.titleBar { margin-bottom: 5px!important; }

WLAN von LAN trennen mit iptables

Dieses Thema im Forum "Freetz" wurde erstellt von x1jmp, 30 Jan. 2007.

  1. x1jmp

    x1jmp Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 x1jmp, 30 Jan. 2007
    Zuletzt bearbeitet: 1 Feb. 2007
    Aktuelle Version nun im Wiki: WLAN von LAN trennen mit iptables

    Dies ist eine kurze Anleitung, um das WLAN der FRITZ!Box unverschlüsselt zugänglich zu machen, ohne das eigene LAN oder die Box selbst zu gefährden.

    Voraussetzung ist natürlich der ds-mod wegen iptables.
    Zuerst muss im FRITZ!Box-Webinterface unter System->Netzwerkeinstellungen->IP-Adressen die Option "Alle Computer befinden sich im selben IP-Netzwerk" deaktiviert sein. Dabei werden nicht nur die Netze getrennt, sondern es entsteht ein neues Interface wlan.

    Danach können die Regeln für iptables gesetzt werden.
    Dies sind einfache Befehle, die auf der Kommandozeile per telnet/ssh ausgeführt werden.
    Sollen sie dauerhaft bestehen bleiben, einfach in die /var/flash/debug.cfg schreiben.
    Code:
    iptables -A FORWARD -i wlan -o dsl -j ACCEPT
    iptables -A FORWARD -i wlan -j DROP
    Damit wird das interne Netz geschützt, die Box selbst jedoch nicht.
    Code:
    iptables -A INPUT -i wlan -p tcp -j DROP
    iptables -A INPUT -i wlan -p udp -j DROP
    Jetzt ist auch der Zugriff per TCP/UDP auf die Box blockiert, sie antwortet jedoch noch auf Pings.
    Allerdings ist damit jedoch auch der DNS-Server nicht mehr erreichbar und alle Rechner im WLAN können keine Domainnamen (z. B. google.de) mehr aufrufen.

    Die Regeln werden von iptables der Reihe nach abgearbeitet, die Option -A in den vorigen Befehlen steht für append, d. h. die Regeln wurden am Ende der Liste eingefügt.

    Mittels -I (für insert) kann man nun Regeln an den Beginn der Liste setzen, um Ausnahmen für bestimmte Dienste einzurichten, z. B. für den DNS-Server via TCP und UDP.
    Code:
    iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT
    iptables -I INPUT -i wlan -p udp --dport 53 -j ACCEPT
    Danach können Computer im WLAN wie gewohnt die Internetverbindung benutzen ohne Zugriff auf das Webinterface der Box oder Computer im LAN zu haben.

    Zusätzlich lassen sich die Regeln für mehr Zugriff auf die Box noch erweitern:
    Code:
    # ssh
    iptables -I INPUT -i wlan -p tcp --dport 22 -j ACCEPT
    # OpenVPN
    iptables -I INPUT -i wlan -p udp --dport 1194 -j ACCEPT
    Der Zugriff lässt sich daher beliebig nach dem Schema
    Code:
    iptables -I INPUT -i wlan -p <Protokoll> --dport <Port> -j ACCEPT
    erweitern.


    Die Anleitung ist nun etwas lang geworden, allerdings hoffentlich auch iptables-Kenntnisse zu verstehen.
     
  2. knox

    knox Mitglied

    Registriert seit:
    20 Mai 2006
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    vielen dank für diese anleitung! wenn du das jetzt noch ins wiki überträgst, setzt du der sache die krone auf ;)
     
  3. buergernb

    buergernb Neuer User

    Registriert seit:
    21 Feb. 2006
    Beiträge:
    116
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi x1jmp,

    super Sache. Danke für diese verständliche Anleitung. :)
    Ein Wunsch bleibt bei mir aber noch offen: Kann ich best. Rechnern im WLAN trotzdem den Zugriff auf die Box gewähren. Z.B. wäre es mir lieb, weil eben bequem, weiterhin von meine Notebook aus Einstellungen vornehmen zu können. Danke,

    Nils
     
  4. knox

    knox Mitglied

    Registriert seit:
    20 Mai 2006
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    klar, das wäre schon machbar, zb anhand der ip(s).
    aber an sich ist es ein besserer weg, vom wlan aus eine vpn verbindung aufzubauen, da wlan als unsicher einzustufen ist.
    d.h. wlan clients dürfen nichts, ausser ssh und vpn (wie im beispiel oben gezeigt). wenn ein client dann "mehr" möchte, geht das durch den gesicherten vpn kanal.
    eine andere, noch einfacherere alternative wäre, eine ssh verbindung zur box aufzubauen (die im obigen beispiel ebenfalls erlaubt wird) und dann über einen ssh tunnel auf das webinterface zuzugreifen.
    einfach mal googlen, ssh tunnel sind nicht schwer (z.b. mit putty).
     
  5. x1jmp

    x1jmp Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wie knox schon erwähnt hat, geht das über die IP- oder die MAC-Adresse. Beide lassen sich jedoch frei wählen, deshalb kannst du den Zugriff damit nicht auf bestimmte Computer beschränken.

    Mit OpenVPN kannst du eine verschlüsselte Verbindung ins LAN aufbauen und alle Rechner dort direkt erreichen. Der Computer verhält sich dann praktisch so, als wäre er am LAN angeschlossen.
    Außerdem kannst du deine Internetanfragen darüber leiten, dann werden sie nicht mehr über das unverschlüsselte WLAN übertragen.
     
  6. Moonbase

    Moonbase Mitglied

    Registriert seit:
    10 März 2005
    Beiträge:
    461
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Krumbach (Schwaben)
    @x1jmp:

    Alle wichtigen Punkte drin, der Ansatz stimmt und ist "richtig herum" aufgebaut (von "zu" nach "auf"), ein gutes Beispiel gewählt und dann noch so geschrieben, dass es wirklich jeder verstehen kann.

    Wow. Einfach toll gemacht, dickes Lob!

    Freue mich schon auf noch mehr solcher Beiträge von Dir - und damit erstmal herzlich willkommen hier!
     
  7. rufus999

    rufus999 Neuer User

    Registriert seit:
    8 Apr. 2006
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    erstmal vielen Dank für diesen tollen Beitrag!
    Ich würde auch gern das ds-mod installieren und diese Einstellungen vornehmen. Aber wie ist es mit den Firewalleinstellungen die bereits auf dem dsl interface standardmässig liegen? Also die von Haus aus von AVM gemacht wurden, um die Rechner im "eigenen LAN" zuschützen? Gehen diese mit der obigen Einstellung verloren?

    Gruß ironbox
     
  8. knox

    knox Mitglied

    Registriert seit:
    20 Mai 2006
    Beiträge:
    577
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    es gibt keine firewalleinstellungen für rechner "im eigenen LAN" - die fritzbox leitet alle pakete in den internen netzen ungefiltert weiter. jeder client muss für seine sicherheit selbst sorgen - was aber nichts ungewöhnliches ist.
    die fritzbox firewall blockiert nur den verkehr aus dem internet in die internen netze. dieses ist kaum bzw. nur eingeschränkt über das webinterface konfigurierbar.
    da diese filter innerhalb des avm-eigenen closed source dsl-modul erfolgt, wird es in keiner weise beeinflusst, wenn man das ds-mod mit iptables installiert.
     
  9. 3dfxatwork

    3dfxatwork Neuer User

    Registriert seit:
    22 Juli 2005
    Beiträge:
    112
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Halle
    Hallo,

    is zwar ne super Anleitung, jedoch muss man den Hacken bei "Alle Computer befinden sich im selben IP-Netzwerk" setzen, wenn man die Box über LAN A mit Inet versorgen will, denn ich bräuchte die Konfiguration Lan A ist Inet für die Box als IP Client, nich als selbst aufbauend, da is ja aus dem LAN sonst nich mehr an die rankommen würde, und dann mit LAN B und WLAN quasi nen getrennten AP (Also als Bridge zwischen LAN B und WLAN) zusammenbauen kann, da der dann erst durch den Software Router mit VPN muss, bevor man an das interne LAN kommt, was auch an LAN A anliegt.

    Wenn da jemand ne idee hat wäre schön, die IP Tables regeln kann ich auch selbst erstellen, nur halt wie is das mit dem Hacken und der Konfiguration fürs Internet?

    MFG Matthias
     
  10. x1jmp

    x1jmp Neuer User

    Registriert seit:
    7 Okt. 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Standardmäßig haben die Netze Zugriff aufeinander, auch wenn der Haken gesetzt ist.
    Du könntest eventuell versuchen, von und LAN B und WLAN nur den Zugriff auf die IP des Routers an LAN A, der den Internetzugang zur Verfügung stellt, zu erlauben.
    Allerdings ist das hier etwas Off-Topic. Wenn du ausführlichere Antworten willst, solltest du ein neues Thema starten und dein Problem in ein paar kürzeren Sätzen beschreiben... :rolleyes: