Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Hi all, da die FBF linux betreibt wäre es sehr interessant einen www-Server Mod für die FBF zu schreiben. Selbst wenn man nur ein paar KB Webspace hätte wäre es genial, da die FBF immer online ist und im gegensatz zu einem echten Server weniger Strom frist und kein Lärm verursacht.
Hier im Forum wurde schon mal beschrieben (ich glaube, es war MaZderMind, kann mich aber auch täuschen...), wie man das vom in der Box integrierten webserv auf ein anderes Verzeichnis "umbiegt". Dort kannst Du dann Deine Dateien ablegen. Außerdem mußt Du den Zugriff von extern auf Port 80 der Box freigeben (per Konfiguration in der ar7.cfg).
Hä? Die Box hat einen Webserver, den Du auch von außen erreichen kannst, wenn Du richtig konfigurierst (siehe Forumssuche). Der Webserver kann eigene Seiten und CGI-Scripte liefern (war in irgendeinem Thread enthalten).
das dürfte aus platzgründen unmöglich sein...aber vielleicht lässt sich der externe massenspeicher der neuen fritzbox 3050 für sowas nutzen!?
aber ich tippe eher auf "nicht möglich" :roll:
leider nicht viel, aber genaue zahlen kwnn ich nicht liefern.
Das Problem des umbiegens des HTTP-Servers nach außen, ist dass dann auch das Webinterface offen im iNet liegt. Ich habe auch eine Möglichkeit gepostet das Webinterface nur für bestimmte IPs zu öffnen. Ich werde nachher Code posten.
Gruß, Peter
Du kannst auch einfach den Webserver für die Konfiguration in der ar7.cfg auf einen anderen Port legen um dem aus dem Weg zu gehen. Also z.B. thttpd auf Port 80 und eine Forward Regel für Port 80 und websrv (Webserver von AVM) auf Port 8000. Damit ist thttpd sowohl von außen alsauch von innen auf Port 80 erreichbar. Zum Konfigurieren müßtest du dann auf http://fritz.box:8000/
er meint ja dann dass man auch von aussen configen könnten.
Hat eigentlich einer schon mal stunnel probiert dort auf ne fb zu installiern um die Kommunikation mit ssl zu verschlüsseln. Dann wär es ok. Find ich mal.
Achso, ich könnt mir vorstellen dass man den cgi code ändert, dass er nur von best. ips die configseiten aufrufen kann.
Ich dachte MaZderMind will verhindern, dass die Konfiguration im Internet erreichbar ist. Was ich nicht verstehe ist, warum er den Zugriff von einzelnen IPs sperren will, wenn man doch besser (wie auch diskutiert) einen zweiten http Server für die öffentlichen Seiten verwendet. Wenn der Webserver von Außerhalb auf Port 80 erreichbar sein soll, dann muß man halt den Konfig-Webserver auf einen anderen Port verfrachten. Damit ist der Konfig-Webserver dann nicht im Internet.
@Temp:
Was nützt dir eine SSL Verschlüsselung alleine? Nur dass man dein Passwort nicht mitsniffen kann, aber eventuelle Sicherheitslücken (wie sie bei Linksys zuletzt festgestellt wurden: http://www.heise.de/newsticker/meldung/63931) sind immer noch aus dem Internet ausnutzbar. Verschlüsselung ist nicht gleich Authentifizierung. SSL zusammen mit basic authentification fänd ich wieder akzeptabel (oder auch VPN), dem CGI der Fritzbox traue ich nicht. Glaube aber nicht dass der websrv basic authentification kann. Diese Webinterfaces sind meiner Meinung nicht fürs Internet geeignet.
Und jetzt mal ehrlich, mir fällt keine sinnvolle Anwendung ein.
Hi
Wenn man natürlich einen 2. Webserver installieren kann ist das kein Prob, die Frage ist nur, wie man den auf die Box bekommt (Platzproblem) und wie man die eigenen Webseiten und den Server über einen neustart hinwegrettet. Der nächste Punkt ist, dass der Webserver natürlich als Root läuft. Wenn es also durch eine Schwachstelle gelingt, zugriff auf die Shell zu bekommen, kann ich ganz schnell deine iNet && VoiIP-Daten auslesen und auf deine Kosten telefonieren. Der nächste Punkt ist der Prozessor der FBF - der ist für sowas natürlich nicht gedacht. Heißt also, dass drei Webseitenabrufe die Box sosehr auslasten, dass Telefonieren nicht mehr möglich ist. Kein wünschenswerter Zustand...
Ergo ist ein Webserver auf der Box nicht besonders Sinnvoll. Warum ich mich dennoch damit beschäftige? Ich baue diverse Mods, die sich über das Webinterface ansteuern lasen, immoment z.B. den WOL-Mod. Ich möchte meinen PC von außen aufwecken können. Wegen dieses einen Shellscriptes lohnt es sich jedoch nicht einen eigenen Webserver zu installieren...
