- Mitglied seit
- 27 Sep 2006
- Beiträge
- 43
- Punkte für Reaktionen
- 0
- Punkte
- 6
Hallo Experten,
ich habe eine Subdomain per CNAME auf meine MyFritz-Seite umgeleitet.
Meine MyFritz Seite wird ja wunderbar über die FritzBox mit der IP-Adresse versorgt, somit funktioniert es super, das mein HomeServer über einen schönen Namen zu erreichen ist:
Beispiel: wiki.meineDomain.de
In der FritzBox sind zwei forwardrules definiert, sodass Port 80 und 443 zu meinem Homeserver umgeleitet werden.
Nun möchte ich in der FritzBox etliche IP-Bereiche außerhalb vom D A CH sperren, sodass ich einigermaßen "sicher" unterwegs bin mit meinem kleinen Homeserver.
1. Frage: Habt ihr eine schöne Sammlung? Vielleicht alles sperren und nur D A CH zulassen oder alles andere gezielt sperren?
Dazu möchte ich gerne, die eigene FritzBox Firewall mit deren dsldpconfig - lowinput/lowoutput/highinput/highoutput mit den entsprechenden Regeln versehen.
2. Frage: aus welcher Sichtweise ist diese FritzFirewall zu verstehen, internes Netzwerk (192.168.178.x) zur www Welt oder genau umgekehrt. Um gezielt deny/allow Quelle Ziel zu definieren.
3. Frage, kann ich die FritzFirewall ähnlich wie iptables verstehen, wie auf dieser http://freetz.org/wiki/packages/iptables Page?
3. Frage, kann ich mein Homeserver (192.168.178.123) als Ziel/Quelle angeben, obwohl der "Anfrager-Paket" meine Zieladresse im internen Netzwerk gar nicht kennt, da ja die Fritzbox das NAT / forwarden erledigt?
Mir ist also noch nicht ganz bewusst, welche Informationen zu welchen Zeitpunkt in der FritzFirewall bekannt ist, da die forwardrules ja auch erst ausgewertet werden müssen, damit ich gezielt nur den Verkehr zum Homeserver blocken kann aber alle anderen Clients durch diese Blockierregeln nicht gesperrt werden. Also alle Clients sollen weiterhin im gesamten www surfen können.
Beispiel für eine Regeln:
oder doch nur eine von den beiden Seiten lowinput / highoutput?
- - - Aktualisiert - - -
Habe mir meine aktuelle IP Adresse meines Handys besorgt und diese mal Testweise als externe versucht zu sperren. Leider ohne Erfolg.
Dies habe ich bereits versucht:
lowinput:
"deny ip host 123.123.123.123 host 192.168.178.123"
Highoutput:
"deny ip host 123.123.123.123 host 192.168.178.123"
- - - Aktualisiert - - -
Erkenntnisse vom Test 22.07.:
Alles was ich in den bisherigen Threats so gelesen habe, hilft leider nicht weiter.
Also habe ich mich ans Try&Error gemacht um den Aufbau zu verstehen.
Ausgehend von diesem Aufbau der AVM Firewall-Rules:
"#Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#"
Ziel:
unerwünschte www-Client in der FritzBox bereits hindern den HomeServer zu erreichen.
Tools:
Überprüft mit Apache-Logs und tcpdump auf Client- und HomeServer-Seite
lowinput und highoutput
lowinput:
"deny ip host www-client host homeserver",
Highoutput:
"deny ip host www-client host homeserver",
RESULT Client: www-client kann auf den homeserver zugreifen, erhält Antwort.
RESULT Homeserver: Empfängt Anfragen und beantwortet diese.
RESULT GESAMT: Diese Regeln greifen nicht.
lowinput:
"deny ip host homeserver host www-client",
Highoutput:
"deny ip host homeserver host www-client",
RESULT Client: www-client kann NICHT auf Homeserver zugreifen, erhält KEINE Antwort.
RESULT HomeServer: Empfängt Anfragen und beantwortet diese.
RESULT Gesamt: Anfragen gehen durch die Firewall, Antworten vom Server werden ins www geblockt.
lowoutput und highinput
Bisher wurden diese in allen Threats die ich gelesen haben ignoriert. Genau hier spielt die Musik, wenn es mit iptables vergleichbar wäre.
lowoutput:
"deny ip host www-client host homeserver";
Highinput:
;
RESULT Client: www-client kann auf den homeserver zugreifen, erhält Antwort.
RESULT Homeserver: Empfängt Anfragen und beantwortet diese.
RESULT GESAMT: Diese Regeln greifen nicht.
lowoutput:
;
Highinput:
"deny ip host www-client host homeserver";
RESULT Client: www-client kann NICHT auf Homeserver zugreifen, erhält KEINE Antwort.
RESULT Homeserver: Empfängt KEINE Anfragen.
RESULT GESAMT: Anfragen von unerwünschten www-client werden in der FritzBox zum HomeServer geblockt.
- - - Aktualisiert - - -
Somit erschließt sich für mich folgendes Bild der AVM-Firewall:
ich habe eine Subdomain per CNAME auf meine MyFritz-Seite umgeleitet.
Meine MyFritz Seite wird ja wunderbar über die FritzBox mit der IP-Adresse versorgt, somit funktioniert es super, das mein HomeServer über einen schönen Namen zu erreichen ist:
Beispiel: wiki.meineDomain.de
In der FritzBox sind zwei forwardrules definiert, sodass Port 80 und 443 zu meinem Homeserver umgeleitet werden.
Nun möchte ich in der FritzBox etliche IP-Bereiche außerhalb vom D A CH sperren, sodass ich einigermaßen "sicher" unterwegs bin mit meinem kleinen Homeserver.
1. Frage: Habt ihr eine schöne Sammlung? Vielleicht alles sperren und nur D A CH zulassen oder alles andere gezielt sperren?
Dazu möchte ich gerne, die eigene FritzBox Firewall mit deren dsldpconfig - lowinput/lowoutput/highinput/highoutput mit den entsprechenden Regeln versehen.
2. Frage: aus welcher Sichtweise ist diese FritzFirewall zu verstehen, internes Netzwerk (192.168.178.x) zur www Welt oder genau umgekehrt. Um gezielt deny/allow Quelle Ziel zu definieren.
3. Frage, kann ich die FritzFirewall ähnlich wie iptables verstehen, wie auf dieser http://freetz.org/wiki/packages/iptables Page?
Code:
Verkehr von und zur FritzBox:
[B]DSL < — > AVM Firewall (NAT) < — > iptables Firewall < — > (FritzBox) < — > iptables Firewall < — > LAN / WLAN[/B]
^
|
---------------------------------------------------------------------------------------------------
| |
www/DSL <-> lowinput / lowoutput <-> Fritzbox-Kernel (NAT usw.) <-> highinput / highoutput <-> LAN/WLAN
www/DSL <-> highinput / highoutput <-> Fritzbox-Kernel (NAT usw.) <-> lowinput / lowoutput <-> LAN/WLAN
3. Frage, kann ich mein Homeserver (192.168.178.123) als Ziel/Quelle angeben, obwohl der "Anfrager-Paket" meine Zieladresse im internen Netzwerk gar nicht kennt, da ja die Fritzbox das NAT / forwarden erledigt?
Mir ist also noch nicht ganz bewusst, welche Informationen zu welchen Zeitpunkt in der FritzFirewall bekannt ist, da die forwardrules ja auch erst ausgewertet werden müssen, damit ich gezielt nur den Verkehr zum Homeserver blocken kann aber alle anderen Clients durch diese Blockierregeln nicht gesperrt werden. Also alle Clients sollen weiterhin im gesamten www surfen können.
