.titleBar { margin-bottom: 5px!important; }

WLAn als DMZ einrichten?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von sox666, 4 Feb. 2007.

  1. sox666

    sox666 Neuer User

    Registriert seit:
    20 Aug. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Leute, nachdem ich schon ein paar Stunden ne menge Artikel gelesen habe, finde ich jedoch nichts was mir weiterhilft.

    Folgendes Szenario: Mein Nachbar soll über WLAN mein Internet nutzen können. Da ich aber vermeiden will das der Filesharing usw betreibt will ich ihm bloß Port 80 zum surfen freigeben.

    Zur Info: Hab ne vollständig modifizierte Fritz Box SL Wlan, mit SSH, telnet-Zugriff usw, kann also auf dem ding was reinhämmern.

    Bitte nicht wieder was schreiben von externen Hardware/Desktop- Firewalls um das Problem zu beheben oder ein Gespräch mit meinem Nachbarn von wegen vertrauen usw.
    Ich will einfach nur für eine IP alles eingehende und ausgehende sperren außer Port 80. Und zwar alles auf der Box.

    1) Wie und wo blocke ich alle Ports?
    2) Wenn das auf der Box nicht möglich ist, einfach nur bescheid sagen

    Wie gesagt, um das problem zu lösen würden mir selbst ne Menge Dinge einfallen, die jedoch immer externe Software/Geräte vorraussetzen und ich möchte ja auch keine Anschaffungs/Stromkosten haben nur weil mein Nachbar mein Internet nutzen möchte.
    Ich denke ihr versteht das schon...

    Also geht das?
     
  2. beckni

    beckni Neuer User

    Registriert seit:
    30 Okt. 2006
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Box blockt doch standardmäßig alle Ports außer Port 80, es sei denn, Du gibst diese Ports für die IP frei. Insofern kann Dein Nachbar gar kein Filesharing betrieben, ohne dass Du ihm die dafür benötigten Ports freischaltest.

    (Eine DMZ ist, glaube ich, das genaue Gegenteil von dem, was Du willst.)
     
  3. sox666

    sox666 Neuer User

    Registriert seit:
    20 Aug. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    gut, das mit der DMZ war hier ein wenig vorbei, könnte aber mein Ziel auch erreichen...(wenn ich wüsste wie man die konfiguriert), egal.

    Jedenfalls so ganz recht hast du da nicht. Wenn er sich über WLAN bei der Box einklinkt, kann er "ausgehend" erstmal alles machen. ich meine schließlich habe ich ja bisher noch nichts eingestellt und trotzdem kann man Emule, Azureus, SSH, SSL,POP3, SMTP, HTTP usw machen. Also wird da standardmäßig erstmal gar nichts gebklockt.
    Das ich die Downloads über Portfreigaben beschleunigen kann ist ja eine sache, trotzdem könnte man erstmal Filesharing ohne Portfreigabe betreiben.

    Eingehende Verbindungen werden zum Teil schon geblockt, dafür ist es ja auch ein NAT- Router/Firewall.
    Mein Nachbar soll aber nur Http betreiben können. Das muss doch gehen?
     
  4. beckni

    beckni Neuer User

    Registriert seit:
    30 Okt. 2006
    Beiträge:
    53
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Gut, da hast Du natürlich Recht. P2P geht auch ohne Portfreigaben, wenn auch quälend langsam. Ich sehe da trotzdem noch zwei Probleme:

    1. Wenn Du wirklich nur Port 80 freigibst, dann kann man auch nicht seine emails checken oder ftp, ssh, etc. benutzen. Ist schon eine ganz schöne Einschränkung.

    2. Man kann auch über Port 80 p2p software laufen lassen, z.B. mit "socks2http".

    Ob das ganze überhaupt geht, weiß ich auch nicht. Vielleicht kann man in der ar7.cfg mit den forward-regeln etwas machen. Aber da müsste sich mal jemand dazu äußern, der davon Ahnung hat.
     
  5. sox666

    sox666 Neuer User

    Registriert seit:
    20 Aug. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke, jetzt hast du das Problem erkannt. Mein Nachbar soll auch nur Port 80 benutzen,
    kurz: E-Mail checken usw. = pech.
    Er soll nur surfen. Sicherlich kann er auch socks-tools nutzen um das Problem zu umgehen, aber ehrlich gesagt ist der zu unwissend dafür. Der weiß wie man nen PC einschaltet und wie man Emule bedient und genau davor habe ich ja Angst das er das macht. Dennoch brauch er aber Internet ab und zu zum surfen.

    Dachte mir auch das das mit der ar7.cfg evtl zusammen hängen könnte aber was soll man denn da einstellen damit das realisiert wird? In den Forwardrules?Hm...
    wieso blockt die Box (vom WLAN beispielsweise) nicht erstmal alles und danach gebe ich einzelne Ports frei? Das problem muss doch schon mal jemand von euch hier gelöst haben oder bin ich etwa der erste?
     
  6. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Ich meine, dass ich sowas hier schonmal gelesen hätte. Aber eine andere Lösung wie iptables fällt mir spontan nicht ein (->ds-mod).

    MfG Oliver
     
  7. KuniGunther

    KuniGunther Aktives Mitglied

    Registriert seit:
    8 Juni 2005
    Beiträge:
    2,187
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ohne es ausprobiert zu haben und ohne Gerantie, dass nicht anschließend alles tot ist:
    Die forwardrules sind die falsche Stelle. Theoretisch müsste in der output Liste darüber ein "reject ip <WLAN-Netzwerk> any range 1 79" und "... range 81 65535" ausreichen. <WLAN-Netzwerk> ist dann z.B. 192.168.182.0, vorausgesetzt Du hast "alle Computer im gleichen Netzwerk" in der Box deaktiviert.
     
  8. sox666

    sox666 Neuer User

    Registriert seit:
    20 Aug. 2006
    Beiträge:
    39
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Klingt interessant, schade nur das es noch keiner ausprobiert hat, sowas in der Richtung dachte ich mir. Will die Box nur nicht schroten, die habe ich eben erst wieder frisch aufgesetzt.

    1) Gibt es sowas wie Iptables für oder auf der Box? (als Plugin oder so)
    2) Wie richtet man eine DMZ ein auf der Box oder besser gesagt wo? ar7.cfg?
    3) kennt einer ne komplette Lösung um erstmal alle Ports blocken zu lassen?
     
  9. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    2
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    #9 olistudent, 4 Feb. 2007
    Zuletzt bearbeitet: 5 Feb. 2007
    1. Iptables gibt es mit dem dsmod.
    2. DMZ stellst du im Webinterface unter Portfreigabe ein.
    3. Was KuniGunther geschrieben hat könnte funktionieren.

    MfG Oliver

    edit: Wieder der alte Fehler. Ein "exposed host" ist natürlich keine DMZ. Danke, KuniGunther
     
  10. KuniGunther

    KuniGunther Aktives Mitglied

    Registriert seit:
    8 Juni 2005
    Beiträge:
    2,187
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Irgendwie ist mir immer noch nicht klar, wieso Du meinst eine DMZ würde Dein Problem lösen. (Wobei das, was die Box anbietet ein "exposed host", d.h. ein Rechner, an den alle Anfragen von außen geleitet werden, die nicht zu einer existierenden Verbindung gehören.)