AVM-Firewall package für Freetz
- Ersteller han-solo
- Erstellt am
noch garnichst ^-^
Aber mir ist der Gedanke gekommen, dass man sowas wie peerguardian doch auch auf hardwareseitig lösen könnte. Stelle ich mir "besser" vor...
Aber mir ist der Gedanke gekommen, dass man sowas wie peerguardian doch auch auf hardwareseitig lösen könnte. Stelle ich mir "besser" vor...
Hi,
ich habe mit dem Frontend ein Problem beim definieren ausgehender Regeln. Ich nutzte die gefreetzte 2170 (freetz-devel-2238 ) um den Zugriff aufs Internet zu reglementieren, sprich ich setze die impliziete Standardregel highoutput auf deny und füge dann die Netze, Hosts in die Rules hinzu.
Wenn ich dann Aktivieren-Haken, Übernehmen betätige und einen Reboot mache sind im WebIF alle Rules weg..., in der ar7.cfg jedoch richtig vorhanden. Auch im "Debug-Regelwerk" können sie angezeigt werden...
Da steht dann allerdings folgendes drin:
policy = "deny
permit ip 192.168.30.15 255.255.255.0 any
...
Entferne ich die erste Zeile, werden die Rules auch wieder angezeigt...
Nächstes Problem: lowinputs werden weder im Regelwerk noch in den Rules angezeigt, obwohl in der ar7.cfg vorhanden
Irgendwie nicht so richtig konsistent...
Mach ich was falsch?
ich habe mit dem Frontend ein Problem beim definieren ausgehender Regeln. Ich nutzte die gefreetzte 2170 (freetz-devel-2238 ) um den Zugriff aufs Internet zu reglementieren, sprich ich setze die impliziete Standardregel highoutput auf deny und füge dann die Netze, Hosts in die Rules hinzu.
Wenn ich dann Aktivieren-Haken, Übernehmen betätige und einen Reboot mache sind im WebIF alle Rules weg..., in der ar7.cfg jedoch richtig vorhanden. Auch im "Debug-Regelwerk" können sie angezeigt werden...
Da steht dann allerdings folgendes drin:
policy = "deny
permit ip 192.168.30.15 255.255.255.0 any
...
Entferne ich die erste Zeile, werden die Rules auch wieder angezeigt...
Nächstes Problem: lowinputs werden weder im Regelwerk noch in den Rules angezeigt, obwohl in der ar7.cfg vorhanden
Irgendwie nicht so richtig konsistent...
Mach ich was falsch?
Ich habe seit kurzem Freetz 1.0 mit der AVM-Firewall-Oberfläche installiert.
Schon alleine wenn ich das Logging einschalte und unten den Haken für einen dsld-Neustart setze zerlegt es mir hin und wieder die ar7.cfg. - Warum konnte ich noch nicht genau herausfinden.
An den Firewall-Regeln habe ich noch nichts geändert.
Bei ca. jedem dritten Versuch funktioniert es aber auch wie gewünscht. - Dann wird mir aber das Syslogd-Protokoll mit sekündlichen Einträgen ala
vollgeschrieben.
Mache ich da etwas falsch, oder ist meine Fritz!Box einfach nicht Firewalltauglich ;-)
Danke und Grüße
smileyman
Schon alleine wenn ich das Logging einschalte und unten den Haken für einen dsld-Neustart setze zerlegt es mir hin und wieder die ar7.cfg. - Warum konnte ich noch nicht genau herausfinden.
An den Firewall-Regeln habe ich noch nichts geändert.
Bei ca. jedem dritten Versuch funktioniert es aber auch wie gewünscht. - Dann wird mir aber das Syslogd-Protokoll mit sekündlichen Einträgen ala
Code:
[COLOR=blue]User.Info[/COLOR] 'IP-Adresse der FB' 'Datum - Uhrzeit' [COLOR=red]kernel:[/COLOR] [COLOR=#ff0099]kdsld:[/COLOR] [COLOR=green]DSL(internet):[/COLOR] [COLOR=#990099]rcv_packet_drop:[/COLOR] [COLOR=brown]by[/COLOR] [COLOR=navy]etherarp[/COLOR] [COLOR=#ee6600]ether[/COLOR] 0x806 'MAC-Adresse meines Kabelmodems'-> ff:ff:ff:ff:ff:ff<000>vollgeschrieben.
Mache ich da etwas falsch, oder ist meine Fritz!Box einfach nicht Firewalltauglich ;-)
Danke und Grüße
smileyman
Hi,
also die ar7.cfg "zerlegen", das sollte natürlich nicht sein... Konntest du genauer feststellen, wo es schief geht?
Dass die Boxen manchmal beim Übernehmen neu starten war schon bekannt...
Das Ergebnis ist dann das Log, nämlich z.B. die verworfenen Pakete wie bei dir.
Generell ist dies ein "sehr spezielles" Paket, das aus meiner Sicht hauptsächlich für die Beschränkung von "rausgehendem" Traffic sinnvoll einsetzbar ist für anderes sind die Möglichkeiten doch arg begrenzt....
Jörg
also die ar7.cfg "zerlegen", das sollte natürlich nicht sein... Konntest du genauer feststellen, wo es schief geht?
Dass die Boxen manchmal beim Übernehmen neu starten war schon bekannt...
Das Ergebnis ist dann das Log, nämlich z.B. die verworfenen Pakete wie bei dir.
Generell ist dies ein "sehr spezielles" Paket, das aus meiner Sicht hauptsächlich für die Beschränkung von "rausgehendem" Traffic sinnvoll einsetzbar ist für anderes sind die Möglichkeiten doch arg begrenzt....
Jörg
Hi Jörg,
Frage am Rande: Warum wurde eigentlich die Integration der Port Forwardings wieder rausgenommen?
wengi
Frage am Rande: Warum wurde eigentlich die Integration der Port Forwardings wieder rausgenommen?
wengi
Hi Wengi,
weil da gerade die Möglichkeit aufkam, das in der GUI zu machen (und die "Ausblendung" nach dem Eintragen nicht so relevant schien).
Der große Nachteil bei unserer GUI-Version ist, dass die Übernahme das "Killen" von Diensten erfordert (beim Frowarding "ctlmgr"), was eben nicht selten die Boxen zum "Absturz" bringt.
Da ich aber letztens nochmal dazu befragt wurde, hatte ich das nochmal wieder integriert (nur so auf die Schnelle, bei mir geht es aber), wenn du also möchtest...
Jörg
weil da gerade die Möglichkeit aufkam, das in der GUI zu machen (und die "Ausblendung" nach dem Eintragen nicht so relevant schien).
Der große Nachteil bei unserer GUI-Version ist, dass die Übernahme das "Killen" von Diensten erfordert (beim Frowarding "ctlmgr"), was eben nicht selten die Boxen zum "Absturz" bringt.
Da ich aber letztens nochmal dazu befragt wurde, hatte ich das nochmal wieder integriert (nur so auf die Schnelle, bei mir geht es aber), wenn du also möchtest...
Jörg
Wo es genau schiefgeht, blicke ich selber gerade nicht durch. - Ich habe es vorhin nochmals probiert.
Die Fritz!Box wurde davor von mir händisch rebootet. - Einzig die Pakete webcfg/telnetd, callmonitor/dnsmasq/openntpd/syslogd sowie die AVM-Firewall werden automatisch mitgestartet. Weiterhin habe ich noch swap/crond, iptables/checkmaild/netsnmp/privoxy installiert. - Diese sind allerdings nicht in Verwendung und werden auch nicht mitgestartet.
In der AVM-Firewall habe ich nur oben den Haken 'logging einschalten' gesetzt. Auch unten habe ich den Punk 'Zum Aktivieren ...'angehakt. - Zufälligerweise ging es jetzt mal wieder. - Allerdings erscheinen im Syslog wieder diese interessanten Fehlermeldungen
Pro Sekunde ca. 22 mal. - Dennoch die Fritz!Box läuft klaglos weiter.
Da dieses Problem (mit anschließendem ar7.cfg-Reset) gestern 4-5 Mal aufgetreten ist, habe ich versucht dies zu rekonstruieren. - Allerdings gelingt mir dies nicht - Auch nach dem 20. Versuch, sie rebootet nicht, resetet sich nicht und verrichtet klaglos ihren Dienst :-( ;-)
Sobald das wieder auftritt werde ich mal sehen, was die Fritz!Box so migloggt.
Was mir allerdings aufgefallen ist - (Evtl. bin ich auch momentan einfach zu blöd ;-) ) - Oder ich habe einen Denkfehler?!
Ich habe gerade eben mal eine Regel erstellt:
highoutput Absener: any Ziel: 217.72.192.157 255.255.255.0 Protokoll: ip Aktion: deny
Eigentlich müsste doch jetzt jeglicher ausgehender Traffic auf die genannte IP-Adresse (smtp-Server von web.de) gefiltert werden?! - Dennoch bekomme ich via Telnet (telnet smtp.web.de 25) eine Verbindung.
Die Regelübernahme habe ich auch angehakt.
Danke und Grüße
Die Fritz!Box wurde davor von mir händisch rebootet. - Einzig die Pakete webcfg/telnetd, callmonitor/dnsmasq/openntpd/syslogd sowie die AVM-Firewall werden automatisch mitgestartet. Weiterhin habe ich noch swap/crond, iptables/checkmaild/netsnmp/privoxy installiert. - Diese sind allerdings nicht in Verwendung und werden auch nicht mitgestartet.
In der AVM-Firewall habe ich nur oben den Haken 'logging einschalten' gesetzt. Auch unten habe ich den Punk 'Zum Aktivieren ...'angehakt. - Zufälligerweise ging es jetzt mal wieder. - Allerdings erscheinen im Syslog wieder diese interessanten Fehlermeldungen
Code:
Jun 11 15:58:30 fritz user.info kernel: kdsld: DSL(internet): rcv_packet_drop: by etherarp ether 0x806 00:19:07:54:8c:01 -> ff:ff:ff:ff:ff:ffPro Sekunde ca. 22 mal. - Dennoch die Fritz!Box läuft klaglos weiter.
Da dieses Problem (mit anschließendem ar7.cfg-Reset) gestern 4-5 Mal aufgetreten ist, habe ich versucht dies zu rekonstruieren. - Allerdings gelingt mir dies nicht - Auch nach dem 20. Versuch, sie rebootet nicht, resetet sich nicht und verrichtet klaglos ihren Dienst :-( ;-)
Sobald das wieder auftritt werde ich mal sehen, was die Fritz!Box so migloggt.
Was mir allerdings aufgefallen ist - (Evtl. bin ich auch momentan einfach zu blöd ;-) ) - Oder ich habe einen Denkfehler?!
Ich habe gerade eben mal eine Regel erstellt:
highoutput Absener: any Ziel: 217.72.192.157 255.255.255.0 Protokoll: ip Aktion: deny
Eigentlich müsste doch jetzt jeglicher ausgehender Traffic auf die genannte IP-Adresse (smtp-Server von web.de) gefiltert werden?! - Dennoch bekomme ich via Telnet (telnet smtp.web.de 25) eine Verbindung.
Die Regelübernahme habe ich auch angehakt.
Danke und Grüße
Hi,
versuche doch mal "host 217.72.192.157" oder "217.72.192.0 255.255.255.0". Ich weiß nicht wie sich die FW bei solchen Einträgen verhält.
Jörg
versuche doch mal "host 217.72.192.157" oder "217.72.192.0 255.255.255.0". Ich weiß nicht wie sich die FW bei solchen Einträgen verhält.
Jörg
Ja so gehts. - Danke!
Ich habe jetzt einiges geändert. - Aber die ar7.cfg lebt noch ;-)
So kann ich die Firewall wirklich brauchen. - Super, vielen Dank für eure Mühe!
Interessant jedoch dass dsld die sekündliche Fehlermeldung immernoch auftritt, auch wenn ich dsld ohne Logging starte. - Soweit ich beobachtet habe tritt sie immer auf, sobald dsld einmal händisch (also außerhalb des Boot-Vorgangs beendet und gestartet wurde)
-- Jetzt fällt es mir erst auf: Auch die normalen Log-Einträge werden weitergeschrieben, obwohl dsld (laut ps) ohne Paramter läuft.
Wenn die Firewall ein Packet dropt, sieht der Eintrag so aus. - Ich schließe daraus, dass die CPU selber die IP-Adresse 169.254.2.1 hat (dies war nämlich die Telnet-Verbindung von der Fritz!Box selber aus.)
Code:
06-11-2008 16:52:11 User.Info 192.168.0.1 Jun 11 16:52:10 kernel: kdsld: DSL(internet): snd_packet_drop: by firewall 169.254.2.1 -> 217.72.192.157Wenn ich dann den anderen Eintrag, den mein Kabelmodem sekündlich erzeugt, richtig lese, schickt dieses ständig ARP-Packete, die von etherarp (wer auch immer das ist gedroppt werden) an die Fritz!Box. - Scheinbar will mir dieses ständig eine neue IP-Adresse zuordnen.
Vielen Dank und Grüße
smileyman
@MaxMuster
Nun hat das Problem mal wieder zugeschlagen. - Obwohl ich selber momentan an der Fritz!Box nichts gemach habe, hat die Fritz!Box einen reboot hingelegt. - Warum? Keine Ahnung. - Die Logprotokolle sind ja leider nach einem Reboot immer leer.
Jetzt sind über die Weboberfläche keinerlei Firewall-Regeln mehr zu sehen. - Wirken tuen sie jedoch immernoch. - Auch nach einem dsld-Neustart wirken sie noch.
Gestern, war dies das selbe Phänomen. - Allerdings waren dann auch alle WLAN-Geräte rausgeflogen. - Diese sind jetzt jedoch noch vorhanden.
Habe ich jetzt noch eine Chance zu sehen, was da schiefläuft, oder soll ich die Firewall-Regeln per 'Standard'-Button wiederherstellen?
Grüße
smileyman
Nun hat das Problem mal wieder zugeschlagen. - Obwohl ich selber momentan an der Fritz!Box nichts gemach habe, hat die Fritz!Box einen reboot hingelegt. - Warum? Keine Ahnung. - Die Logprotokolle sind ja leider nach einem Reboot immer leer.
Jetzt sind über die Weboberfläche keinerlei Firewall-Regeln mehr zu sehen. - Wirken tuen sie jedoch immernoch. - Auch nach einem dsld-Neustart wirken sie noch.
Gestern, war dies das selbe Phänomen. - Allerdings waren dann auch alle WLAN-Geräte rausgeflogen. - Diese sind jetzt jedoch noch vorhanden.
Habe ich jetzt noch eine Chance zu sehen, was da schiefläuft, oder soll ich die Firewall-Regeln per 'Standard'-Button wiederherstellen?
Grüße
smileyman
So lange die Regeln in der ar7.cfg stehen, ist es egal, was das WebIF sagt. Denn der dsld liest ebne wohl genau diese aus 
Sorry, dass ich das erst jetzt sehe...
Sind denn die Regeln in der ar7.cfg auch so korrekt vorhanden, inklusive der Hochkommata und richtig eingerückt und so? Was steht denn in der Datei "/mod/etc/conf/avm-firewall.cfg"? Sind da vielleicht "Zinken" drin?
Ich habe das mal gerade teszweise bei meiner Spielbox versucht (umgestellt auf "deny" und oben eine "Permit ip any any" Regel davor. Da ging es:
Code:
...
highinput {
policy = "permit";
}
highoutput {
policy = "deny";
accesslist =
"permit ip any any",
"reject ip any 242.0.0.0 255.0.0.0", /*AVM*/
"deny ip any host 255.255.255.255", /*AVM*/
"reject ip any 169.254.0.0 255.255.0.0", /*AVM*/
"reject udp any any eq 135", /*AVM*/
....Wir habe uns da an den damaligen "Bedarf" angepasst, und ein ausgehendes Regelwerk sollte doch reichen, oder?!?
Falsch machst du vermutlich nichts, es sei denn, du editierst was oben im Debug-Fenster, denn was da drinsteht wird ohne weitere Prüfung weggeschrieben, da könnten dann unerwartete Effekte auftreten. Ansonsten ist auch vielleicht noch irgendwo ein Fehler drin, den sollten wir aber mit den obrigen Infos hoffentlich finden können...
Jörg
Ich würde da erstmal nichts dran machen. Die Regeln im WebIF werden aus der Datei "/mod/etc/conf/avm-firewall.cfg" gezogen (siehe oben), wie sieht denn die bei dir aus??
Jörg
Hallo Jörg,
momentan sieht die avm-firewall.cfg wieder normal aus. - Ich musste wieder die Standard-Regeln übernehmen, da sich die Fritz!Box im drei Minutentakt rebootete. - Ob es daran lag, ich weiß es leider nicht.
Wenn ich mal so phantasiere: Vermutlich wird die Fritz!Box von diesen vielen ARP-Anfragen so unter Beschuss genommen, dass sie nach kurzer Zeit einen Reboot macht.
Dass dann einfach keine Regeln mehr übers Webinterface angezeigt werden, könnte durchaus das selbe Problem wie bei tommatt sein. - Ich werde das mal beobachten.
Bezüglich den ARP-Anfragen mache ich mal ein neues Thema auf. - Vielleicht kann mir da jemand mal einen Tipp geben.
Danke
smileyman
momentan sieht die avm-firewall.cfg wieder normal aus. - Ich musste wieder die Standard-Regeln übernehmen, da sich die Fritz!Box im drei Minutentakt rebootete. - Ob es daran lag, ich weiß es leider nicht.
Wenn ich mal so phantasiere: Vermutlich wird die Fritz!Box von diesen vielen ARP-Anfragen so unter Beschuss genommen, dass sie nach kurzer Zeit einen Reboot macht.
Dass dann einfach keine Regeln mehr übers Webinterface angezeigt werden, könnte durchaus das selbe Problem wie bei tommatt sein. - Ich werde das mal beobachten.
Bezüglich den ARP-Anfragen mache ich mal ein neues Thema auf. - Vielleicht kann mir da jemand mal einen Tipp geben.
Danke
smileyman
.. eine Problematik für "leere" Regeln ist ein Fehler im "cgi"-Skript, denn dann läuft das Javascript Programm nicht weiter. Vielleicht könntest du eventuell mal mittels Firefox und "Firebug" die Seite anzeigen lassen, wenn sie wieder "leere Regeln" haben sollte?
Und gleichzeitig sind dann die oben genannten Infos wichtig: Ist es in der ar7.cfg wirklich "richtig drin" und was steht in "/mod/etc/conf/avm-firewall.cfg"?
Besten Dank für eure Unterstützung und Rückmeldung!
Jörg
Und gleichzeitig sind dann die oben genannten Infos wichtig: Ist es in der ar7.cfg wirklich "richtig drin" und was steht in "/mod/etc/conf/avm-firewall.cfg"?
Besten Dank für eure Unterstützung und Rückmeldung!
Jörg
Ich arbeite grundsätzlich mit dem Firefox. (Firebug werde ich besorgen) -Hier ist er Fehler aufgetreten.
Ich werde mal versuchen, dies nochmals nachzustellen und den ar7.cfg-Inhalt dann auszulesen.
Bezüglich den ARP-Anfragen habe ich herausgefunden, dass diese wohl grundsätzlich erfolgen und nur nicht angezeigt werden, wenn dsld beim Booten mit dem Parameter '-n' gestartet wird.
Sobald jedoch einmal via Freetz der Haken 'Übernehmen' gesetzt wird, wird dsld ohne Parameter aufgerufen. - Evtl. könnte man den hier noch ergänzen?
Grüße
smileyman
Ich werde mal versuchen, dies nochmals nachzustellen und den ar7.cfg-Inhalt dann auszulesen.
Bezüglich den ARP-Anfragen habe ich herausgefunden, dass diese wohl grundsätzlich erfolgen und nur nicht angezeigt werden, wenn dsld beim Booten mit dem Parameter '-n' gestartet wird.
Sobald jedoch einmal via Freetz der Haken 'Übernehmen' gesetzt wird, wird dsld ohne Parameter aufgerufen. - Evtl. könnte man den hier noch ergänzen?
Grüße
smileyman
... danke, das mit dem dsld ist ein guter Hinweis. Ich denke, wir sollten da vielleicht wieder auf die "rc.net reload" gehen (da ist der Parameter mit drin)?!?
Das war in einer älteren Version drin; ich muss mal nachschauen, warum wir das dann geändert hatten...
Jörg
Das war in einer älteren Version drin; ich muss mal nachschauen, warum wir das dann geändert hatten...
Jörg
Ja wäre sicherlich eine Überlegung wert, wenn es sonst keine Probleme auslöst?!
-- Sorry, ist hier eigentlich OT --
Was mir noch auffällt. - Der dsld meldet beim Starten eine Up-/Downstream-Geschwindigkeit zurück. - Wo er die hernimmt ist für mich fraglich.
Wenn die Fritz!Box als Modem tätig ist, wäre es ja kein großes Problem, diese Information abzugreifen.
Bei mir ist die Fritz!Box jedenfalls nur als NAT-Router mit WAN via LAN1 tätig, dennoch zeigt mir dsld einen Wert an. - Evtl. fragt er den vom Modem ab.
Bei mir scheint er jedenfalls zu stimmen. - Evtl. könnte man den dann direkt ins Traffic-Shaping einstellen lassen?!
(Die Schnittstellengeschwindigkeit von LAN1 ist es auf jeden Fall nicht, denn die läuft au 100 MBit/volld.)
Wäre vielleicht mal eine Idee, das irgendwo ins Freetz mit einzubauen?!
-- Sorry, ist hier eigentlich OT, war nur eben so ein Gedankengang von mir --
Firebug gibt es leider momentan auf der Mozilla-Seite nur für die ältere Firefox-Version. - Habe allerdings die 3er bereits drauf. (Die ist wirklich super!)
Auf der Herstellerseite ist Firebug scheinbar schon für die Version 3 verfügbar, allerdings ist die momentan down. -Ich hoffe, dass ich da in den nächsten Tagen eine Chance hab.
Grüße
smileyman
-- Sorry, ist hier eigentlich OT --
Was mir noch auffällt. - Der dsld meldet beim Starten eine Up-/Downstream-Geschwindigkeit zurück. - Wo er die hernimmt ist für mich fraglich.
Wenn die Fritz!Box als Modem tätig ist, wäre es ja kein großes Problem, diese Information abzugreifen.
Bei mir ist die Fritz!Box jedenfalls nur als NAT-Router mit WAN via LAN1 tätig, dennoch zeigt mir dsld einen Wert an. - Evtl. fragt er den vom Modem ab.
Bei mir scheint er jedenfalls zu stimmen. - Evtl. könnte man den dann direkt ins Traffic-Shaping einstellen lassen?!
(Die Schnittstellengeschwindigkeit von LAN1 ist es auf jeden Fall nicht, denn die läuft au 100 MBit/volld.)
Wäre vielleicht mal eine Idee, das irgendwo ins Freetz mit einzubauen?!
-- Sorry, ist hier eigentlich OT, war nur eben so ein Gedankengang von mir --
Firebug gibt es leider momentan auf der Mozilla-Seite nur für die ältere Firefox-Version. - Habe allerdings die 3er bereits drauf. (Die ist wirklich super!)
Auf der Herstellerseite ist Firebug scheinbar schon für die Version 3 verfügbar, allerdings ist die momentan down. -Ich hoffe, dass ich da in den nächsten Tagen eine Chance hab.
Grüße
smileyman
Neueste Beiträge
-
FRITZ!Box 4060 - Labor 7.90 - Sammelthema- Letzte: Bugs Bunny
-
[Gelöst] 7490 mit anderen IP-Adressen (als 192.168.178.1) recovern- Letzte: BenGurion_
-
[Sammlung] Aktuelle Konditionen für Vertragsverlängerung
- Letzte: Martin
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: joto
-
Fritz!DECT 302 regelt nicht mehr- Letzte: Jstessi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: Multireed