Freetz - avm-firewall log

cando

Aktives Mitglied
Mitglied seit
28 Nov 2008
Beiträge
1,080
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich hab mal das logging (dsld -D) und "Verwerfliche" Pakete loggen (no dsld -n) eingeschaltet im UI eingeschaltet,

eine Regel für abgehenden TCP für eine interne IP ins Internet port 443 Deny
eingestellt,

und Übernehmen und Aktivieren geklickt.

Die Regel greift, ich kann von diesem PC keine HTTPS Site mehr erreichen, aber wo finde ich den Log, wo der Zugriff protokolliert wird?

Ich habe syslogd mitinstalliert, aber unter status / syslog steht nur anderer Schrott vom boot-vorgang und vom chronyd Zeitsynchronisierer.

Meine Frage - Wo finde ich den Firewall Log?

Vielen Dank!
 
AVM-Firewall

Hallo,

Ich hab mal mit den Settings in der Firewall ein wenig herumprobiert. Im Forum stand irgendwo, es wäre eine stateful-firewall.

Also habe ich die default inbound Regel für Eingehende Regeln (lowinput) auf standard DENY - wie jeder gute Admin es machen würde - gesetzt in der Annahme, ich könnte outbound Surfen, und bin von Anfragen aus dem Internet geschützt. Ausgehende Regel unverändert default Permit.

Weit gefehlt. Die Inbound-Regel blockt die zurückkommenden HTTP Pakete:mad:. Nix mit statefull. oder mache ich was falsch? Eingehende Regel ist doch aus Sicht Internet nach LAN, oder? Muss ich etwa für den Rückweg auch noch eine Regel machen, damit es funktioniert?

Nutz die AVM Firewall jemand überhaupt produktiv?

Einen Firewall-Log habe ich bislang auch noch nicht zu Gesicht bekommen.

Danke und viele Grüße

Cando
 
Zuletzt bearbeitet:
ich benutze von der avm firwall hauptsächlich die portfreigabefunktion...
aber habe auch ein paar ip adressen geblockt um nerviges nachahsue teelfonieren einiger programme zu beenden ohne eine software firewall im netz nutzen zu müssen...
 
Also...
- Eigentlich sollte auch das Firewall-Log im syslog erscheinen, wenn der Haken gesetzt ist.
- Die Firewall kann auch "statefull" arbeiten, dafür musst du die "outgoing/incoming-related" Regeln nutzen

Produktiv nutzen tut die AVM-Firewall eigentlich jeder (die ist ja im dsld drin ;-) ;-)) nur ob die GUI jemand produktiv nutzt, weiß ich nicht (obwohl es mir dem Firewall-GUI-Thread nach wohl doch den ein oder anderen gibt). Allerdings ist die Anwendungsmöglichkeit in der Tat deutlich geringer, als z.B. iptables.

Jörg
 
Hallo,

mit syslog meinst du den syslog in freetz, den man mit syslogd bekommt. muss man da noch irgend was konfigurieren?

Ich logge auf dem USB device in rotierende Logfiles und hab den kernel-log teufel klogd auf 4 gelassen. keine zusatz-kommandozeilen für experten.

Ich kenne linux eigendlich nur vom pinguin logo und mir sagen die kommandos nicht viel. am liebsten würde ich nur die fehler zu gesicht bekommen und den auusführlichen traffic beim einstellen der firewall (drop / permit).

zum stateful:

wie meinst du sie kann und ich muss die out / in related benutzen?

wenn ich inbound default deny setze, dann muss ich outbound permit any out-related einstellen und die outbound default permit wäre egal?

was bedeuted eigendlich

out-related
in-related

wenn ich eine lowinput regel baue, macht doch out-related keinen sinn, weil's ja eine inbound regel ist und umgekehrt bei einer outbound regel (highoutput) macht ein in-related keinen sinn.

Ausserdem wenn ich out/inrelated auswähle kann ich im UI nur noch ports angeben aber keine protokolle mehr und die ports werden nicht mal in die Regel aufgenommen.

Ich bräuchte mal ein Beispiel:

Nehmen wir an, die firewall soll alles blocken ausser HTTP verkehr LAN nach WAN (TCP Port 80) mit LAN = 192.168.0.0/24:

Über das UI geht statefuz nur:

lowinput: default deny
highoutput: default deny
highoutput: permit ip 192.168.0.0 255.255.255.0 any connection outgoing-related

Macht wohl alles auf von innen nach aussen:confused:

geht denn eigendlich auch

highoutput: permit tcp 192.168.0.0 255.255.255.252 any eq 80 outgoing-related

oder wäre das ein ungültiges kommando (lässt sich ja so nicht zusammenstellen über das UI, wäre aber das was man bräuchte).

Eine Alternative, die ich sehe wäre vielleicht:

lowinput: default deny
lowinput:permit tcp any 192.168.0.0 255.255.255.0 eq 80
was aber eigendlich blödsinn ist, da das innere port (abgangsport) ja nicht 80 ist

highoutput: default deny
highoutput: permit tcp 192.168.0.0 255.255.255.0 any eq 80

bei einer Firewall muss man doch normalerweise:

Protokoll | Quelladresse(n) | QuellPort | Zieladresse | Zielport | Aktion angeben können.

Out/In - Regeln implizieren bei vereinfachten FW's Quellport=any , Port=Zielport

Da die aber oben nicht stateful sind müsste man bei der In-Regel den spiess umdrehen : Quellport=Port, Zielport=ANY, oder?

Ich bräuchte mal eine Beschreibung mit Beispielen, wie die firewall tickt.

Kennt sich jemand damit aus?

Danke!
 
Also für dein Beispiel (Verkehr zwischen LAN und WLAN) nutzt die AVM-Firewall erstmal nichts, denn die greift nur auf den Traffic ins Internet zu (alles, was durch den dsld beeinflusst werden kann).

Nur noch mal zur Erklärung: Die "Statefullness" der Box macht AVM eigentlich durch die Kombination von Firewall und NAT/PAT: Es werden nur sehr wenige Dinge geblockt, alles anndere wird durchgelassen, scheitert aber, wenn keine NAT/PAT vorhanden ist, sei es dynamisch, durch rausgehende Pakete initiiert, oder statisch per "Portweiterleitung".
Deshalb nutz AVM die "related" Einträge nicht.
Ich habe auch nur die GUI dazu gemacht, nutze die FW selbst eigentlich nicht, da die Box bei mir nicht den Internetzugang macht...

Jörg
 
AVM-Firewall

Ah, OK. Wenn ich Dich richtig verstehe ist das also keine richtige Firewall die auf IP Ebene im Protokollstack den Verkehr zwischen den Interfaces kontrolliert, sondern nur eine Art Filter auf dem DSL Port.

Das hieße auch, man könnte sich eigendlich nicht selbst aussperren, da der Switch und das interne Port zum OS von der Firewall nicht kontrolliert werden würde. Dann sollte man ja eigendlich bei lowinput:deny und highinput:deny / highoutput:deny immer noch den internen Webserver auf port 80 / 81 und alle anderen Interfaces (SSH, Telnet) erreichen können.

Ich werde das mal checken.

Andersherum ist man im LAN wegen der fehlenden Portfreigabe / NAT/PAT zwar praktisch geschützt, nicht aber der router selbst, da default allow any in beiden Richtungen ja nicht gerade die Fritzbox for unbefugtem Zugriff über das DSL bewahren.

Und wenn man sich darauf hackt, erreicht man den Rest (LAN) relativ simpel, denn man könnte sich eigene NAT Regeln setzen. (z.B über ssh oder tr069 oder irgend ein anderes nicht dokumentiertes port).

Ich fände es schon vernünftiger erst mal alles dicht zu machen und dann nur das nötigste zu öffnen, was man wirklich zum Arbeiten braucht (Outbound: HTTP,HTTPS,SMTP,POP3+SSL/IMAP+SSL zu bestimmten Adressen,notfalls noch FTP) und reinkommend erstmal nix, kein ICMP, kein TCP, kein UDP. Wenn man noch VoiP braucht vielleicht auch noch die paar ports.

Ich werde mal weiterforschen, Danke erst mal!

Ach ja, was hat da mit lowinput / highinput / highoutput auf sich, ist das was DSL spezifisches?
 
Moin cando,

ich bin auch noch am experimentieren, habe aber die related (stateful) rules so verstanden:

Wenn du eingehend mit default deny arbeiten möchtest solltest du unbedingt bei lowinput eine permit (any) outgoing-related rule einrichten, sonst geht gar nichts. So arbeitet die FW stateful, zumindest bei mir. Ich arbeite lowinput und highoutput mit default deny - lowinput mit permit any outgoing-related und highoutput schalte ich die üblichen Verdächtigen frei: 80, 443, 25, 110, t-home mcast netze, voip, usw.

MfG
Marc
 
Zusammenfassung

OK Ich versuch das mal zusammenzufassen als Beispiel für Surfen über HTTP (TCP Port 80) mit LAN auf 192.168.0.0/24:

lowinput ist die Richtung Internet -> LAN
highoutput ist die Richtung LAN -> Internet.

Default Regeln für Beides : Deny
Blockt alles was nicht explizit erlaubt wird

highoutput Regel :

permit tcp 192.169.0.0 255.255.255.0 any eq 80
(Erlaubt ausgehenden Verkehr LAN-Internet)

Zugehörige lowinput Regel:

permit ip any 192.168.0.0 255.255.255.0 connection outgoing-related
(Erlaubt zurückkommende Pakete zu einer beliebigen Verbindung, die mit lowinput permit Regel zustande gekommen ist. Kümmert sich sozusagen um statefull).

Hab ich das jetzt so richtig verstanden?

Vielen Dank für die Aufklärung!

cando
 
So sieht's für mich aus.

Wenn du nicht für jede outgoing eine entsprechende incoming rule einstellen möchtest verwendest du eben bei lowinput

permit ip any any outgoing-related.

Mit default deny bei lowinput ist damit noch immer alles dicht was im LAN Richtung Internet lauscht. Nur die Antworten auf Verbindungen, die nach außen initiert wurden, werden eingehend erlaubt - also stateful. So zumindest auf meiner Box.

MfG
 
Ich habs jetzt mit den Regeln hingekriegt.

Noch eine Anmerkung zu meinem Posting, für diejenigen, die es interessiert:

Zugehörige lowinput Regel:

permit ip any 192.168.0.0 255.255.255.0 connection outgoing-related :mad:
permit ip 192.168.0.0 255.255.255.0 any connection outgoing-related :mad:

permit ip any any connection outgoing related :p
(!!! Erlaubt zurückkommende Pakete zu einer beliebigen Verbindung, die mit lowinput permit Regel zustande gekommen ist. Kümmert sich sozusagen um statefull.
Wenn Adressen bei dieser Regel eingeschränkt werden, dann greift die nicht / sie wird ignoriert !!!).


Die durchgestrichenen Regeln führen beide nicht zum Erfolg.
Das einzige was bei statefull funktioniert ist eine Regel, die als Quelle UND Ziel any hat.

---------------

Nun zu meiner ursprünglichen Frage:

wo finde ich das Firewall log und welcher der beiden Schalter ist zu setzen, damit abgewiesene Pakete gelogt werden. Muss man den syslogd zusätzlich konfigurieren, damit man die Einträge sieht:confused:?

Danke!

viele Grüße

Cando
 
Hi.
Ich hab das schon länger nicht mehr probiert, damals musste der dsld ohne den Parameter zum Verwerfen von geblockten Paketen gestartet werden. Dann gab es für jedes verworfene Paket einen Eintrag ins Syslog.

MfG Oliver
 
Hi,

das scheint (zumindest bei mir) nicht mehr zu funktionieren. Ich hab mal versucht den dsld interaktiv zu stoppen / zu starten und die Schalter mal durchprobiert. Er bringt start und stop Meldungen auf der Konsole, von Paketen sehe ich weder im Syslog vom syslogd noch im kernellog noch im AVM-Fritz log irgend eine zeile vom dsld.

Auch hat der dsld weniger Parameter als in der Beschreibung im freetz wiki.
bzw zum Post von olistudent .


Code:
/var/mod/root # dsld -?
usage: dsld dsld [options]
options:
  -?                 - print this help
  -d                 - Debug for PPP-Stack. (NOTSET)
  -f                 - run in forground. (NOTSET)
  -s                 - stop daemon. (NOTSET)
  -v                 - verbose. (NOTSET)
  -p STRING          - Pidfile. ("/var/run/dsld.pid")
  -r INTEGER         - Portrange for IPMASQ. (0)
  -F                 - no pppoe forwarding. (NOTSET)
  -C                 - connect on startup. (NOTSET)
  -i                 - obsolete. (NOTSET)
  -M STRING          - memory debug output. (NULL)
  -n                 - do not show packets dropped. (NOTSET)
  -I                 - send dsld a SIGHUP. (NOTSET)
  -V STRING          - Pidfile of voipd. ("/var/run/voipd.pid")
  -S                 - show bandwidth used every second. (NOTSET)
  -w INTEGER         - TCP window increase patch (WLAN,T-Com only). (14400)
  -g                 - do not start igd. (NOTSET)
  -R                 - NQOS with estimator. (NOTSET)
  -m STRING          - set want mtus "rcvmtu,sndmtu". (NULL)
  -D STRING          - switch debug logs on. (NULL)
start server:   dsld
stop server :   dsld -s

dsld ist doch ein Modul, dass direkt von AVM übernommen wird, oder wird das im freetz compiliert? Vielleicht hat AVM da was abgespeckt oder ich hab eine alte version erwischt (Ich hab den Entwickler Trunk für den Build verwendet).

Also deiner Meinung nach sollte der firewall log im syslog unter Freetz -> Status -> Syslog zu finden sein.

Was hat es eigendlich mit dem Schalter

dsld -D AVM_FW

in der source auf sich? Soll im Log der Eintrag AVM_FW generiert werden oder wird irgendwo eine datei mit dem namen AVM_FW erzeugt?

Danke.
 
Starte den dsld mal mit "dsld -fv" dann siehst du mehr.

MfG Oliver
 
hallo olistudent,

hab ich probiert, sehe leider auch nicht mehr. im syslog gibt es keine einträge von der firewall, weder zugestellte, noch abgewiesene pakete.

die einzigen ip-adressen, die im syslog erscheinen, sind die von den time servern.

ich weiss einfach nicht woran das liegt.

wie sieht denn so ein log aus, gbt es irgendwo ein beispiel?

