[Frage] Welche Modifikationen sind auf den Fritzboxen 7270 / 7390 erreichbar.

Lauser71

Mitglied
Mitglied seit
2 Aug 2009
Beiträge
323
Punkte für Reaktionen
0
Punkte
0
Hallo
ich habe eine Frage an euch Fritzbox Experten.
Ist es möglich eine Fritzbox 7270 oder 7390 so zu modifizieren, daß auf dem Router bereits bestimmte gefährliche Webinhalte (Activx, Java Script, Java Applets, Multicast, anon Requests, Proxy usw) gefiltert und blockiert werden.
Was mich noch wichtig wäre, ob die geblockten und ggf erlaubten Anfragen (DSL Interface) geloggt werden können.
Wie z.B. in Cisco, Draytek oder Lancom Routern. Wenn ich mich richtig erinnere sogar DDWRT Firmware-
Iptables würden soweit ich das verstanden habe, ja nur den Netzinternen Traffic loggen.
Grund meiner Frage ist der Einsatz im gewerblichen Bereich.
Danke
 
Was mich noch wichtig wäre, ob die geblockten und ggf erlaubten Anfragen (DSL Interface) geloggt werden können.
Wie z.B. in Cisco, Draytek oder Lancom Routern. Wenn ich mich richtig erinnere sogar DDWRT Firmware-
Iptables würden soweit ich das verstanden habe, ja nur den Netzinternen Traffic loggen.
Wenn es um das Loggen geht, dann schau dir mal iplog (Paket im trac) an. Evtl. mit einem statisch gelinkten binary testen, ob iplog deinen Anforderungen bzw. Bedürfnissen entspricht.
Betr. blocken, evtl. könnte dnsspoof auch eine Alternative und/oder eine Ergänzung für dich sein. dnsspoof kann url's, Hostnamen und IP-Adressen umleiten. Hier ist ein statisch gelinktes binary (siehe Link) schon vorhanden.
 
Hallo sf3978,
danke für deine Anwort. Werde mir mal das iplog anschauen. Hört sich interessant an.
Wegen dem Blocken geht es mir um die gefährlichen / schädlichen Inhalte nicht um IP oder Hosts.
 
Wegen dem Blocken geht es mir um die gefährlichen / schädlichen Inhalte
Das dürfte schwierig werden, da der "Blocker" den HTML-Code analysieren müsste. Für einen "Virencheck On The Fly" sind sowohl Speicher als auch Prozessorleistung der Fritzbox um Größenordnungen zu klein.
 
...Für einen "Virencheck On The Fly" sind sowohl Speicher als auch Prozessorleistung der Fritzbox um Größenordnungen zu klein.

Hallo chked,
diese Optionen laufen auf Routern mit 200 MHz 16 MB RAM 4 MB Flash....
 
privoxy

Hallo
Ist es möglich eine Fritzbox 7270 oder 7390 so zu modifizieren, daß auf dem Router bereits bestimmte gefährliche Webinhalte (Activx, Java Script, Java Applets, Multicast, anon Requests, Proxy usw) gefiltert und blockiert werden.

Ich denke, du suchst das paket "privoxy".

In Verbindung mit ein paar iptables-Regeln läßt sich das als "transparenter Proxy" einrichten, und die Filterfunktionen sind sehr weitgehend konfigurierbar.

Die Grund-Konfiguration hat bei mir allerdings nicht so geklappt wie im howto beschrieben... ein bißchen "frickeln" muß man sich schon zutrauen ;)
 
Hi,

was muss man denn bei der 7390 beachten um mit dem aktuellen trunk iptabels ans Laufen zu bekommen? Da scheinen einige Kernel-Module nicht korrekt geladen zu werden.
 
Es ist immer hilfreich solche Behauptungen mit Logs zu unterlegen...

Gruß
Oliver
 
Na gerne:

root@fritz:/etc/ath# iptables -t nat -A PREROUTING -p tcp -s 192.168.178.211 --dport 80 -j REDIRECT --to 8118
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded

root@fritz:/etc/ath# lsmod | grep -i ip
iptable_raw 1568 0

root@fritz:/etc/ath# modprobe ip_tables
modprobe: module ip_tables not found in modules.dep
root@fritz:/etc/ath# modprobe iptable_filter
modprobe: module iptable_filter not found in modules.dep
root@fritz:/etc/ath# modprobe x_tables
modprobe: module x_tables not found in modules.dep
root@fritz:/etc/ath# modprobe xt_tcpudp
modprobe: module xt_tcpudp not found in modules.dep
root@fritz:/etc/ath# modprobe ipt_REDIRECT
modprobe: module ipt_REDIRECT not found in modules.dep
root@fritz:/etc/ath# modprobe ip_nat
modprobe: module ip_nat not found in modules.dep

Die iptables-Module sind alle per menuconfig ausgewaehlt.
 
Schau mal in "make kernel-menuconfig". Vermutlich werden sie nicht gebaut? Evtl. hat das auch seinen Grund... (Könnte zu Problemen kommen, wenn du da was auswählst)

Gruß
Oliver
 
Also, wenn ich per kernel-menuconfig alle netfilter-module aktiviere dann verabschiedet sich die Box nach wenigen Minuten in einen Neustart. Konnte auch nur noch ueber das AVM-Webinterface ne funktionierende Version flashen, sobald ich per Freetz flashen wollte kam auch ein reboot.
 
Das waren dann wohl die Probleme an die ich mich erinnert habe. AVM aktiviert einige Optionen andere nicht. Wenn du das änderst, dann passt was nicht mehr und die AVM Programm laufen nicht mehr... (conntrack ist dabei meistens beteiligt)

Gruß
Oliver
 
Hi,

sorry fuer die spaete Antwort, war auf Arbeit eingespannt.
Gibt's dann andere Tricks um auf der 7390 einen transparenten Proxy hinzubekommen?
Oder kommt da in den naechsten Versionen was fuer iptables?
 
Hi,

gibt's was neues wegen Iptables mit Freetz auf der 7390? Oder einen anderen Ansatz für einen transparenten Proxy?
 
Hallo,

für eine 7390 läuft die Kombination iptables\privoxy (als transparenter Proxy, wie im wiki) beschrieben) bis zu R6478 problemlos. Ist zwar schon etwas älter, aber falls Du Dich mit der älteren AVM-FW anfreunden könntest, wäre das eine Möglichkeit. Alternativ dazu siehe ggfs. hier.
Grüße,

JD.
 
Habe für 84.05.21 vor kurzem in den Kernel-Quellen nachgesehen. Da ergab sich folgendes:

1. Viele Module, wie z.B. ip_tables und iptable_filter sind bereits in den Kernel eincompiliert und somit als Modul natürlich nicht mehr vorhanden. Grundsätzlich scheint filtering zu funktionieren.

2. Alle conntrack, nat und das masquerade modul können nicht nachgeladen werden, weil sie hooks im Kernel voraussetzen, die nicht vorhanden sind. Das Modul iptable_nat ist sogar aus den Quellen entfernt worden.

Daraus folgt, dass nat und conntrack mit der 21er nicht funktioniert. Das heißt auch, dass state filtering nicht geht.

Ob man einen Replace-Kernel bauen kann, der die fehlenden Hooks enthält (in dem man die fehlenden module auswählt) müsste getestet werden - ich vermute aber mal, dass dann andere AVM-Module nicht mehr funktionieren...

E.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.