[Gelöst] (W)Lan alle Ports sperren außer Port 80!

Status
Für weitere Antworten geschlossen.

mastertester

Mitglied
Mitglied seit
26 Sep 2004
Beiträge
498
Punkte für Reaktionen
0
Punkte
0
Gibt es eine Möglichkeit dafür zu sorgen, dass auf den WLan Rechnern nur noch Daten auf Port 80 ankommen?


EDIT:



Habe das Problem lösen können!!!!

Habe einfach in der ar7.cfg unter highoutput folgende Zeilen ergänzt:

Code:
“reject tcp any host xxx.xxx.xxx.xxx eq 80",
"reject tcp any host xxx.xxx.xxx.xxx eq 80",              


"reject tcp host 192.168.178.20 any range 1 79", 
"reject tcp host 192.168.178.20 any range 81 442",
"reject tcp host 192.168.178.20 any range 444 65535",               
                                        
"reject udp host 192.168.178.20 any range 1 79", 
"reject upd host 192.168.178.20 any range 81 442",                                             
"reject upd host 192.168.178.20 any range 444 65535",

Die ersten beiden Zeilen sperren 2 bestimmte Webseiten im Netzwerk auf Port 80. Leider habe ich es nicht geschafft diese Seiten nur für eine interne IP zu sperren.

Der Rest filtert für die IP 192.168.178.20 alle Ports außer Port 80 für Web und 443 für SSL Verbindungen raus!

Somit ist keinerlei Filesharing mehr möglich, und ich kann wieder beruhigt schlafen!
 
Zuletzt bearbeitet:
Moin,

habe schon alles in diesem und anderen Foren durchsucht aber leider finde ich die Lösung zu meinem Problem nicht (oder vielmehr sie funktioniert bei mir nicht).
:noidea:
Möchte für WLAN Nutzer einfach nur die benötigten Ports freigeben... nur leider wenn ich die Datei abändere und die Box neustarte kann ich sie nicht mehr ansprechen...das WLAN ist noch da aber auch da komme ich nicht mehr auf die Box oder ins INet.:confused:

Gibt es evtl. schon eine gepatchte Firmware mit der ich es über das menü machen kann.Oder fällt irgendjemanden etwas dazu sonst noch ein ???

P.S.: Die oftmals erwähnte SahneMod oder so ist mir viel zu umständlich ... zumindest das kompilieren.
 
Der Danisahne Mod würde aber dein Problem lösen....

Wo in deiner ar7.cfg hast Du denn alles eingetragen? Poste doch mal den von Dir geänderten Abschnitt...


Welche FritzBox hast Du denn? (?Signatur?)


Gruß
mastertester
 
Code:
dslifaces {
                name = "internet";
                dsl_encap = dslencap_inherit;
                ppptarget = "internet";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                }
                stay_always_online = yes;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 1h;
                username_prefix_after_auth_failure = "D";
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist =
                                             "deny ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "deny udp any any eq 135",
                                             "deny tcp any any eq 135",
                                             "deny udp any any range 137 139",
                                             "deny tcp any any range 137 139",
                                             "deny udp any any range 161 162",
                                             "deny udp any any eq 520",
                                             "deny udp any any eq 111",
                                             "deny udp any any eq 22289",
                                             "deny udp any any eq 1710",
                                             "deny udp any any eq 1048",
                                             "deny udp any any eq 158",
                                             "deny udp any any eq 515";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist =
                                             "reject ip any 242.0.0.0 255.0.0.0",
                                             "deny ip any host 255.255.255.255",
                                             "reject ip any 169.254.0.0 255.255.0.0",
                                             "reject udp any any eq 135",
                                             "reject tcp any any eq 135",
                                             "reject udp any any range 137 139",
                                             "reject tcp any any range 137 139",
                                             "reject udp any any range 161 162",
                                             "reject udp any any eq 520",
                                             "reject udp any any eq 111",
                                             "reject udp any any eq 22289",
                                             "reject udp any any eq 1710",
                                             "reject udp any any eq 1048",
                                             "reject udp any any eq 158",
                                             "reject udp any any eq 515",
                                             "reject icmp any 149.1.1.0 255.255.255.0",
                                             "reject tcp any host 202.106.185.127 eq 25",

                                             "reject tcp host 192.168.5.20 any range 1 79", 
                                             "reject tcp host 192.168.5.20 any range 81 442",
                                             "reject tcp host 192.168.5.20 any range 444 65535",               
                                        
                                             "reject udp host 192.168.5.20 any range 1 79", 
                                             "reject upd host 192.168.5.20 any range 81 442",                                             
                                             "reject upd host 192.168.5.20 any range 444 65535";
                        }

Also die letzten 6 Zeilen habe ich dazu getragen.

FRITZ!Box Fon WLAN 7050 (UI), Firmware-Version 14.04.03-3452

Achja und selbst wenn ich wollte ich finde einfach nicht die downloadmöglichkeit für den mod...
 
Zuletzt bearbeitet:
@masterof,

ich kann bei deinen Änderungen keinen Fehler entdecken....

Das sollte eigentlich bewirken, dass die IP 192.168.5.20 nur noch auf Port 80 und 443 arbeiten darf.

Das einzige was anders ist als bei mir, ich habe das ganze an den Anfang gesetzt, und nicht ans Ende. Daran kann es aber eigenlich nicht liegen....

Was passiert denn an dem Rechner, der die IP 192.168.5.20 hat?

Und was ist mit den anderen rechnern? Geht da noch alles?


Gruß
mastertester
 
Sobald ich die Box dann neustarte, kann ich das WLAN noch sehen aber nicht mehr beitreten mit dem Rechner (5.20) und auch die LAN Rechner kommen nicht mehr ins INET und nichtm al auf das BOX Interface.:confused:
 
Hört sich aber echt merkwürdig an...

Hattest Du das ganze auch mal mit der NICHT-Beta probiert? Mit der Beta hatte ich das noch nicht getestet....


Gruß
mastertester
 
mastertester schrieb:
Hört sich aber echt merkwürdig an...

Hattest Du das ganze auch mal mit der NICHT-Beta probiert? Mit der Beta hatte ich das noch nicht getestet....


Gruß
mastertester

jo..merkwürdig...werde jetz die 14.04.01 einspielen und das dann nochmal versuchen...melde mich dann obs funktioniert hat oder nicht...danke für deine Antworten bis jetzt
 
masterof schrieb:
Sobald ich die Box dann neustarte, kann ich das WLAN noch sehen aber nicht mehr beitreten mit dem Rechner (5.20) und auch die LAN Rechner kommen nicht mehr ins INET und nichtm al auf das BOX Interface.:confused:
Mal ne Frage:
Wie kommst Du denn dann überhaupt wieder auf die Box?

Ich frage, weil ich demnächst auch ein wenig mit den access Listen rumspielen möchte, aber keine Lust habe, meine Box kaputt zu machen ;).

Danke im voraus.
 
Auf die Box komst ja mit z.B. mit putty...
 
Ach soo; Du meintest das Web Interface.
Solange man via SSH noch draufkommt ist ja alles gut ;).
 
Das Problem ist gelöst und damit können wir hier schliessen...

--gandalf.
 
Status
Für weitere Antworten geschlossen.
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.