Code:
Dec  5 00:48:59 fritz syslog.info syslogd started: BusyBox v1.12.3
Dec  5 01:15:02 fritz daemon.info chronyd[1008]: Source 81.169.180.26 offline
Dec  5 01:15:02 fritz daemon.info chronyd[1008]: Source 88.198.177.94 offline
Dec  5 01:15:02 fritz daemon.info chronyd[1008]: Source 204.9.53.11 offline
Dec  5 01:15:11 fritz daemon.info chronyd[1008]: Source 88.191.80.132 online
Dec  5 01:15:11 fritz daemon.info chronyd[1008]: Source 81.169.180.26 online
Dec  5 01:15:11 fritz daemon.info chronyd[1008]: Source 88.198.177.94 online
Dec  5 01:15:11 fritz daemon.info chronyd[1008]: Source 204.9.53.11 online
Dec  5 01:15:53 fritz daemon.info chronyd[1008]: Source 88.191.80.132 offline
Dec  5 01:15:53 fritz daemon.info chronyd[1008]: Source 81.169.180.26 offline
Dec  5 01:15:53 fritz daemon.info chronyd[1008]: Source 88.198.177.94 offline
Dec  5 01:15:53 fritz daemon.info chronyd[1008]: Source 204.9.53.11 offline
Dec  5 01:16:03 fritz daemon.info chronyd[1008]: Source 88.191.80.132 online
Dec  5 01:16:03 fritz daemon.info chronyd[1008]: Source 81.169.180.26 online
Dec  5 01:16:03 fritz daemon.info chronyd[1008]: Source 88.198.177.94 online
Dec  5 01:16:03 fritz daemon.info chronyd[1008]: Source 204.9.53.11 online
Dec  5 01:25:04 fritz daemon.info init: init: starting pid 24162, tty '': '/bin/sh -c /var/post_install'
Dec  5 01:25:10 fritz daemon.info chronyd[1008]: Source 88.191.80.132 offline
Dec  5 01:25:10 fritz daemon.info chronyd[1008]: Source 81.169.180.26 offline
Dec  5 01:25:10 fritz daemon.info chronyd[1008]: Source 88.198.177.94 offline
Dec  5 01:25:10 fritz daemon.info chronyd[1008]: Source 204.9.53.11 offline
Dec  5 01:25:13 fritz user.err telefon[954]: SIGTERM received!
Dec  5 01:25:13 fritz user.err telefon[955]: SIGTERM received!
Dec  5 01:25:13 fritz user.err telefon[23742]: SIGTERM received!
Dec  5 01:25:13 fritz user.err telefon[23743]: SIGTERM received!
Dec  5 01:25:13 fritz user.err telefon[23744]: SIGTERM received!
Dec  5 01:25:13 fritz user.info pbd[944]: received signal: Terminated.
Dec  5 01:25:13 fritz user.info pbd[949]: received signal: Terminated.
Dec  5 01:25:13 fritz user.info pbd[951]: received signal: Terminated.
Dec  5 01:25:13 fritz user.err telefon[937]: SIGCHLD received!
Dec  5 01:25:13 fritz user.err telefon[937]: SIGCHLD received!
Dec  5 01:25:14 fritz user.info pbd[944]: terminating.
Dec  5 01:25:16 fritz syslog.info syslogd exiting
Jan  1 01:00:53 fritz syslog.info syslogd started: BusyBox v1.12.3
Jan  1 01:01:08 fritz daemon.err chronyd[974]: Could not open /dev/rtc, No such file or directory
Jan  1 01:01:08 fritz daemon.err chronyd[974]: Real time clock not supported on this operating system
Dec  5 01:26:44 fritz user.err telefon[894]: set initial telefon time from linux time to 1:26 5.12 2008!
 
Also wenn ich denn dsld so starte, dann bleibt der schonmal im Vordergrund:
Code:
/var/mod/root # dsld -fv
dsld: Couldn't load shared library  libavmssl.so - File not found - No such file or directory (2)
dsld: startup (May 10 2007 13:25:44)
dsld: DSL Mac 
dsld: VOIP Mac 
dsld: VCC2 Mac 
dsld: VCC3 Mac 
dsld: voip: ppptarget voip disabled, ignored
dsld: compiled tc filter  to 0 classes
dsld: compiled tc filter tc:rtp,sip to 2 classes
dsld: compiled tc filter tc:tcp_ack to 1 classes
dsld: compiled tc filter tc:dns,sipdns,ntpdns,tr069dns to 4 classes
dsld: compiled tc filter tc:http_req,tr069 to 2 classes
dsld: compiled tc filter tc:icmp to 1 classes
dsld: compiled tc filter  to 0 classes
dsld: no sync
Hast du ihn vorher mit "dsld -s" angehalten? Dabei geht deine I-Net Verbindung verloren!

