WLAN von LAN trennen mit iptables

[x1jmp]

Aktuelle Version nun im Wiki: WLAN von LAN trennen mit iptables

Dies ist eine kurze Anleitung, um das WLAN der FRITZ!Box unverschlüsselt zugänglich zu machen, ohne das eigene LAN oder die Box selbst zu gefährden.

Voraussetzung ist natürlich der ds-mod wegen iptables.
Zuerst muss im FRITZ!Box-Webinterface unter System->Netzwerkeinstellungen->IP-Adressen die Option "Alle Computer befinden sich im selben IP-Netzwerk" deaktiviert sein. Dabei werden nicht nur die Netze getrennt, sondern es entsteht ein neues Interface wlan.

Danach können die Regeln für iptables gesetzt werden.
Dies sind einfache Befehle, die auf der Kommandozeile per telnet/ssh ausgeführt werden.
Sollen sie dauerhaft bestehen bleiben, einfach in die /var/flash/debug.cfg schreiben.

iptables -A FORWARD -i wlan -o dsl -j ACCEPT
iptables -A FORWARD -i wlan -j DROP

Damit wird das interne Netz geschützt, die Box selbst jedoch nicht.

iptables -A INPUT -i wlan -p tcp -j DROP
iptables -A INPUT -i wlan -p udp -j DROP

Jetzt ist auch der Zugriff per TCP/UDP auf die Box blockiert, sie antwortet jedoch noch auf Pings.
Allerdings ist damit jedoch auch der DNS-Server nicht mehr erreichbar und alle Rechner im WLAN können keine Domainnamen (z. B. google.de) mehr aufrufen.

Die Regeln werden von iptables der Reihe nach abgearbeitet, die Option -A in den vorigen Befehlen steht für append, d. h. die Regeln wurden am Ende der Liste eingefügt.

Mittels -I (für insert) kann man nun Regeln an den Beginn der Liste setzen, um Ausnahmen für bestimmte Dienste einzurichten, z. B. für den DNS-Server via TCP und UDP.

iptables -I INPUT -i wlan -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan -p udp --dport 53 -j ACCEPT

Danach können Computer im WLAN wie gewohnt die Internetverbindung benutzen ohne Zugriff auf das Webinterface der Box oder Computer im LAN zu haben.

Zusätzlich lassen sich die Regeln für mehr Zugriff auf die Box noch erweitern:

# ssh
iptables -I INPUT -i wlan -p tcp --dport 22 -j ACCEPT
# OpenVPN
iptables -I INPUT -i wlan -p udp --dport 1194 -j ACCEPT

Der Zugriff lässt sich daher beliebig nach dem Schema

iptables -I INPUT -i wlan -p <Protokoll> --dport <Port> -j ACCEPT

erweitern.


Die Anleitung ist nun etwas lang geworden, allerdings hoffentlich auch iptables-Kenntnisse zu verstehen.

 

[knox]

vielen dank für diese anleitung! wenn du das jetzt noch ins wiki überträgst, setzt du der sache die krone auf

 

[buergernb]

Hi x1jmp,

super Sache. Danke für diese verständliche Anleitung.
Ein Wunsch bleibt bei mir aber noch offen: Kann ich best. Rechnern im WLAN trotzdem den Zugriff auf die Box gewähren. Z.B. wäre es mir lieb, weil eben bequem, weiterhin von meine Notebook aus Einstellungen vornehmen zu können. Danke,

Nils

 

[knox]

Ein Wunsch bleibt bei mir aber noch offen: Kann ich best. Rechnern im WLAN trotzdem den Zugriff auf die Box gewähren.

klar, das wäre schon machbar, zb anhand der ip(s).
aber an sich ist es ein besserer weg, vom wlan aus eine vpn verbindung aufzubauen, da wlan als unsicher einzustufen ist.
d.h. wlan clients dürfen nichts, ausser ssh und vpn (wie im beispiel oben gezeigt). wenn ein client dann "mehr" möchte, geht das durch den gesicherten vpn kanal.
eine andere, noch einfacherere alternative wäre, eine ssh verbindung zur box aufzubauen (die im obigen beispiel ebenfalls erlaubt wird) und dann über einen ssh tunnel auf das webinterface zuzugreifen.
einfach mal googlen, ssh tunnel sind nicht schwer (z.b. mit putty).

 

[x1jmp]

Kann ich best. Rechnern im WLAN trotzdem den Zugriff auf die Box gewähren. Z.B. wäre es mir lieb, weil eben bequem, weiterhin von meine Notebook aus Einstellungen vornehmen zu können.

Wie knox schon erwähnt hat, geht das über die IP- oder die MAC-Adresse. Beide lassen sich jedoch frei wählen, deshalb kannst du den Zugriff damit nicht auf bestimmte Computer beschränken.

Mit OpenVPN kannst du eine verschlüsselte Verbindung ins LAN aufbauen und alle Rechner dort direkt erreichen. Der Computer verhält sich dann praktisch so, als wäre er am LAN angeschlossen.
Außerdem kannst du deine Internetanfragen darüber leiten, dann werden sie nicht mehr über das unverschlüsselte WLAN übertragen.

 

[Moonbase]

@x1jmp:

Alle wichtigen Punkte drin, der Ansatz stimmt und ist "richtig herum" aufgebaut (von "zu" nach "auf"), ein gutes Beispiel gewählt und dann noch so geschrieben, dass es wirklich jeder verstehen kann.

Wow. Einfach toll gemacht, dickes Lob!

Freue mich schon auf noch mehr solcher Beiträge von Dir - und damit erstmal herzlich willkommen hier!

 

[rufus999]

Hallo zusammen,

erstmal vielen Dank für diesen tollen Beitrag!
Ich würde auch gern das ds-mod installieren und diese Einstellungen vornehmen. Aber wie ist es mit den Firewalleinstellungen die bereits auf dem dsl interface standardmässig liegen? Also die von Haus aus von AVM gemacht wurden, um die Rechner im "eigenen LAN" zuschützen? Gehen diese mit der obigen Einstellung verloren?

Gruß ironbox

 

[knox]

wie ist es mit den Firewalleinstellungen die bereits auf dem dsl interface standardmässig liegen? Also die von Haus aus von AVM gemacht wurden, um die Rechner im "eigenen LAN" zuschützen? Gehen diese mit der obigen Einstellung verloren?

es gibt keine firewalleinstellungen für rechner "im eigenen LAN" - die fritzbox leitet alle pakete in den internen netzen ungefiltert weiter. jeder client muss für seine sicherheit selbst sorgen - was aber nichts ungewöhnliches ist.
die fritzbox firewall blockiert nur den verkehr aus dem internet in die internen netze. dieses ist kaum bzw. nur eingeschränkt über das webinterface konfigurierbar.
da diese filter innerhalb des avm-eigenen closed source dsl-modul erfolgt, wird es in keiner weise beeinflusst, wenn man das ds-mod mit iptables installiert.

 

[3dfxatwork]

Hallo,

is zwar ne super Anleitung, jedoch muss man den Hacken bei "Alle Computer befinden sich im selben IP-Netzwerk" setzen, wenn man die Box über LAN A mit Inet versorgen will, denn ich bräuchte die Konfiguration Lan A ist Inet für die Box als IP Client, nich als selbst aufbauend, da is ja aus dem LAN sonst nich mehr an die rankommen würde, und dann mit LAN B und WLAN quasi nen getrennten AP (Also als Bridge zwischen LAN B und WLAN) zusammenbauen kann, da der dann erst durch den Software Router mit VPN muss, bevor man an das interne LAN kommt, was auch an LAN A anliegt.

Wenn da jemand ne idee hat wäre schön, die IP Tables regeln kann ich auch selbst erstellen, nur halt wie is das mit dem Hacken und der Konfiguration fürs Internet?

MFG Matthias

 

[x1jmp]

Wenn da jemand ne idee hat wäre schön, die IP Tables regeln kann ich auch selbst erstellen, nur halt wie is das mit dem Hacken und der Konfiguration fürs Internet?

Standardmäßig haben die Netze Zugriff aufeinander, auch wenn der Haken gesetzt ist.
Du könntest eventuell versuchen, von und LAN B und WLAN nur den Zugriff auf die IP des Routers an LAN A, der den Internetzugang zur Verfügung stellt, zu erlauben.
Allerdings ist das hier etwas Off-Topic. Wenn du ausführlichere Antworten willst, solltest du ein neues Thema starten und dein Problem in ein paar kürzeren Sätzen beschreiben...