Wie kann man bei der 7170 verhindern das ein externer Ping beantwortet wird

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
C

CaptainDXB

Neuer User
Mitglied seit
28 Mai 2006
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Hallo,

als neuer 7170 Besitzer habe ich gerade feststellen müssen, das sich

a) mit der Webkonfiguration ein eingehender ping nicht abschalten lässt
b) die FBF diesen auch beantwortet.

Gibt es einen Trick das zu verhindern?

cu
CaptainDXB
 
AFAIK ist AVM so schlau und verhindert diese blödsinnige Einstellung, die absolut nichts bringt, sondern genaugenommen sogar kontraproduktiv für das Netzwerk ist.
Lies mal dazu http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken

Den Ping zu unterdrücken macht einen heutzutage nicht mal mehr gegen Scriptkiddies "unsichtbar". Deren Scripte können mittlerweile fehlende ICMP-Antworten richtig interpretieren.
 
Rupert schrieb:
Und das nächste mal findest Du das bestimmt selbst, nicht wahr? ;)
Zum Vergrößern anklicken....

Das richtige hier rein zu quoten währe zielführender gewesen. Das kannst Du in den von Dir genannten threads übrigens auch selbst nachlesen.

Für die die es auch nicht gefunden haben hier nochmal die Lösung:
Ich habe die letzte Zeile zur ar7.cfg hinzugefügt:
"deny icmp any any";

Code:
dsldpconfig {
security = dpsec_firewall;
lowinput {
policy = "permit";
accesslist =
"deny ip any 242.0.0.0 255.0.0.0",
"deny ip any host 255.255.255.255",
"deny udp any any eq 135",
"deny tcp any any eq 135",
"deny udp any any range 137 139",
"deny tcp any any range 137 139",
"deny udp any any range 161 162",
"deny udp any any eq 520",
"deny udp any any eq 111",
"deny udp any any eq 22289",
"deny udp any any eq 1710",
"deny udp any any eq 1048",
"deny udp any any eq 158",
"deny udp any any eq 515",
"deny icmp any any";
}
lowoutput {MfG Oliver
__________________
Router: 2x Fritz!Box Fon WLAN FW:08.04.03ds-0.2.5
Anbindung: T-Net mit T-DSL 1000 und 1&1 DSL
VoIP: 1&1/Sipgate/web.de
Telefon: Siemens Gigaset
Zum Vergrößern anklicken....

ob ein "deny icmp any any" allerdings wirklich gut zu heißen ist, wage ich auch zu bezeifeln
und verweise auf den Artikel meines Vorredners:

http://www.iks-jena.de/mitarb/lutz/u...tml#Verstecken

Wie auch immer - Danke für die Antwort - die hat mein anders Problem vermutlich gleich mitgelößt, vorausgesetz die FBF überschreibt die Datei nicht... Werde ich nacher gleich mal probieren.

cu
Captain DXB
 
Zuletzt bearbeitet:
:eek:
CaptainDXB schrieb:
Das richtige hier rein zu quoten währe zielführender gewesen.
Zum Vergrößern anklicken....
Warum sollte ich das, wenn Du 45 Minuten später selbst das "Richtige" in Frage stellst? :confused:

Du wurdest von mir auf die Suchfunktion hingewiesen,
gleichzeitig habe ich Dir noch die drei wichtigsten Threads zum Thema ausgesucht und verlinkt.

Also das Lesen dieser Threads und daraus Schlussfolgerungen, was wohl für Dich das "Richtige" sei, zu ziehen, das wollte ich Dir dann schon selbst überlassen.
 
Rupert schrieb:
:eek:
Warum sollte ich das, wenn Du 45 Minuten später selbst das "Richtige" in Frage stellst? :confused:
Zum Vergrößern anklicken....

Naja ich hatte gesucht und nichts gefunden. Warscheinlich weil ich in diesem Fall nicht bis an das ende des Threads gelesen da ich von den ganzen Kommentaren ziemlich genervt war. Von daher hätte mir das quoten das lesen des (unerfreulichen) threads erspart.

Warum ich nach 45 Min später selber die Lösung quote. Simple Antwort:

1) Der Thread ist noch "jung" - das heißt wer das nächste mal sucht hat die Chance das ganze auch ohne das "blah sülz" davor zu finden.

2) eine bessere Lösung habe ich in den Threads nicht gefunden, und man muss ja nicht unbedingt "deny icmp any any" eintragen. Entscheident war der Hinweis des wo und wie. Für den Effekt den ich haben wollte, tut es auch ein:

"deny tcp any any eq 7";
"deny udp any any eq 7";

In diesem Fall tritt auch das Problem mit den Routern nicht auf, und mein Problem ist gelöst. Das man damit Rechner nicht wirklich verstecken kann ist schon klar - darauf zielte allerdings meine Frage aber auch nicht ab.

3) Ich habe nach dem lesen des Artikel zum Thema icmp noch etwas dzu gelernt (danke :))

4) Ich habe nicht die Methode in frage gestellt (eintrag in der Datei), sondern lediglich bemerkt das "deny icmp any any"; möglicherweise nicht der Weißheit letzter Schluss ist. Es kommt halt drauf an was man erreichen will - nur genau das kann eigendlich nur jeder für sich selbst entscheiden.

grüße
CaptainDXB
 
HAllo zusammen ich muss den alten Thread mal wieder aufgreifen...
ich möchte auch meine 7270v2 mit Freetz im Wan so confen das kein Ping funktioniert allerdings habe ich den Effekt das ich dann auch aus meinem lan keine Internet ip mehr pingen kann.
Bei dieser Lösung hier: "deny icmp any any";

und bei der alternativen Lösung funzt der Ping aus dem WAN und auch aus dem LAN also keine Veränderung:
"deny tcp any any eq 7";
"deny udp any any eq 7";


gibt es da mittlerweile eine andere Lösung ( irgendwo nen haken setzen im freetz)
Die neuen Fritzboxen geben von hause aus kein Ping mehr zurück habe ich festgestellt.
 
gagamicha schrieb:
Die neuen Fritzboxen geben von hause aus kein Ping mehr zurück habe ich festgestellt.
Zum Vergrößern anklicken....
Das stimmt so nicht. Ich kann meine FB6360 cable (mit FRITZ!OS 05.50) über das Internet pingen und es gibt auch eine positive Antwort.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 507 (Mitglieder: 11, Gäste: 496)

Neueste Beiträge

Statistik des Forums

Themen
246,191
Beiträge
2,247,707
Mitglieder
373,743
Neuestes Mitglied
nomanchapa
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück