Port80 nach außen öffnen

scuba

Neuer User
Mitglied seit
9 Sep 2008
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Meine Konfiguration: 7270 16MB mit Firmware-Version 54.04.63freetz-devel-2631

Zur Zeit habe ich folgende forwarding-Regeln mit dem freetz-AVM-Firewall-Konfigurator erstellt:

Code:
tcp 0.0.0.0:478 0.0.0.0:478 0 # fritz webui
tcp 0.0.0.0:21 0.0.0.0:21 0 # vsftpd
tcp 0.0.0.0:443 0.0.0.0:22 0 # sshd
Nun habe ich probiert, mit einer weiteren Regel

Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http2sshd
den SSH-Server auch per Port 80 nach außen lauschen zu lassen. Nötig ist das, weil ich teilweise in einer sehr restriktiven Firewallumgebung sitze.

Leider scheint der Port schon belegt zu sein (evtl vom Standard-Fritz-Webserver?). Jedenfalls antwortet bei einem Verbindungsversuch von außen nichts auf Port 80. Der Zugriff auf Port 443 per ssh funktionert weiterhin.
 
Zuletzt bearbeitet:

McNetic

Mitglied
Mitglied seit
7 Feb 2007
Beiträge
674
Punkte für Reaktionen
0
Punkte
16
Klar; der Fritz-Webserver lauscht auf Port 80. Ich glaube auch nicht, daß man ihm beibringen kann, nicht auf allen Interfaces zu lauschen...
 

schussel

Neuer User
Mitglied seit
12 Jul 2007
Beiträge
57
Punkte für Reaktionen
0
Punkte
0
Ich glaube es ist besser (solange noch unbenutzt) den Port 443 anstatt den 80er zu nehmen.

Gruss
 

cuma

Aktives Mitglied
Mitglied seit
16 Dez 2006
Beiträge
2,756
Punkte für Reaktionen
6
Punkte
38
Es ist eigentlich egal, ob auf dem Port bereits ein Server läuft oder nicht. Wichtig ist nur an welches Stelle die Regel greift. Im Zweifel iptables nutzen: 500px-Iptables.png
 

scuba

Neuer User
Mitglied seit
9 Sep 2008
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Ich glaube es ist besser (solange noch unbenutzt) den Port 443 anstatt den 80er zu nehmen.
Wie ich oben bereits erwähnte, bin ich auf Port 80 angewiesen, da die Umgebung, aus der ich auf die Box zugreifen will, mir nur das erlaubt.

Ich habe inzwischen folgende Fortschritte erzielt:
- Mittels
Code:
nvi /avr/flash/ar7.cfg
ar7cfgchanged
reboot
den Port des websrv von 80 auf 79 geändert

Wenn ich jetzt folgendes Regelwerk verwende, dann kann ich per Port 80 auf den sshd connecten:

Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd
#tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd
(Die Regel 443->22 ist dabei deaktiviert).

Sobald ich aber beide Regeln aktiviere, also
Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd
tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd
ist nur der connect über Port 443 möglich. Auf Port 80 laufe ich in einen Timeout. Ist es denn nicht möglich, zwei unterschiedliche Ports auf den selben weiterzuleiten?
 

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
kannst du mal die kompletten zeilen aus der ar7.cfg zitieren, wenn du das oben schon geamcht hast fehlt da nen komma, oder?
 

scuba

Neuer User
Mitglied seit
9 Sep 2008
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
kannst du mal die kompletten zeilen aus der ar7.cfg zitieren, wenn du das oben schon geamcht hast fehlt da nen komma, oder?
Also die ar7.cfg sieht nach der Veränderung so aus:

Code:
...
websrv {
        [COLOR="Red"]port = "79";[/COLOR]
        https_port = "478";
        ...
}
...
Was meinst Du mit dem 'Komma' ?
 

matze1985

Aktives Mitglied
Mitglied seit
17 Feb 2007
Beiträge
1,537
Punkte für Reaktionen
0
Punkte
0
ne ich meinte die forwarding regeln aus der ar7
 
C

colonia27

Guest
Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd[B][COLOR="Red"],[/COLOR][/B]
#tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd[B][COLOR="Red"];[/COLOR][/B]
Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd[B][COLOR="Red"],[/COLOR][/B]
tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd[B][COLOR="Red"];[/COLOR][/B]
glaube das wars was matze meinte.
 

hermann72pb

IPPF-Promi
Mitglied seit
6 Nov 2005
Beiträge
3,618
Punkte für Reaktionen
2
Punkte
38
ich würde hierzu noch sogar diese "0" und # samt Comments dahinter komplett weg lassen. Ich hatte damit irgendwie immer Probleme. Kann es sein, dass AVM-Firewall solche kommentierten Regeln als mit WEB-IF erstellte Regeln betrachtet und daher Weiterleitung auf 0.0.0.0 verbietet?

MfG
 
C

colonia27

Guest
Kann es sein, dass AVM-Firewall solche kommentierten Regeln als mit WEB-IF erstellte Regeln betrachtet und daher Weiterleitung auf 0.0.0.0 verbietet?
das würde auch erklären warum diese Weiterleitungen
(bei mir z.B. tcp 0.0.0.0:22 0.0.0.0:22 0 # ssh,)
plötzlich bei mir im Web-IF auftauchen und sich dadurch keine der Porteinstellungen mehr ändern bzw. anlegen lassen.
Hatte ich auch hier schon mal nachgefragt, aber kein feedback bekommen.
 

ao

Aktives Mitglied
Mitglied seit
15 Aug 2005
Beiträge
2,078
Punkte für Reaktionen
0
Punkte
0
Weiß eigentlich jemand, was die 0 ganz am Ende der Zeile bedeutet?

Außerdem kapiere ich nicht, dass die Trennzeichen (Kommas und Semikolons) immer erst hinter den Kommentaren (mit #) kommen. Ist das so gewollt/normal?
Ich dachte, dass alles, was hinter dem # kommt, eben ein Kommentar ist und daher ignoriert wird.
Wenn da aber noch Trennzeichen wie Kommas und Semikolons hinten nachfolgen, könnte es doch evtl. Probleme geben (es sei denn, das ist die richtige Syntax).
 

ao

Aktives Mitglied
Mitglied seit
15 Aug 2005
Beiträge
2,078
Punkte für Reaktionen
0
Punkte
0
Da mich das Thema bis heute auch mit Problemen auf Trab gehalten hatte und ich inzwischen mit Hilfe anderer hier aus dem Forum die Lösung gefunden habe, habe ich im Freetz-Wiki unter dropbear die Lösung beschrieben (ist auf alle Ports übertragbar).

Es sei außerdem noch auf die Möglichkeit der dynamischen Portweiterleitung hingewiesen (was ich aber noch nicht getestet habe).
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Hast du mal eine Portrange freigegeben? Wie wird die denn eingetragen?

Ich denke der Kommenatr (nach #) steht als Bezeichnung im Webinterface?

MfG Oliver
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
0
Punkte
36
das würde auch erklären warum diese Weiterleitungen
(bei mir z.B. tcp 0.0.0.0:22 0.0.0.0:22 0 # ssh,)
plötzlich bei mir im Web-IF auftauchen...
...hmm, in dem genannten Beitrag und dem Screenshot steht aber eine Freigabe auf Port 9090 und die Box-IP (nicht 0.0.0.0)??? Solche Regeln sind (und waren schon immer) im WebIF sichtbar, man konnte sie nur nicht eintragen oder wenn man diese Einträge in der ar7.cfg vorgenommen hast (wie du bemerkt hast) danach noch was ändern...

Der # steht wie schon gesagt als Abgrenzung für die "Bezeichnung" im Webif, (@ao: aber innerhalb eines Strings mit "" umgeben, daher ist das ,/; dahinter kein Problem).
Was die "0" dort bedeutet, habe ich auch noch nicht rausbekommen, ich hatte damit mal kurz rumgespielt und andere Werte eingestellt, aber wenn ich mich recht erinnere keinen Unterschied feststellen können....

Zumindest bei meinen Boxen (bis zur 06.04.49) funktionieren Weiterleitungen auf 0.0.0.0 unabhängig, ob mit oder ohne "0 # <Bezeichnung>" dahinter, das mag aber auch recht Versionsabhängig sein...

Jörg
 
C

colonia27

Guest
...hmm, in dem genannten Beitrag und dem Screenshot steht aber eine Freigabe auf Port 9090 und die Box-IP (nicht 0.0.0.0)???
oh ja, stimmt. da bin ich wohl mit meinen Problemen etwas durcheinander gekommen. die Weiterleitungen auf 0.0.0.0 sind nach wie vor unsichtbar.

Dann ist es mir wohl früher nie aufgefallen, daß Weiterl. auf die Box-IP in der ar7 im Web-IF sichtbar werden.

Nehme alles zurück und behaupte das Gegenteil.
 

MaxMuster

IPPF-Promi
Mitglied seit
1 Feb 2005
Beiträge
6,932
Punkte für Reaktionen
0
Punkte
36
... is scho recht, hätte mich nur gewundert, aber bei AVM ist ja auch nix unmöglich ;-)
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,355
Beiträge
2,021,492
Mitglieder
349,917
Neuestes Mitglied
pm3000