reject, deny und all das - Erklärung?

[nojoke]

Hallo zusammen,

ich möchte verhindern, dass unser Sohn mit File Sharing experimentiert. Deshalb möchte ich auf meiner Fritz!Box 5050 alle Ports nach draussen dicht machen bis auf 80. Nachdem ich hier jetzt eine Weile gelesen habe ist der FBEditor installiert und die ar7.cfg ausgelesen. Der relevante Teil darin ist wohl das, was ich dran gehängt habe (s.u.). Gibt es zu diesem Teil ein Tutorial, damit ich auch weiß was ich mache? Ich dachte das ist Standard Linux, konnte aber keine Erklärung zur Bedeutung und Syntax finden. Was bedeutet denn low/high input/output.

Vielen Dank für Eure Hilfe
Gruß
Andreas



pppoefw {
interfaces = "usbrndis", "eth0", "eth1", "tiwlan0", "wdsup0",
"wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
nofirewall = yes;
ipnetbiosfilter = yes;
dnsfilter_for_active_directory = yes;
hostuniq_filter = "";
dpconfig {
security = dpsec_host;
lowinput {
policy = "reject";
accesslist =
"permit ip any any connection outgoing-related",
...,
"permit icmp any any";
}
lowoutput {
policy = "permit";
}
highinput {
policy = "permit";
}
highoutput {
policy = "permit";
accesslist =
"reject ip any 242.0.0.0 255.0.0.0",
...,
"reject tcp any host 202.106.185.127 eq 25";
}
shaper = "globalshaper";
}
}

 

[supasonic]

... ich möchte verhindern, dass unser Sohn mit File Sharing experimentiert. Deshalb möchte ich auf meiner Fritz!Box 5050 alle Ports nach draussen dicht machen bis auf 80.

Dir ist aber schon bekannt, dass man den Traffic der FS-Software auch leicht über Port 80 laufen lassen kann? Wäre doch schade um die ganze Mühe, wenn sie vergebens sein würde ...

 

[nojoke]

Hallo Supasonic,

Du hast natürlich recht. In der Hoffnung es halt ein wenig komplizierter für unseren Kleinen zu machen, würde ich doch gerne wissen wie das geht. Wer kann helfen?

Gruß
Andreas

 

[mastertester]

Ich konnte dieses Problem so lösen:

http://www.ip-phone-forum.de/showthread.php?t=94490

Allerdings geht es mit dem DS Mod viel einfacher....


Gruß
mastertester

 

[nojoke]

Hallo Mastertester,

was meinst Du mit "DS Mod"?

Muss ich denn all die anderen Einträge löschen oder die von Dir zusätzlich (Reihenfolge?) eintragen?

Vielen Dank.

Gruß
Andreas

 

[mastertester]

Hallo nojoke,

mit DS Mod meinte ich den danisahne MOD http://www.ip-phone-forum.de/showthread.php?t=85371

Dort kann man ganz einfach per Whitelist die benötigten Ports freigeben, dass ist für mich die erste Wahl gewesen. Aber Du kannst auch durch Änderungen in der ar7.cfg Ports sperren. Allerdings musst Du hier denn auch alles dicht machen, da die interne Firewall der Fritz Box mit einer Blacklist arbeitet.

Suche in der ar7.cfg nach der Sektion "dslifaces". Dort unter "highoutput" werden dann die neuen Regeln eingefügt.

Jetzt musst Du nur noch wissen welche interne IP der Rechner hat, bei dem Du die Ports blocken willst.

Die Regeln sehen dann so aus:

"reject tcp host 192.168.178.20 any range 1 79", 
"reject tcp host 192.168.178.20 any range 81 442",
"reject tcp host 192.168.178.20 any range 444 1750",                                       
"reject tcp host 192.168.178.20 any range 1760 65535",

"reject tcp host 192.168.178.20 any range 1 79",
Blockt von Port 1 bis 79 auf der internen IP 192.168.178.20

So habe ich mit diesen 4 Regeln alle Ports bis auf Port 80 = WEB, Port 443 = SSL und Port 1750 - 1760 Windows Mediaplayer Streams gesperrt.

Achte bei den Regeln auf das Komma hinter jeder Regel! Die letzte Regel wird dann mit einem Semikolon abgeschlossen!

Ich hoffe das hilft Dir weiter.... Ich empfehle Dir aber den DS Mod! Besorg Dir die Knoppix DVD, damit geht es eigentlich ganz einfach!!! Ich habe meine erste Firmware mit Knoppix unter VMWare erstellt. VMWare ist ein PC Simulator, so dass ich im laufenden Windows Knoppix benutzen konnte.

Wenn Du noch weitere Hilfe brauchst, dann schreib mir einfach…. Und wenn ich es vergesse hier zu schauen, hilft wieder eine PM an mich…..


Gruß mastertester