Portforwarding Port 443

OK, das 1:1-Mapping für 443 auf die Box selbst habe ich auch tatsächlich nicht in der eigenen Konfiguration ... das würde ich auch einer FRITZ!Box nicht antun, weil die schließlich meinen Router im Hauptberuf geben soll und nicht den Traffic-Generator für sinnlose TLS-Connections auf dem (Standard-)Port für HTTPS. Solange man nicht parallel noch entsprechende "dämpfende" Maßnahmen auf der Box einrichtet, können die 15 parallel möglichen TLS-Sessions mit passendem DHE-Key-Exchange so eine arme FRITZ!Box ganz schön auf Trab halten und auch wenn das logischerweise selbst dann noch geht, wenn man so einen Server auf einem Nicht-Standard-Port "anbietet", so ist doch die "Trefferwahrscheinlichkeit" an dieser Stelle geringer. Bei IPv6 sieht das dann natürlich wieder ganz anders aus, da ist ja schon die Chance, die richtige Adresse bei einem Portscan zu finden, nicht ganz so groß (man könnte auch "minimal" schreiben).
 
das würde ich auch einer FRITZ!Box nicht antun, weil die schließlich meinen Router im Hauptberuf geben soll und nicht den Traffic-Generator für sinnlose TLS-Connections auf dem (Standard-)Port für HTTPS.

Nunja, auf diesem Port lauscht bei mir "nur" ein als Reverse Proxy konfigurierter lighttpd, der die 7490 nicht wesentlich ins Schwitzen bringt.
Von "Security by obscurity" halte ich indes überhaupt nichts. Einen wirklich wirksamen Schutz vor Port Scans und daraus resultierenden Attacken bekomme ich nur mit einer Application Firewall hin - und da ist mir keine für den Heimbereich bekannt...
 
Bisher kannte ich nur die Variante, die Weiterleitungen in die "voip_forwardrules" einzutragen (wo sie bei mir auch nach wie vor drinstehen (*)), daher dachte ich, es wäre "Fleisch" genug.

(*) Dennoch funktionierte das 1:1-Mapping auf 443 nicht.

Ein in der "vpn.cfg" hinterlegter "ike_forwardrules" Eintrag funktioniert dahingegen prima. Danke für den Hinweis!

Hallo Leute leider funkioniert bei meiner FB7390 mit Freetz 06.83-freetz-devel-14205 der Trick mit dem Eintrag in die ar7.cfg oder vpn.cfg bzgl. Weiterleitung von Port443 nicht mehr.

Eintrag ar7.cfg:
voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060",
"tcp 0.0.0.0:5060 0.0.0.0:5060",
"udp 0.0.0.0:7078+32 0.0.0.0:7078",
"tcp 0.0.0.0:443 0.0.0.0:8080";

bzw, bei der vpn.cfg:
vpncfg {
vpncfg_version = 1;
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500",
"tcp 0.0.0.0:443 0.0.0.0:8080";

führt zu keinem Zugriff von aussen auf dem Port443.
Port 8080 ist der Webserver auf den umgeleitet werden soll.

Hab jeweils vor dem Editieren mit nvi, ctlmgr -s ausgeführt und abschließend neugestartet, wie weiter oben beschrieben.

Was mach ich falsch?

Danke!

Axleu
 
Zuletzt bearbeitet:
Die aktiven Weiterleitungen stehen (wie weiter vorne oder im weiter vorne verlinkten Thread mal beschrieben) in den Support-Daten - dort findet man dann auch die aktuellen Versionen der Dateien "ar7.cfg" und "vpn.cfg" und wenn man das nach einem Neustart der Box ausliest (auch wenn es bei Freetz sicherlich alles einzeln abzufragen ist, wissen die wenigsten, wo sie jeweils suchen müssen, daher der Verweis auf die Support-Daten, wo das alles schon "versammelt" ist), dann stellen diese Dateien auch den Stand dar, der zu diesem Zeitpunkt aktuell ist; von den Vorteilen der Ausgabe von "showpcpinfo" bei der Diagnose (aka "gezieltes Raten", das geht aber nur, wenn man wenigstens irgendetwas in der Hand hat) ganz zu schweigen.

Beim Mißbrauch der "vpn.cfg" ist es ja z.B. (afaik) noch notwendig, den "avmike" auch zu starten ... das dürfte hier schon mal mit Vollgas gegen die Wand fahren, wenn ich mir den "Ausschnitt" aus der "vpn.cfg" so ansehe - da scheint es gar keine VPN-Verbindung zu geben und solange das der Fall ist, beendet sich der "avmike" auch wieder umgehend (zumindest war es mal so, als ich das getestet habe). Das hatte ich aber (iirc) auch in dem anderen Thread schon geschrieben ... und ob es hier nun eine solche VPN-Verbindung gibt oder nicht, ist natürlich auch nur "geraten".
 
Danke PeterPawn,

nachdem ich im AVM-GUI eine VPN-Verbindung angelegt habe, läuft die "vpn.cfg" Variante um der Port 443 Weiterzuleiten.
Is auch logisch das der VPN-Dienst(avmike) ohne Bedarf nicht in der FB gestartet wurde.

Gruß

Axleu
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.