.titleBar { margin-bottom: 5px!important; }

Port80 nach außen öffnen

Dieses Thema im Forum "Freetz" wurde erstellt von scuba, 5 Okt. 2008.

  1. scuba

    scuba Neuer User

    Registriert seit:
    9 Sep. 2008
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 scuba, 5 Okt. 2008
    Zuletzt bearbeitet: 5 Okt. 2008
    Meine Konfiguration: 7270 16MB mit Firmware-Version 54.04.63freetz-devel-2631

    Zur Zeit habe ich folgende forwarding-Regeln mit dem freetz-AVM-Firewall-Konfigurator erstellt:

    Code:
    tcp 0.0.0.0:478 0.0.0.0:478 0 # fritz webui
    tcp 0.0.0.0:21 0.0.0.0:21 0 # vsftpd
    tcp 0.0.0.0:443 0.0.0.0:22 0 # sshd
    Nun habe ich probiert, mit einer weiteren Regel

    Code:
    tcp 0.0.0.0:80 0.0.0.0:22 0 # http2sshd
    den SSH-Server auch per Port 80 nach außen lauschen zu lassen. Nötig ist das, weil ich teilweise in einer sehr restriktiven Firewallumgebung sitze.

    Leider scheint der Port schon belegt zu sein (evtl vom Standard-Fritz-Webserver?). Jedenfalls antwortet bei einem Verbindungsversuch von außen nichts auf Port 80. Der Zugriff auf Port 443 per ssh funktionert weiterhin.
     
  2. McNetic

    McNetic Mitglied

    Registriert seit:
    7 Feb. 2007
    Beiträge:
    672
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    Aachen
    Klar; der Fritz-Webserver lauscht auf Port 80. Ich glaube auch nicht, daß man ihm beibringen kann, nicht auf allen Interfaces zu lauschen...
     
  3. schussel

    schussel Neuer User

    Registriert seit:
    12 Juli 2007
    Beiträge:
    57
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich glaube es ist besser (solange noch unbenutzt) den Port 443 anstatt den 80er zu nehmen.

    Gruss
     
  4. cuma

    cuma Aktives Mitglied

    Registriert seit:
    16 Dez. 2006
    Beiträge:
    2,735
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Es ist eigentlich egal, ob auf dem Port bereits ein Server läuft oder nicht. Wichtig ist nur an welches Stelle die Regel greift. Im Zweifel iptables nutzen: 500px-Iptables.png
     
  5. scuba

    scuba Neuer User

    Registriert seit:
    9 Sep. 2008
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie ich oben bereits erwähnte, bin ich auf Port 80 angewiesen, da die Umgebung, aus der ich auf die Box zugreifen will, mir nur das erlaubt.

    Ich habe inzwischen folgende Fortschritte erzielt:
    - Mittels
    Code:
    nvi /avr/flash/ar7.cfg
    ar7cfgchanged
    reboot
    den Port des websrv von 80 auf 79 geändert

    Wenn ich jetzt folgendes Regelwerk verwende, dann kann ich per Port 80 auf den sshd connecten:

    Code:
    tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd
    #tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd
    (Die Regel 443->22 ist dabei deaktiviert).

    Sobald ich aber beide Regeln aktiviere, also
    Code:
    tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd
    tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd
    ist nur der connect über Port 443 möglich. Auf Port 80 laufe ich in einen Timeout. Ist es denn nicht möglich, zwei unterschiedliche Ports auf den selben weiterzuleiten?
     
  6. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    kannst du mal die kompletten zeilen aus der ar7.cfg zitieren, wenn du das oben schon geamcht hast fehlt da nen komma, oder?
     
  7. scuba

    scuba Neuer User

    Registriert seit:
    9 Sep. 2008
    Beiträge:
    24
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also die ar7.cfg sieht nach der Veränderung so aus:

    Code:
    ...
    websrv {
            [COLOR="Red"]port = "79";[/COLOR]
            https_port = "478";
            ...
    }
    ...
    Was meinst Du mit dem 'Komma' ?
     
  8. matze1985

    matze1985 Aktives Mitglied

    Registriert seit:
    17 Feb. 2007
    Beiträge:
    1,537
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ne ich meinte die forwarding regeln aus der ar7
     
  9. colonia27

    colonia27 Guest

    Code:
    tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd[B][COLOR="Red"],[/COLOR][/B]
    #tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd[B][COLOR="Red"];[/COLOR][/B]
    Code:
    tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd[B][COLOR="Red"],[/COLOR][/B]
    tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd[B][COLOR="Red"];[/COLOR][/B]
    glaube das wars was matze meinte.
     
  10. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ich würde hierzu noch sogar diese "0" und # samt Comments dahinter komplett weg lassen. Ich hatte damit irgendwie immer Probleme. Kann es sein, dass AVM-Firewall solche kommentierten Regeln als mit WEB-IF erstellte Regeln betrachtet und daher Weiterleitung auf 0.0.0.0 verbietet?

    MfG
     
  11. colonia27

    colonia27 Guest

    das würde auch erklären warum diese Weiterleitungen
    (bei mir z.B. tcp 0.0.0.0:22 0.0.0.0:22 0 # ssh,)
    plötzlich bei mir im Web-IF auftauchen und sich dadurch keine der Porteinstellungen mehr ändern bzw. anlegen lassen.
    Hatte ich auch hier schon mal nachgefragt, aber kein feedback bekommen.
     
  12. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Weiß eigentlich jemand, was die 0 ganz am Ende der Zeile bedeutet?

    Außerdem kapiere ich nicht, dass die Trennzeichen (Kommas und Semikolons) immer erst hinter den Kommentaren (mit #) kommen. Ist das so gewollt/normal?
    Ich dachte, dass alles, was hinter dem # kommt, eben ein Kommentar ist und daher ignoriert wird.
    Wenn da aber noch Trennzeichen wie Kommas und Semikolons hinten nachfolgen, könnte es doch evtl. Probleme geben (es sei denn, das ist die richtige Syntax).
     
  13. ao

    ao Aktives Mitglied

    Registriert seit:
    15 Aug. 2005
    Beiträge:
    2,078
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Da mich das Thema bis heute auch mit Problemen auf Trab gehalten hatte und ich inzwischen mit Hilfe anderer hier aus dem Forum die Lösung gefunden habe, habe ich im Freetz-Wiki unter dropbear die Lösung beschrieben (ist auf alle Ports übertragbar).

    Es sei außerdem noch auf die Möglichkeit der dynamischen Portweiterleitung hingewiesen (was ich aber noch nicht getestet habe).
     
  14. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Hast du mal eine Portrange freigegeben? Wie wird die denn eingetragen?

    Ich denke der Kommenatr (nach #) steht als Bezeichnung im Webinterface?

    MfG Oliver
     
  15. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ...hmm, in dem genannten Beitrag und dem Screenshot steht aber eine Freigabe auf Port 9090 und die Box-IP (nicht 0.0.0.0)??? Solche Regeln sind (und waren schon immer) im WebIF sichtbar, man konnte sie nur nicht eintragen oder wenn man diese Einträge in der ar7.cfg vorgenommen hast (wie du bemerkt hast) danach noch was ändern...

    Der # steht wie schon gesagt als Abgrenzung für die "Bezeichnung" im Webif, (@ao: aber innerhalb eines Strings mit "" umgeben, daher ist das ,/; dahinter kein Problem).
    Was die "0" dort bedeutet, habe ich auch noch nicht rausbekommen, ich hatte damit mal kurz rumgespielt und andere Werte eingestellt, aber wenn ich mich recht erinnere keinen Unterschied feststellen können....

    Zumindest bei meinen Boxen (bis zur 06.04.49) funktionieren Weiterleitungen auf 0.0.0.0 unabhängig, ob mit oder ohne "0 # <Bezeichnung>" dahinter, das mag aber auch recht Versionsabhängig sein...

    Jörg
     
  16. colonia27

    colonia27 Guest

    oh ja, stimmt. da bin ich wohl mit meinen Problemen etwas durcheinander gekommen. die Weiterleitungen auf 0.0.0.0 sind nach wie vor unsichtbar.

    Dann ist es mir wohl früher nie aufgefallen, daß Weiterl. auf die Box-IP in der ar7 im Web-IF sichtbar werden.

    Nehme alles zurück und behaupte das Gegenteil.
     
  17. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,919
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    ... is scho recht, hätte mich nur gewundert, aber bei AVM ist ja auch nix unmöglich ;-)