WLAn als DMZ einrichten?

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
S

sox666

Neuer User
Mitglied seit
20 Aug 2006
Beiträge
39
Punkte für Reaktionen
0
Punkte
0
Hallo Leute, nachdem ich schon ein paar Stunden ne menge Artikel gelesen habe, finde ich jedoch nichts was mir weiterhilft.

Folgendes Szenario: Mein Nachbar soll über WLAN mein Internet nutzen können. Da ich aber vermeiden will das der Filesharing usw betreibt will ich ihm bloß Port 80 zum surfen freigeben.

Zur Info: Hab ne vollständig modifizierte Fritz Box SL Wlan, mit SSH, telnet-Zugriff usw, kann also auf dem ding was reinhämmern.

Bitte nicht wieder was schreiben von externen Hardware/Desktop- Firewalls um das Problem zu beheben oder ein Gespräch mit meinem Nachbarn von wegen vertrauen usw.
Ich will einfach nur für eine IP alles eingehende und ausgehende sperren außer Port 80. Und zwar alles auf der Box.

1) Wie und wo blocke ich alle Ports?
2) Wenn das auf der Box nicht möglich ist, einfach nur bescheid sagen

Wie gesagt, um das problem zu lösen würden mir selbst ne Menge Dinge einfallen, die jedoch immer externe Software/Geräte vorraussetzen und ich möchte ja auch keine Anschaffungs/Stromkosten haben nur weil mein Nachbar mein Internet nutzen möchte.
Ich denke ihr versteht das schon...

Also geht das?
 
Die Box blockt doch standardmäßig alle Ports außer Port 80, es sei denn, Du gibst diese Ports für die IP frei. Insofern kann Dein Nachbar gar kein Filesharing betrieben, ohne dass Du ihm die dafür benötigten Ports freischaltest.

(Eine DMZ ist, glaube ich, das genaue Gegenteil von dem, was Du willst.)
 
gut, das mit der DMZ war hier ein wenig vorbei, könnte aber mein Ziel auch erreichen...(wenn ich wüsste wie man die konfiguriert), egal.

Jedenfalls so ganz recht hast du da nicht. Wenn er sich über WLAN bei der Box einklinkt, kann er "ausgehend" erstmal alles machen. ich meine schließlich habe ich ja bisher noch nichts eingestellt und trotzdem kann man Emule, Azureus, SSH, SSL,POP3, SMTP, HTTP usw machen. Also wird da standardmäßig erstmal gar nichts gebklockt.
Das ich die Downloads über Portfreigaben beschleunigen kann ist ja eine sache, trotzdem könnte man erstmal Filesharing ohne Portfreigabe betreiben.

Eingehende Verbindungen werden zum Teil schon geblockt, dafür ist es ja auch ein NAT- Router/Firewall.
Mein Nachbar soll aber nur Http betreiben können. Das muss doch gehen?
 
Gut, da hast Du natürlich Recht. P2P geht auch ohne Portfreigaben, wenn auch quälend langsam. Ich sehe da trotzdem noch zwei Probleme:

1. Wenn Du wirklich nur Port 80 freigibst, dann kann man auch nicht seine emails checken oder ftp, ssh, etc. benutzen. Ist schon eine ganz schöne Einschränkung.

2. Man kann auch über Port 80 p2p software laufen lassen, z.B. mit "socks2http".

Ob das ganze überhaupt geht, weiß ich auch nicht. Vielleicht kann man in der ar7.cfg mit den forward-regeln etwas machen. Aber da müsste sich mal jemand dazu äußern, der davon Ahnung hat.
 
Danke, jetzt hast du das Problem erkannt. Mein Nachbar soll auch nur Port 80 benutzen,
kurz: E-Mail checken usw. = pech.
Er soll nur surfen. Sicherlich kann er auch socks-tools nutzen um das Problem zu umgehen, aber ehrlich gesagt ist der zu unwissend dafür. Der weiß wie man nen PC einschaltet und wie man Emule bedient und genau davor habe ich ja Angst das er das macht. Dennoch brauch er aber Internet ab und zu zum surfen.

Dachte mir auch das das mit der ar7.cfg evtl zusammen hängen könnte aber was soll man denn da einstellen damit das realisiert wird? In den Forwardrules?Hm...
wieso blockt die Box (vom WLAN beispielsweise) nicht erstmal alles und danach gebe ich einzelne Ports frei? Das problem muss doch schon mal jemand von euch hier gelöst haben oder bin ich etwa der erste?
 
Ich meine, dass ich sowas hier schonmal gelesen hätte. Aber eine andere Lösung wie iptables fällt mir spontan nicht ein (->ds-mod).

MfG Oliver
 
Ohne es ausprobiert zu haben und ohne Gerantie, dass nicht anschließend alles tot ist:
Die forwardrules sind die falsche Stelle. Theoretisch müsste in der output Liste darüber ein "reject ip <WLAN-Netzwerk> any range 1 79" und "... range 81 65535" ausreichen. <WLAN-Netzwerk> ist dann z.B. 192.168.182.0, vorausgesetzt Du hast "alle Computer im gleichen Netzwerk" in der Box deaktiviert.
 
Klingt interessant, schade nur das es noch keiner ausprobiert hat, sowas in der Richtung dachte ich mir. Will die Box nur nicht schroten, die habe ich eben erst wieder frisch aufgesetzt.

1) Gibt es sowas wie Iptables für oder auf der Box? (als Plugin oder so)
2) Wie richtet man eine DMZ ein auf der Box oder besser gesagt wo? ar7.cfg?
3) kennt einer ne komplette Lösung um erstmal alle Ports blocken zu lassen?
 
1. Iptables gibt es mit dem dsmod.
2. DMZ stellst du im Webinterface unter Portfreigabe ein.
3. Was KuniGunther geschrieben hat könnte funktionieren.

MfG Oliver

edit: Wieder der alte Fehler. Ein "exposed host" ist natürlich keine DMZ. Danke, KuniGunther
 
Zuletzt bearbeitet:
Irgendwie ist mir immer noch nicht klar, wieso Du meinst eine DMZ würde Dein Problem lösen. (Wobei das, was die Box anbietet ein "exposed host", d.h. ein Rechner, an den alle Anfragen von außen geleitet werden, die nicht zu einer existierenden Verbindung gehören.)
 
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 991 (Mitglieder: 25, Gäste: 966)

Statistik des Forums

Themen
248,474
Beiträge
2,292,226
Mitglieder
377,924
Neuestes Mitglied
falonso197

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten