
     
  8. DualIP

    DualIP Neuer User

    Registriert seit:
    26 Juni 2011
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    To get back to original question:
    Don't look into NAT stuff in ar7.cfg, look to firewall rules instead.
    On incoming rules, add stuff like this (to make your internal webserver only accessible from external IP 81.171.230.52)
    On freetzed box, this can be done from web interface
     
  9. maceis

    maceis Mitglied

    Registriert seit:
    9 Apr. 2006
    Beiträge:
    628
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Firewall rules won't forward any traffic from outside to any machine inside with private IP addresses.
    The original question didn't aim at accessing the internal webserver of the box itself.

    It should also be mentioned, that the AVM firewall, which can be configured in ar7.cfg is not very stable and not intended to be used as a 'real' packet filter.
    The other day I added only four simple rules to end up in a reboot loop.

    Besides
    Shouldn't it be permit instead of allow and reject or deny instead of block?
     
  10. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich glaube, MaxMuster hat herausgefunden, dass man nicht mehr als drei gleichartige Regeln nacheinander verwenden darf. Aber ein wenig "Abwechslung", und schon geht es mit deutlich mehr Regeln.
     
  11. DualIP

    DualIP Neuer User

    Registriert seit:
    26 Juni 2011
    Beiträge:
    44
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Indeed, firewall rules don't do the NAT-ting. You still need a port forward.
    Aim of suggested firewall rules is to filter your existing port forward.
    I used freetz GUI to add 4 outgoing rules in my current 7340 without any problems. Manual editing is prone to typos and syntax errors resulting in invalid ar7.cfg file
     
  12. dfritz

    dfritz Neuer User

    Registriert seit:
    28 Aug. 2004
    Beiträge:
    23
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo zusammen,

    ich habe hier gerade eine 7390 mit FRITZ!OS 05.22 vor mir und möchte auch gerne das Forwarding auf eine IP oder eine Netmask beschränken. Leider klappt bei mir das ersetzen der 0.0.0.0 durch die gewünschte IP Adressse nicht. Hat noch jemand einen Tip ?