Beispiel für eine Regeln:
Code:
dsldpconfig {
[FONT=arial] some stuff removed[/FONT]
lowinput {
policy = "permit";
accesslist = [FONT=arial]
[COLOR=#ff0000]"AKTION PROTOKOLL QUELL ZIEL PARAMETER",
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial] [COLOR=#ff0000]"deny ip 123.123.0.0 255.255.0.0 host 192.168.178.123 connection incoming-related",
oder
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial] [COLOR=#ff0000]"deny ip host 192.168.178.123 [FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000]123.123.0.0 255.255.0.0 [/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT]connection incoming-related",[/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT]
"deny ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255";
}
lowoutput {
policy = "permit";
}
highinput {
policy = "permit";
}
highoutput {
policy = "permit";
accesslist = [FONT=arial]
[COLOR=#ff0000]"deny ip böse.welt.außer.DACH host 192.168.178.123 connection incoming-related",
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial] [COLOR=#ff0000]"deny ip 123.123.0.0 255.255.0.0 host 192.168.178.123 connection incoming-related",
oder
[FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial] [COLOR=#ff0000]"deny ip host 192.168.178.123 [FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000][FONT=arial][FONT=arial][COLOR=#ff0000][FONT=arial][COLOR=#ff0000]123.123.0.0 255.255.0.0 [/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT]connection incoming-related",[/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT][/COLOR][/FONT][/FONT][/COLOR][/FONT]
"reject ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"reject ip any 169.254.0.0 255.255.0.0";
}
}
oder doch nur eine von den beiden Seiten lowinput / highoutput?
- - - Aktualisiert - - -
Habe mir meine aktuelle IP Adresse meines Handys besorgt und diese mal Testweise als externe versucht zu sperren. Leider ohne Erfolg.
Dies habe ich bereits versucht:
lowinput:
"deny ip host 123.123.123.123 host 192.168.178.123"
Highoutput:
"deny ip host 123.123.123.123 host 192.168.178.123"
- - - Aktualisiert - - -
Erkenntnisse vom Test 22.07.:
Alles was ich in den bisherigen Threats so gelesen habe, hilft leider nicht weiter.
Also habe ich mich ans Try&Error gemacht um den Aufbau zu verstehen.
Ausgehend von diesem Aufbau der AVM Firewall-Rules:
"#Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#"
Ziel:
unerwünschte www-Client in der FritzBox bereits hindern den HomeServer zu erreichen.
Tools:
Überprüft mit Apache-Logs und tcpdump auf Client- und HomeServer-Seite
lowinput und highoutput
lowinput:
"deny ip host www-client host homeserver",
Highoutput:
"deny ip host www-client host homeserver",
RESULT Client: www-client kann auf den homeserver zugreifen, erhält Antwort.
RESULT Homeserver: Empfängt Anfragen und beantwortet diese.
RESULT GESAMT: Diese Regeln greifen nicht.
lowinput:
"deny ip host homeserver host www-client",
Highoutput:
"deny ip host homeserver host www-client",
RESULT Client: www-client kann NICHT auf Homeserver zugreifen, erhält KEINE Antwort.
RESULT HomeServer: Empfängt Anfragen und beantwortet diese.
RESULT Gesamt: Anfragen gehen durch die Firewall, Antworten vom Server werden ins www geblockt.
lowoutput und highinput
Bisher wurden diese in allen Threats die ich gelesen haben ignoriert. Genau hier spielt die Musik, wenn es mit iptables vergleichbar wäre.
lowoutput:
"deny ip host www-client host homeserver";
Highinput:
;
RESULT Client: www-client kann auf den homeserver zugreifen, erhält Antwort.
RESULT Homeserver: Empfängt Anfragen und beantwortet diese.
RESULT GESAMT: Diese Regeln greifen nicht.
lowoutput:
;
Highinput:
"deny ip host www-client host homeserver";
RESULT Client: www-client kann NICHT auf Homeserver zugreifen, erhält KEINE Antwort.
RESULT Homeserver: Empfängt KEINE Anfragen.
RESULT GESAMT: Anfragen von unerwünschten www-client werden in der FritzBox zum HomeServer geblockt.
- - - Aktualisiert - - -
Somit erschließt sich für mich folgendes Bild der AVM-Firewall:
Code:
Verkehr von und zur FritzBox:
DSL < — > AVM Firewall (NAT) < — > iptables Firewall < — > (FritzBox) < — > iptables Firewall < — > LAN / WLAN
^
|
------------------------------------------------------------------------------------------------------
| |
www/DSL <-> lowinput / lowoutput <-> Fritzbox-DSL-Daemon (NAT usw.) <-> highinput / highoutput <-> LAN/WLAN
^
|
------------------------------------------------------------------------
| |
www/DSL <-> low-Site <-> NAT <-> Forward-Rules <-> high-Site <-> LAN/WLAN
Zuletzt bearbeitet: