AVM-Firewall package für Freetz

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
han-solo

han-solo

Mitglied
Mitglied seit
28 Jul 2005
Beiträge
451
Punkte für Reaktionen
0
Punkte
0
Hallo,

nach langen Diskussionen und Entwicklungsarbeiten steht die AVM-Firewall endlich für euch bereit.

An dieser Stelle möchte ich mich erstmal bei MaxMuster bedanken, der sehr viel Entwicklungsarbeit hier reingesteckt hat und das package so schön interaktiv aufbereitet hat. Weiterhin trug Darkyputz mit vielen testings zu neuen Erkenntnissen und Ideen bei.

Wer Firewall-Richtinien einsetzen will, muss also jetzt nicht mehr unbedingt mit iptabels arbeiten, denn die AVM-Firewall bietet zumindest was (incoming und outgoing) für das dsl interface angeht alles was man benötigt. Und zudem ist es winzig klein, weil es keinerlei binarys aufweist. Es ist ja alles schon per default in der AVM-Firmware enthalten.

Leider greifen die Regeln nur für das dsl interface.
Somit lassen sich diese also nicht auf andere Interfaces z.B. zwischen OpenVPN Tunneln (tun0, tun1,...) anwenden. Wer das benötigt, muss doch auf iptabels zurückgreifen.

So, los gehts....

Das package 2.0.3c ist bereits im Subversion Repository eingechecked.

Um manuell (ohne svn up) vorzugehen:
=============================
Ihr müsst das beigefügte File im root-Verzeichnis von freetz entpacken und "make menuconfig" aufrufen.
Es ist dann unter Testing zu finden.

Code: 
tar -xvf avm-firewall-2.0.3c.tgz


So, dann viel Spaß mit dem package und berichtet bitte mal über eure Tests und Erfahrungen.

ACHTUNG: Damit das Regelwerk aktiviert wird, muss ein Häkchen bei "Check to activate rules when saving" gesetzt werden.


EDIT: 12.02.2008 - 16:22 Uhr - V.2.0.3a - Mehr als 50 Rules nutzbar
EDIT: 17.02.2008 - 22:19 Uhr - V.2.0.3c - Multilanguage plus Bugfixes

Gruß
Han-Solo
 

Anhänge

  • avm-firewall.jpg
    avm-firewall.jpg
    179.6 KB · Aufrufe: 2,499
  • avm-firewall-2.0.3c.tgz
    17.3 KB · Aufrufe: 434
Zuletzt bearbeitet von einem Moderator:
Vielen Dank für die große Mühe, die Ihr Euch gemacht habt! :groesste:

Ich werde es gleich heute abend mal antesten...
 
Super Danke

Danke, hat alles super ( sogar beim 1 mal ) funktioniert.

Macht weiter so. *Jubel*

Basti

Signatur wurde Leider nicht angezeitgt

---------------------------
Speedport W900V mit Freetz rev. 1823 ( Alienware 7170) + T-com Beta
Pakete:
downloader-0.2, callmonitor-1.10.2, avm-firewall-2.0.3, dnsmasq-2.40, privoxy-3.0.6, rrdtool-1.2.23, tor-0.1.2.19, collectd-4.0.7, fstyp-0.1, haserl-0.9.21, inadyn-1.96.2, modcgi-0.2, ntfs-1.2129, syslogd-cgi-0.2.3

DSL = T-com Beta Tester im Rate Adaptive Mode (Ram)mit 6000/700
 
Zuletzt bearbeitet von einem Moderator:
... tut mir ja leid, aber für "große" Benutzer muss ich gleich noch ein Update nachschieben :-(. Ab 50 Regeln wird diese Version nicht mehr funktionieren. Sorry, ist mir erst jetzt ein-/aufgefallen...

Ein kleines "Zusatzbonbon": Man kann mit dem "Standard"-Button die AVM-Defaultregeln zurückladen (gibt zwar einmal "Mecker" vom rc, dass es nicht aus der GUI aufgerufen wurde, aber es funktioniert.)

Jörg
 
Zuletzt bearbeitet:
wäre vermutlich sowieso keinem hier aufgefallen....
Danke, dass ihr es so ausgiebig testet. Checkt doch es in svn ein! Ich glaube, Beta-Satatus hat euer Werk auf jeden Fall erreicht.

MfG
 
Na, ist doch schön, daß mein Aufruf per Sticky Thread nach einiger Zeit Früchte getragen hat. Herzlichen Dank an alle, die mitgemacht haben (ich komme ja nicht mehr groß dazu, was zu machen). Hatte ich mir doch gedacht, daß da was gehen müßte mit der AVM-Firewall. :D
 
Könnt Ihr mal kurz erklären, was der Unterschied zur AVM-Weboberfläche ist? Wo ist der "Mehrwert"?

Beste Grüße,
Whoopie
 
... es gibt gar keine Oberfläche zur Firewall von AVM ;-)...

Jörg
 
ups, hatte das mit dem Portforwarding verwechselt. ;)
 
2 Anmerkungen

a)
das Zurueckladen der Standardregeln ist eine schoene Idee, aber bei mir hat es auch die Internet-Zugangsregeln und die geaenderten LAN Netzwerksettings und die Portfreigaben gecleared. Eklig.

b)
Ich wuerde gerne das Webinterface :80-81 nur vom lan-a aus zugaenglich haben.
Ich versuchte (in Pseudonotation, das neue avm-fw gui fuehrte zu einem Reset der Box)
permit net lana tcp :80-81 host lana-fritzbox-ip
deny net wlan tcp :80-81 host lana-fritzbox-ip
deny net wlan tcp :80-81 host wlan-fritzbox-ip

mit dem Ergebnis:
multid[1067]: /var/flash/ar7.cfg:212: member "permit tcp 10.1.1.0 255.255.255.0 host 10.1.1.1 range 80 81" not found in ST_struct DPCFG_ipfw_set
multid[1067]: /var/flash/ar7.cfg:212: missing "=" or "{" after unknown member "permit tcp 10.1.1.0 255.255.255.0 host 10.1.1.1 range 80 81"
multid[1067]: /var/flash/ar7.cfg:213: missing "}" after members of struct DPCFG_ipfw_set
multid[1067]: /var/flash/ar7.cfg:213: missing "}" after members of struct DPCFG_config
multid[1067]: /var/flash/ar7.cfg:214: missing "}" after members of struct dslifaceconfig
multid[1067]: /var/flash/ar7.cfg:214: missing "}" after members of struct ar7cfg
multid[1067]: FactoryDefault=/etc/default/avm/ar7.cfg (ar7)
multid[1067]: load_config(ar7): factory default loaded
 
Moin,

dass es dein Rules und Einstellungen gekillt hat ist blöd, so soll es natürlich nicht sein! Ich denke aber, das liegt vermutlich nicht an den defaults, sondern an einem anderen generellen Problem (deine Box sieht in der erzeugten ar7.cfg Fehler und lädt die Default ar7.cfg, deshalb sind auch die anderen Einstellungen weg.).

Könntest du uns ein wenig Unterstützen (benötigt Shell-Zugang)? Dann würde ich dich um folgendes bitten (damit erstellst du Regeln, aber in einer Kopie, nicht in der Original-Datei):
Code: 
cat /var/flash/ar7.cfg > /var/tmp/ar7.cfg
sed 's%/var/flash/ar7.cfg%/var/tmp/ar7.cfg%'  /etc/init.d/rc.avm-firewall > /var/tmp/rc.avm-firewall
mount -o bind /var/tmp/rc.avm-firewall /etc/init.d/rc.avm-firewall
chmod +x /var/tmp/rc.avm-firewall
Vorsichtshalber mal in "/var/tmp/rc.avm-firewall" prüfen, ob oben bei "REAL" nun die Datei in /var/tmp/ar7.cfg steht, und dann nochmal versuchen, die Änderung einzugeben (nur Übernehmen, ohne "Apply").

Wenn du die dann erzeugten Regeln posten könntest???
Code: 
sed -n '/dslifaces/,/forward/p' /var/tmp/ar7.cfg

Danke!

EDIT: Korrigiert, das rc-File muss verändert werden!!!
EDIT2: Dass die "erwünschte" Regel so nicht greifen wird, sei auch noch erwähnt (wirkt nur auf "DSL-Verbindungen")!


Jörg
 
Zuletzt bearbeitet:
der Output wie gewuenscht haengt unten dran.
Sieht doch ganz gut aus?

Das Zugriffsproblem loese ich nun erstmal durch Stoppen der beiden webserver Prozesse.
 

Anhänge

  • test.output.txt
    4.6 KB · Aufrufe: 132
Hallo allerseits,

ich habe soeben ein svn up auf trunk 1829 gemacht, da ich Euer Firewall-Paket testen wollte.
Nach einem make wurde iptables heruntergeladen und compiliert obwohl iptables nicht ausgewählt ist.
Normales Verhalten oder Fehler?

wengi
 
greifswalder schrieb:
Sieht doch ganz gut aus?
Zum Vergrößern anklicken....
... leider nicht. Die Zeile "accesslist = " fehlt bei dir zwischen policy = "permit"; und den Rules...

EDIT: könntest du die gleiche (sed) Ausgabe mal von deiner /var/flash/ar7.cfg machen?

Jörg
 
Zuletzt bearbeitet:
ok, da ist sie drin:

dsldpconfig {
security = dpsec_firewall;
lowinput {
policy = "permit";
accesslist =
"deny ip any 242.0.0.0 255.0.0.0", /*AVM*/
 
... ich würde das gerne weiter eingrenzen, wenn du noch etwas "Puste hast" ;-)

Die Zeilen die den entsprechenden Eintrag generieren sind :
Code: 
REAL=/var/flash/ar7.cfg
DSLIFACES="`cat $REAL | sed   -n '/dslifaces/,/} {/p' `";
LOWINPUT=`echo "$DSLIFACES" | sed -n '/lowinput/,/}/p' `
SPACES="`echo "$LOWINPUT" | sed -n 's/\(^[ ]*\)"\(permit\|deny\|reject\).*;.*/\1/p'`";
# Der "accesslit" String (leere Rulestabelle ist ohne accesslist-Eintrag!)
ACCL=`echo "$DSLIFACES" | grep -m1 accesslist`

echo "$ACCL"

Könntest du das bitte mal in deine Box "pasten"?

Danke!


Jörg

EDIT und wenn du besonders viel Zeit hast: Wenn bei dem "echo" oben die Zeilemit "accesslist" kommt, dann könntest du vielleicht noch folgendes testen:

Code: 
echo "`cat /var/tmp/rc.avm-firewall | sed 's/="$ACCL$RET"/="${ACCL}${RET}"/' `" > /var/tmp/rc.avm-firewall
Und dann nochmal eine Regel in der GUI eintragen (solange du nach dem oben genannten Versuch mit der /tmp/ar7.cfg nicht rebootet hast oder das rc-File wieder ungemountet hast)
 
Zuletzt bearbeitet:
@wengi
Normal. Ich hab da was geändert. So dass iptables jetzt immer mitkompiliert wird.

MfG Oliver
 
warum soll iptables immer mitkompiliert werden?
 
Leider greifen die Regeln nur für das dsl interface.
Zum Vergrößern anklicken....

When running in ata mode (behind a modem connected to LAN1 port), can the packet filter then be manipulated, or exludes dsl interface this WAN interface?
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 542 (Mitglieder: 32, Gäste: 510)

Neueste Beiträge

Statistik des Forums

Themen
246,142
Beiträge
2,246,794
Mitglieder
373,645
Neuestes Mitglied
TheoH
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück