Port80 nach außen öffnen

scuba

Neuer User
Mitglied seit
9 Sep 2008
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Meine Konfiguration: 7270 16MB mit Firmware-Version 54.04.63freetz-devel-2631

Zur Zeit habe ich folgende forwarding-Regeln mit dem freetz-AVM-Firewall-Konfigurator erstellt:

Code:
tcp 0.0.0.0:478 0.0.0.0:478 0 # fritz webui
tcp 0.0.0.0:21 0.0.0.0:21 0 # vsftpd
tcp 0.0.0.0:443 0.0.0.0:22 0 # sshd

Nun habe ich probiert, mit einer weiteren Regel

Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http2sshd

den SSH-Server auch per Port 80 nach außen lauschen zu lassen. Nötig ist das, weil ich teilweise in einer sehr restriktiven Firewallumgebung sitze.

Leider scheint der Port schon belegt zu sein (evtl vom Standard-Fritz-Webserver?). Jedenfalls antwortet bei einem Verbindungsversuch von außen nichts auf Port 80. Der Zugriff auf Port 443 per ssh funktionert weiterhin.
 
Zuletzt bearbeitet:
Klar; der Fritz-Webserver lauscht auf Port 80. Ich glaube auch nicht, daß man ihm beibringen kann, nicht auf allen Interfaces zu lauschen...
 
Ich glaube es ist besser (solange noch unbenutzt) den Port 443 anstatt den 80er zu nehmen.

Gruss
 
Es ist eigentlich egal, ob auf dem Port bereits ein Server läuft oder nicht. Wichtig ist nur an welches Stelle die Regel greift. Im Zweifel iptables nutzen: 500px-Iptables.png
 
Ich glaube es ist besser (solange noch unbenutzt) den Port 443 anstatt den 80er zu nehmen.

Wie ich oben bereits erwähnte, bin ich auf Port 80 angewiesen, da die Umgebung, aus der ich auf die Box zugreifen will, mir nur das erlaubt.

Ich habe inzwischen folgende Fortschritte erzielt:
- Mittels
Code:
nvi /avr/flash/ar7.cfg
ar7cfgchanged
reboot
den Port des websrv von 80 auf 79 geändert

Wenn ich jetzt folgendes Regelwerk verwende, dann kann ich per Port 80 auf den sshd connecten:

Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd
#tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd

(Die Regel 443->22 ist dabei deaktiviert).

Sobald ich aber beide Regeln aktiviere, also
Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd
tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd
ist nur der connect über Port 443 möglich. Auf Port 80 laufe ich in einen Timeout. Ist es denn nicht möglich, zwei unterschiedliche Ports auf den selben weiterzuleiten?
 
kannst du mal die kompletten zeilen aus der ar7.cfg zitieren, wenn du das oben schon geamcht hast fehlt da nen komma, oder?
 
kannst du mal die kompletten zeilen aus der ar7.cfg zitieren, wenn du das oben schon geamcht hast fehlt da nen komma, oder?

Also die ar7.cfg sieht nach der Veränderung so aus:

Code:
...
websrv {
        [COLOR="Red"]port = "79";[/COLOR]
        https_port = "478";
        ...
}
...

Was meinst Du mit dem 'Komma' ?
 
ne ich meinte die forwarding regeln aus der ar7
 
Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd[B][COLOR="Red"],[/COLOR][/B]
#tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd[B][COLOR="Red"];[/COLOR][/B]

Code:
tcp 0.0.0.0:80 0.0.0.0:22 0 # http sshd[B][COLOR="Red"],[/COLOR][/B]
tcp 0.0.0.0:443 0.0.0.0:22 0 # https sshd[B][COLOR="Red"];[/COLOR][/B]

glaube das wars was matze meinte.
 
ich würde hierzu noch sogar diese "0" und # samt Comments dahinter komplett weg lassen. Ich hatte damit irgendwie immer Probleme. Kann es sein, dass AVM-Firewall solche kommentierten Regeln als mit WEB-IF erstellte Regeln betrachtet und daher Weiterleitung auf 0.0.0.0 verbietet?

MfG
 
Kann es sein, dass AVM-Firewall solche kommentierten Regeln als mit WEB-IF erstellte Regeln betrachtet und daher Weiterleitung auf 0.0.0.0 verbietet?

das würde auch erklären warum diese Weiterleitungen
(bei mir z.B. tcp 0.0.0.0:22 0.0.0.0:22 0 # ssh,)
plötzlich bei mir im Web-IF auftauchen und sich dadurch keine der Porteinstellungen mehr ändern bzw. anlegen lassen.
Hatte ich auch hier schon mal nachgefragt, aber kein feedback bekommen.
 
Weiß eigentlich jemand, was die 0 ganz am Ende der Zeile bedeutet?

Außerdem kapiere ich nicht, dass die Trennzeichen (Kommas und Semikolons) immer erst hinter den Kommentaren (mit #) kommen. Ist das so gewollt/normal?
Ich dachte, dass alles, was hinter dem # kommt, eben ein Kommentar ist und daher ignoriert wird.
Wenn da aber noch Trennzeichen wie Kommas und Semikolons hinten nachfolgen, könnte es doch evtl. Probleme geben (es sei denn, das ist die richtige Syntax).
 
Da mich das Thema bis heute auch mit Problemen auf Trab gehalten hatte und ich inzwischen mit Hilfe anderer hier aus dem Forum die Lösung gefunden habe, habe ich im Freetz-Wiki unter dropbear die Lösung beschrieben (ist auf alle Ports übertragbar).

Es sei außerdem noch auf die Möglichkeit der dynamischen Portweiterleitung hingewiesen (was ich aber noch nicht getestet habe).
 
Hast du mal eine Portrange freigegeben? Wie wird die denn eingetragen?

Ich denke der Kommenatr (nach #) steht als Bezeichnung im Webinterface?

MfG Oliver
 
das würde auch erklären warum diese Weiterleitungen
(bei mir z.B. tcp 0.0.0.0:22 0.0.0.0:22 0 # ssh,)
plötzlich bei mir im Web-IF auftauchen...
...hmm, in dem genannten Beitrag und dem Screenshot steht aber eine Freigabe auf Port 9090 und die Box-IP (nicht 0.0.0.0)??? Solche Regeln sind (und waren schon immer) im WebIF sichtbar, man konnte sie nur nicht eintragen oder wenn man diese Einträge in der ar7.cfg vorgenommen hast (wie du bemerkt hast) danach noch was ändern...

Der # steht wie schon gesagt als Abgrenzung für die "Bezeichnung" im Webif, (@ao: aber innerhalb eines Strings mit "" umgeben, daher ist das ,/; dahinter kein Problem).
Was die "0" dort bedeutet, habe ich auch noch nicht rausbekommen, ich hatte damit mal kurz rumgespielt und andere Werte eingestellt, aber wenn ich mich recht erinnere keinen Unterschied feststellen können....

Zumindest bei meinen Boxen (bis zur 06.04.49) funktionieren Weiterleitungen auf 0.0.0.0 unabhängig, ob mit oder ohne "0 # <Bezeichnung>" dahinter, das mag aber auch recht Versionsabhängig sein...

Jörg
 
...hmm, in dem genannten Beitrag und dem Screenshot steht aber eine Freigabe auf Port 9090 und die Box-IP (nicht 0.0.0.0)???

oh ja, stimmt. da bin ich wohl mit meinen Problemen etwas durcheinander gekommen. die Weiterleitungen auf 0.0.0.0 sind nach wie vor unsichtbar.

Dann ist es mir wohl früher nie aufgefallen, daß Weiterl. auf die Box-IP in der ar7 im Web-IF sichtbar werden.

Nehme alles zurück und behaupte das Gegenteil.
 
... is scho recht, hätte mich nur gewundert, aber bei AVM ist ja auch nix unmöglich ;-)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.