Ok, das mit dem WOL cgi ist eine sinnvolle Angelegenheit. Bei mir wird die Fritzbox aber auch in Zukunft keinerlei Serverdienste ins Internet anbieten (bis auf eventuell openvpn).
@MaZderMind:
Mich interessiert schon, wie einzelne IPs beim AVM Webserver gesperrt werden können. Das Problem ist aber weiterhin, dass man sich nicht im klaren über Sicherheitslücken des AVM Daemons sein kann. Er ist ja nicht Quell-offen und keiner weiß, wie schlampig der geschrieben ist.
Hi
Das ganze Webfrontend wird über ein einziges Binary (webcm) gesteurt. Ich lenke erst den Webserver so um, dass ich schreibrechte auf dessen cgi-bin-Verzeichniss bekomme. Dann erstelle ich einen zufälligen String und benenne das webcm-Binary danach um. Nu schreib ich ein Shellscript und speichere es als webcm ab. In dem Shellscriptkann ich die Umgebungsvariuable $REMOTE_ADDR auswerten, die die IP des aufrufenden Clients beinhaltet. Abhängig davon führe ich entweder das zufüllig umbenannte webcm aus (beim erstellen des Scellscriptes in der debug.cfg wird der String mit in das Shellscript geschrieben), oder ich gebe eine Fahlermeldung aus. Andere Scripte im cgi-bin werden dadurch nicht beeinflusst.
Gruß, Peter
Ist mir auch schon mal aufgefallen, dass alles über ein cgi Binary läuft. Die Idee gefällt mir. Wäre es aber nicht möglich webcm ganz aus dem cgi-bin Verzeichnis rauszunehmen anstatt es umzubenennen, z.B. von /usr/www/cgi-bin/webcm nach /usr/www/cgi-bin-hidden/webcm? Dann kann man webcm nicht mal durch "erraten" deines zufälligen Namens aufrufen bzw. muss garnicht erst umbenannt werden.
Hmm
also es is noch viel einfacher. Beim Umlenken wird das original-webcm nach /var/html.orig/cgi-bin/webcm gelegt, als /var/html/cgi-bin/webcm wird dann das shellscript gelegt.
Kennst du vllt. noch eine elegante möglichkeit zu prüfen ob eine IP in einem bestimmten Subnetz liegt? sed kann ja IMHO nur Ersetzen, kein Matchen.
Ich hab das bisher so versucht (code der neuen webcm):
Code:
#!/bin/sh
if [ -n "`echo "${REMOTE_ADDR}" | sed 's/192\.168\.178\....//'`" ]; then
echo 'Content-Type: text/plain'
echo 'Error 403: Forbidden'
else
/var/html.orig/cgi-bin/webcm
fi
hi all, habe mal die Oberfläche public gemacht kann jetzt von überall auf meine Oberfläche, musste aber in der arc7.cfg editieren, die oberfläche verbietet den Port 80 für die ip der fbf zu forwarden.
Das einzigstes was jemanden noch nerven könnte, nach der einstellung kann man keine portfreigabe mehr machen da die box sofort loschimpft sobald man nur einen knopf unter portfreigabe drück, da der 80er port offen ist ^^
Da ich meinen PC aber als DMZ eingetragen habe macht mir das nix =)
hmm, wenn ich dich richtig verstanden habe, hast du jetzt zugriff auf das webinterface vom internet aus.
ist zwar auch ne lösung so wie du das gemacht hast, aber mit einem kleinen trick geht das noch etwas einfacher: du erstellst eine ganz normale portfreigabe im webinterface (nix telnet...) und forwardest port 80 auf die IP 192.168.179.1 ! Das ist die IP der fritzboxen, unter der sie immer erreichbar sind, und die IP wird nicht geblockt! Danach kann man auch weiter normal portfreigaben erstellen usw, und du kannst auch die portfreigabe einfach & schnell wieder deaktivieren :wink:
Mein Trick ist änlich
Webinterface der "normalen" F!B 3050 public gemacht.
login.html (das gibt es 2x! /usr/www/all/html/login.html und /usr/www/all/html/de/login.html)
ersetzen.
Diese enhält den eine Link oder Reload auf die FTP-Adresse von wo weitere HTML geladen werden können.
Einziges Problem: damit ich noch an die Einstellungsseiten komme muß die Passwortabfrage erhalten bleiben.
Wer mein Passwort errät kan die Box also Fernwarten
also habe ich Port 80 erst mal wieder deaktiviert.
Wem die F!B 3050 nicht normal genug ist kann sich ja die neue F!B Fon 7170 zulegen. = F!B 3070 & F!B fon 7050 in einem.