MfG Oliver
 
Also bei mir sieht das so aus:

Code:
login as: root
[email protected]'s password:
   __  _   __  __ ___ __
  |__ |_) |__ |__  |   /
  |   |\  |__ |__  |  /_

   The fun has just begun...


BusyBox v1.12.3 (2008-12-03 17:27:21 CET) built-in shell (ash)
Enter 'help' for a list of built-in commands.

ermittle die aktuelle TTY
tty is "/dev/pts/0"
Console Ausgaben auf dieses Terminal umgelenkt

/var/mod/root # dsld -s

[dsl_ur8] deactivating vc
[dsl_ur8] DDC_sar_deactivate_vc: rc_rx = 0x0 rc_tx = 0x0

/var/mod/root # dsld -fv

[dsl_ur8] activating vpi=1 vci=32
[dsl_ur8] DDC_cpsarChOpen done:0: Ch=0, Dir=RX
[dsl_ur8] DDC_cpsarChOpen done:0: Ch=0, Dir=TX
[dsl_ur8] Successfully opened vpi=1 vci=32 chan=0
[dsl_ur8] deactivating vc
[dsl_ur8] DDC_sar_deactivate_vc: rc_rx = 0x0 rc_tx = 0x0
[dsl_ur8] activating vpi=1 vci=32
[dsl_ur8] DDC_cpsarChOpen done:0: Ch=0, Dir=RX
[dsl_ur8] DDC_cpsarChOpen done:0: Ch=0, Dir=TX
[dsl_ur8] Successfully opened vpi=1 vci=32 chan=0
RTNETLINK answers: No such file or directory

tc_calc_rtable initial: bps=11880, cell_log=48, cell_overhead=5, packet_overhead=8, mtu=1600, mpu=0, overhead=0
tc_calc_rtable change bps(11880->10759)
tc_calc_rtable calcul.: bps=10759, cell_log=48, cell_overhead=5, packet_overhead=8, mtu=1600, mpu=0
tc_calc_rtable: cell_log_as_potence=4

:confused: und wo sehe ich nun die Traffic - Pakete?

Danke.

Cando
 
Schau mal ob der dsld nach dem Anhalten noch unter ps auftaucht. Und probier nochmal mit -fv. Ansonsten hat AVM die Ausgaben gelöscht.

MfG Oliver
 
Nur noch mal zur Erklärung: Die "Statefullness" der Box macht AVM eigentlich durch die Kombination von Firewall und NAT/PAT: Es werden nur sehr wenige Dinge geblockt, alles anndere wird durchgelassen, scheitert aber, wenn keine NAT/PAT vorhanden ist, sei es dynamisch, durch rausgehende Pakete initiiert, oder statisch per "Portweiterleitung".
Deshalb nutz AVM die "related" Einträge nicht.
Ich habe auch nur die GUI dazu gemacht, nutze die FW selbst eigentlich nicht, da die Box bei mir nicht den Internetzugang macht...
Hallo Jörg, sorry, dass ich hier etwas OT nachfrage:
Wie bei Dir stellt meine 7170 nicht die Verbindung ins Inet her (sondern ein Kabelmodem, an dem die 7170 über den ATA-Modus hängt).
Was heisst das für die Sicherheit des Kabelmodems bzw. der 7170 (und des Heimnetzwerkes dahinter)?
Macht es Sinn, mittels AVM firewall GUI die Regeln auf der Fritzbox zu verschärfen, oder kann ich mir das sparen, da die eh hinter dem Kabelmodem hängt?
Total OT: Wie wird eigentlich so ein Kabelmodem (Kabel Deutschland) vor Angriffen aus dem Inet geschützt? (wenn überhaupt)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.