[Gelöst] Zugriff auf Port 5031 nur von einer IP zulassen?

Eine Frage zur Fortführung der NETCAPI-Erfolgsmeldung:

Meine Fritzbox hat eine feste öffentliche IP und hängt über das Uni-Netz direkt am Internet. Faxen möchte ich auch von meinem PC aus können, der ebenfalls eine feste öffentliche IP hat. Dieser hängt also nicht hinter der Fritzbox.

Nachdem ich anfangs (also in der Nacht, in der ich NETCAPI eingerichtet habe) durch einen SSH-Tunnel (PuTTY) faxen konnte, verweigert mir FritzFax jetzt das Auffinden der CAPI. Ja, der Registry-Eintrag (FoundFritzBoxes - 127.0.0.1) ist vorhanden und IMHO korrekt, auch PuTTY habe ich IMHO korrekt eingerichtet. Der genauso eingerichtete Tunnel auf Port 80 funktioniert zumindest korrekt.

Da ich die NETCAPI eigentlich ungern mit fester, öffentlicher IP weltweit freigeben möchte, suche ich nach einer Möglicheit, den Zugriff auf Port 5031 auf nur für IP zuzulassen.

"Was bisher geschah":
- Portforwarding der 5031 auf die IP der Box, damit funktioniert die CAPI von meinem PC aus (nach Änderung des Registry-Schlüssels von 127.0.0.1 auf öffentliche IP der Box):

Mit der Zeile
kann ich den Zugriff von außen auf den Port 5031 wieder unterbinden. Jetzt würde ich aber gerne den Zugriff von einer speziellen IP wieder erlauben, also habe ich sowas versucht wie
oder
oder
vor oder nach der deny-Zeile einzufügen - leider war damit die CAPI weiterhin nicht vom PC aus ansprechbar.

Stattdessen hatte ich auch versucht, beim Portforwarding mittels
nur Verbindungen von der einen IP weiterzuleiten. Auch kein Erfolg.

Hat jemand einen guten Vorschlag für mich? Danke!

Lösung gefunden!

So, nach diversem rumprobieren habe ich folgende Lösung für mein Problem gefunden, die in ersten Tests zu funktionieren scheint:

In der ar7.cfg habe ich im Abschnitt "dslifaces" folgende zwei Zeilen ergänzt:
Damit werden, wenn ich die Syntax richtig verstanden habe, TCP-Verbindungen auf Port 5031, welche von der IP 134.130.xxx.yyy kommen (und an irgendeine ("any") Zieladresse gehen), zugelassen. Alle Verbindungen von anderen Source-IPs auf Port 5031 werden dann in der zweiten Zeile geblockt.

Da ich mich ja von extern mit dem WAN-Interface verbinde, muß ich natürlich noch den Port 5031 auf die interne IP der Box weiterleiten, bei mir 192.168.2.2:

Die Syntax der accesslist scheint an die Cisco-Accesslist-Syntax angelehnt zu sein, zumindest habe ich mich daran orientiert. Vielleicht hilft meine "Erkenntnis" ja dem einen oder anderen bei ähnlichen Problemen weiter...


Gruß,
Wichard

Probier es aus... Aber ich denke eher, daß es nicht funktionieren wird. Denn die "Anfrage" an die Box kommt ja nicht per Namen (DynDNS), sondern per IP. (Einfach mal mit Ethereal mitloggen...) Und eine umgekehrte Namensauflösung wird die Box IMHO nicht machen ("welcher Name gehört zu dieser IP?").

Aber wie ich in den letzten Tagen wieder gemerkt habe: "Versuch macht kluch " - mehr, als daß Du an die Box nicht mehr drankommst, kann eigentlich nicht passieren. (Und noch ein )

Viel Erfolg,
Wichard

Re: [Gelöst] Zugriff auf Port 5031 nur von einer IP zulassen

fritzchen schrieb:

für den Zugriff von außen gilt meiner Meinung nach immer das gleiche:
nur mit ssh!

Zum Vergrößern anklicken....

wichard schrieb:

Nachdem ich anfangs (also in der Nacht, in der ich NETCAPI eingerichtet habe) durch einen SSH-Tunnel (PuTTY) faxen konnte, verweigert mir FritzFax jetzt das Auffinden der CAPI.

Zum Vergrößern anklicken....

Frag mich nicht, warum - es hatte ja geklappt, der "Fernzugriff" auf die Weboberfläche klappt per Tunnel ja auch immer noch. Nur das (die?) CAPI wollte nicht mehr.
Mit meinem Weg (Klar - Spezialfall wegen fester IP) bin ich auber - denke ich - auch auf halbwegs sicherem Boden, da ich tatsächlich nur von meinem Rechner auf das CAPI zugreifen kann; Zugriffe von anderen IPs auf Port 5031 werden geblockt.

Gruß,
Wichard