[Frage] Welche Modifikationen sind auf den Fritzboxen 7270 / 7390 erreichbar.

Lauser71

Mitglied
Mitglied seit
2 Aug 2009
Beiträge
323
Punkte für Reaktionen
0
Punkte
0
Hallo
ich habe eine Frage an euch Fritzbox Experten.
Ist es möglich eine Fritzbox 7270 oder 7390 so zu modifizieren, daß auf dem Router bereits bestimmte gefährliche Webinhalte (Activx, Java Script, Java Applets, Multicast, anon Requests, Proxy usw) gefiltert und blockiert werden.
Was mich noch wichtig wäre, ob die geblockten und ggf erlaubten Anfragen (DSL Interface) geloggt werden können.
Wie z.B. in Cisco, Draytek oder Lancom Routern. Wenn ich mich richtig erinnere sogar DDWRT Firmware-
Iptables würden soweit ich das verstanden habe, ja nur den Netzinternen Traffic loggen.
Grund meiner Frage ist der Einsatz im gewerblichen Bereich.
Danke
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,853
Punkte für Reaktionen
14
Punkte
38
Was mich noch wichtig wäre, ob die geblockten und ggf erlaubten Anfragen (DSL Interface) geloggt werden können.
Wie z.B. in Cisco, Draytek oder Lancom Routern. Wenn ich mich richtig erinnere sogar DDWRT Firmware-
Iptables würden soweit ich das verstanden habe, ja nur den Netzinternen Traffic loggen.
Wenn es um das Loggen geht, dann schau dir mal iplog (Paket im trac) an. Evtl. mit einem statisch gelinkten binary testen, ob iplog deinen Anforderungen bzw. Bedürfnissen entspricht.
Betr. blocken, evtl. könnte dnsspoof auch eine Alternative und/oder eine Ergänzung für dich sein. dnsspoof kann url's, Hostnamen und IP-Adressen umleiten. Hier ist ein statisch gelinktes binary (siehe Link) schon vorhanden.
 

Lauser71

Mitglied
Mitglied seit
2 Aug 2009
Beiträge
323
Punkte für Reaktionen
0
Punkte
0
Hallo sf3978,
danke für deine Anwort. Werde mir mal das iplog anschauen. Hört sich interessant an.
Wegen dem Blocken geht es mir um die gefährlichen / schädlichen Inhalte nicht um IP oder Hosts.
 

chked

IPPF-Promi
Mitglied seit
20 Nov 2006
Beiträge
4,252
Punkte für Reaktionen
14
Punkte
38
Wegen dem Blocken geht es mir um die gefährlichen / schädlichen Inhalte
Das dürfte schwierig werden, da der "Blocker" den HTML-Code analysieren müsste. Für einen "Virencheck On The Fly" sind sowohl Speicher als auch Prozessorleistung der Fritzbox um Größenordnungen zu klein.
 

Lauser71

Mitglied
Mitglied seit
2 Aug 2009
Beiträge
323
Punkte für Reaktionen
0
Punkte
0
...Für einen "Virencheck On The Fly" sind sowohl Speicher als auch Prozessorleistung der Fritzbox um Größenordnungen zu klein.
Hallo chked,
diese Optionen laufen auf Routern mit 200 MHz 16 MB RAM 4 MB Flash....
 

Friedrich9

Neuer User
Mitglied seit
4 Mrz 2012
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
privoxy

Hallo
Ist es möglich eine Fritzbox 7270 oder 7390 so zu modifizieren, daß auf dem Router bereits bestimmte gefährliche Webinhalte (Activx, Java Script, Java Applets, Multicast, anon Requests, Proxy usw) gefiltert und blockiert werden.
Ich denke, du suchst das paket "privoxy".

In Verbindung mit ein paar iptables-Regeln läßt sich das als "transparenter Proxy" einrichten, und die Filterfunktionen sind sehr weitgehend konfigurierbar.

Die Grund-Konfiguration hat bei mir allerdings nicht so geklappt wie im howto beschrieben... ein bißchen "frickeln" muß man sich schon zutrauen ;)
 

raix

Neuer User
Mitglied seit
19 Jul 2006
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Hi,

was muss man denn bei der 7390 beachten um mit dem aktuellen trunk iptabels ans Laufen zu bekommen? Da scheinen einige Kernel-Module nicht korrekt geladen zu werden.
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Es ist immer hilfreich solche Behauptungen mit Logs zu unterlegen...

Gruß
Oliver
 

raix

Neuer User
Mitglied seit
19 Jul 2006
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Na gerne:

[email protected]:/etc/ath# iptables -t nat -A PREROUTING -p tcp -s 192.168.178.211 --dport 80 -j REDIRECT --to 8118
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded
[email protected]:/etc/ath# lsmod | grep -i ip
iptable_raw 1568 0
[email protected]:/etc/ath# modprobe ip_tables
modprobe: module ip_tables not found in modules.dep
[email protected]:/etc/ath# modprobe iptable_filter
modprobe: module iptable_filter not found in modules.dep
[email protected]:/etc/ath# modprobe x_tables
modprobe: module x_tables not found in modules.dep
[email protected]:/etc/ath# modprobe xt_tcpudp
modprobe: module xt_tcpudp not found in modules.dep
[email protected]:/etc/ath# modprobe ipt_REDIRECT
modprobe: module ipt_REDIRECT not found in modules.dep
[email protected]:/etc/ath# modprobe ip_nat
modprobe: module ip_nat not found in modules.dep
Die iptables-Module sind alle per menuconfig ausgewaehlt.
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Schau mal in "make kernel-menuconfig". Vermutlich werden sie nicht gebaut? Evtl. hat das auch seinen Grund... (Könnte zu Problemen kommen, wenn du da was auswählst)

Gruß
Oliver
 

raix

Neuer User
Mitglied seit
19 Jul 2006
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Also, wenn ich per kernel-menuconfig alle netfilter-module aktiviere dann verabschiedet sich die Box nach wenigen Minuten in einen Neustart. Konnte auch nur noch ueber das AVM-Webinterface ne funktionierende Version flashen, sobald ich per Freetz flashen wollte kam auch ein reboot.
 

olistudent

IPPF-Urgestein
Mitglied seit
19 Okt 2004
Beiträge
14,779
Punkte für Reaktionen
10
Punkte
38
Das waren dann wohl die Probleme an die ich mich erinnert habe. AVM aktiviert einige Optionen andere nicht. Wenn du das änderst, dann passt was nicht mehr und die AVM Programm laufen nicht mehr... (conntrack ist dabei meistens beteiligt)

Gruß
Oliver
 

raix

Neuer User
Mitglied seit
19 Jul 2006
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Hi,

sorry fuer die spaete Antwort, war auf Arbeit eingespannt.
Gibt's dann andere Tricks um auf der 7390 einen transparenten Proxy hinzubekommen?
Oder kommt da in den naechsten Versionen was fuer iptables?
 

raix

Neuer User
Mitglied seit
19 Jul 2006
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Hi,

gibt's was neues wegen Iptables mit Freetz auf der 7390? Oder einen anderen Ansatz für einen transparenten Proxy?
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,416
Punkte für Reaktionen
0
Punkte
38
Hallo,

für eine 7390 läuft die Kombination iptables\privoxy (als transparenter Proxy, wie im wiki) beschrieben) bis zu R6478 problemlos. Ist zwar schon etwas älter, aber falls Du Dich mit der älteren AVM-FW anfreunden könntest, wäre das eine Möglichkeit. Alternativ dazu siehe ggfs. hier.
Grüße,

JD.
 

Elvar

Neuer User
Mitglied seit
21 Feb 2007
Beiträge
37
Punkte für Reaktionen
0
Punkte
6
Habe für 84.05.21 vor kurzem in den Kernel-Quellen nachgesehen. Da ergab sich folgendes:

1. Viele Module, wie z.B. ip_tables und iptable_filter sind bereits in den Kernel eincompiliert und somit als Modul natürlich nicht mehr vorhanden. Grundsätzlich scheint filtering zu funktionieren.

2. Alle conntrack, nat und das masquerade modul können nicht nachgeladen werden, weil sie hooks im Kernel voraussetzen, die nicht vorhanden sind. Das Modul iptable_nat ist sogar aus den Quellen entfernt worden.

Daraus folgt, dass nat und conntrack mit der 21er nicht funktioniert. Das heißt auch, dass state filtering nicht geht.

Ob man einen Replace-Kernel bauen kann, der die fehlenden Hooks enthält (in dem man die fehlenden module auswählt) müsste getestet werden - ich vermute aber mal, dass dann andere AVM-Module nicht mehr funktionieren...

E.
 

Zurzeit aktive Besucher

3CX

Statistik des Forums

Themen
235,914
Beiträge
2,067,826
Mitglieder
356,955
Neuestes Mitglied
LiamDobczinski