ar7.cfg firewall ändern für Webif bedienen aus Internet

[on_the_way_with_fbf]

Hallo!
Kurz und gut gefragt.
Ich möchte auf die webinterface von mein FBF zugreifen über Internet. Meine ferne IP ist fest und mir bekannte daher möchte nur diese Host erlauben die webinterface aus Internet zu sehen.

Würde mir freuen was zu lessen da grad Zeitdrück habe
Danke im Voraus.

 

[martian]

hmm, ich kann dir leider auch nicht sagen, wie du da eine "whitelist" für erlaubte IPs erstellst, aber vielleicht könnte man deinen thread ja insofern erweitern, das auch leute mit dyndns sicher ihre fbox aus dem internet bedienen können!

Ich hatte mir das so gedacht, das irgendwie der "ich habe mein passwort vergessen" knopf beim loginschirm deaktiviert wird, wie auch immer. Das ist dann zwar doof, wenn man wirklich sein PW vergessen hat, aber wer den Mod dann einspielt sollte wirklich so clever sein, sich sein PW merken zu können :wink:

Aber vielleicht gibts ja auch noch andere Methoden das sicherer zu machen...
Wäre für eure Ideen dankbar

 

[fritzchen]

das ganze wurde hier an anderer Stelle schon herausgearbeitet, ich weiß aber nicht mehr wo...

Meine Empfehlung: ssh installieren auf der Box, damit geht es dann sicher und einfach

 

[prodigy7]

Hallo,

kann mich meinem Vorredner (fast) anschließen: Ich habe in meinem Netzwerk zuhause einen Rechner (Linux) laufen, auf dem SSH läuft. Einfach ein Portforwarding auf der Box auf diesen Rechner einrichten und dann kannst du das Webif so tunneln dass du Remote dran kommst.
Falls du einen Windows Rechner hast, lad dir Cygwin (www.cygwin.com) runter - dann kannst du auch eine auf Windows portierte OpenSSH-Version installieren.

p7

 

[fritzchen]

upps, warum einen Rechner laufen lassen, wenn doch nur auf die Box zugegriffen werden soll? Mit Kanonen auf Spatzen etc pp

 

[MiataMuc]

Der "Ich habe mein paßwort vergessen" - Knopf ist in der regel nicht auf der weboberfläche zu finden, da dieser wohl nur innerhalb der ersten Viertelstunde (?) nach Einschalten/Anschließen der Box erscheint (sofern es bei dir nicht regelmäßige Stromausfälle gibt *g*). Ich habe die Oberfläche freigegeben, und sehe den Button nie. Anderseits wäre zu bedenken, daß man nicht weß, ob's irgendwelche Tricks/Umgeheungsmöglichkeiten für das PW gibt, weswegen ich die Festlegung auf eine fixe IP auch interessant fände (habe hier im Büro eine).

Gruß Flo

 

[on_the_way_with_fbf]

Hallo Jungs.!
Ich möchte nur die Firewall regeln anpassen, aber nicht ssh und und installieren/modden müssen

 

[fritzchen]

dann benutze doch mal die suche, deine Lösung gibt es schon irgendwo

 

[on_the_way_with_fbf]

Der "Ich habe mein paßwort vergessen" - Knopf ist in der regel nicht auf der weboberfläche zu finden, da dieser wohl nur innerhalb der ersten Viertelstunde (?) nach Einschalten/Anschließen der Box erscheint (sofern es bei dir nicht regelmäßige Stromausfälle gibt *g*). Ich habe die Oberfläche freigegeben, und sehe den Button nie. Anderseits wäre zu bedenken, daß man nicht weß, ob's irgendwelche Tricks/Umgeheungsmöglichkeiten für das PW gibt, weswegen ich die Festlegung auf eine fixe IP auch interessant fände (habe hier im Büro eine).

Gruß Flo

Genau das ist mein Falls.
Naja, jetzt habe was im Firewall geändert und jetzt ist der FBF weg !
Pech gehabt

 

[martian]

Hmm, also bei mir ist der knopf (...klicken sie "hier") leider nicht weg, sondern auch von außen abrufbar! Obs da Sicherheitslücken gibt... na da muss sich ein Angreifer ja wohl schon sehr gut mit der Fritzbox auskennen, um sowas dann ausnutzen zu können. Das Risiko halte ich auch bei Dynamischer IP & Dyndns verschwindend gering... ich will halt nur vermeiden, das irgendjemand, der mit nem portscan aufs webinterface meiner box gelangt (auch wenn ich die box nicht auf port 80 freigegeben habe) einfach meine box reseted, auch wenn er davon nichts hat, hab ich ein bisschen ärger :roll:

EDIT: Hab grad gesehen, bei meiner Eumex 300IP ist das der Fall, das man nur innerhalb von 15min nach Neustart das PW reseten kann...Grr@Fritzbox!

 

[MaZderMind]

Hi
martian der Knopf bleibt da, ist jedoch nur eine Minute (?) nach reboot benutzbar, danach passiert damit glatt garnix.
Was das erlauben eines IP-Bereiches / einer IP aus dem Webinterface angeht, habe ich einen Proff-Of-Concept Webcm-Mod vorgestellt. Schau dir mal dieses Archiv an, speziell die Install Snippets. Die diskussion dazu findest du auch in obigem Thread.

Gruß, Peter

 

[Switch42]

Hallo zusammen,

Um die Box aus dem Internet erreichbar zu machen, gibt es einen kleinen Trick ohne die Box zu schrotten.

Ganz einfach:

Portfreigabe mit folgenden Einträgen einrichten:

von Port: 80 oder ein anderer (dies ist der Port wo man in das Webinterface kommen wird von extern)
nach Port: 80
IP: 192.168.179.1

Einen sinnvollen Namen und fertig. Die Box sollte spätestnes jetzt passwortgeschützt werden, alles andere ist leichtsinnig.

 

[shadow000]

Port 80 kann man leider nicht auf Port 80 freigeben.
Übrigens: wenn die Box im Netz steht ist es wahrscheinlich keine schlechte Idee wenn man sie nicht schon von Weitem als Fritzbox erkennt.
Im Anhang mal ein Bild meiner leicht modifizierten login.html ;-)

 

[danisahne]

Hallo,

wirklich mit Sicherheit hat nur der Vorschlag von fritzchen zu tun, nämlich das ganze über SSH zu tunneln (oder VPN). Alles andere halte ich für überflüssig (wann muss man denn schon dauernd auf das Konfiguartionsmenü, wenn man nicht zu Hause ist?) und fahrlässig. Ist es cool sein Webinterface ins Internet zu stellen oder gibt es da einen Nutzen?

Denn wer weiß schon, wie gut/schlampig webcm geschrieben ist. Auf einigen Linksys Routern sind erst vor wenigen Monaten grobe Sicherheitslücken genau im Webinterface bekannt geworden. Denkt daran, dass durch Voip massiv Kosten entstehen können, falls es mal jemand auf eure Box schaffen sollte.

Nur von einer festen IP Adresse mag vielleicht für den ein oder anderen als sicher genug erscheinen. Ich persönlich würde IP Adressen niemals zur Authentifizierung verwenden, weil man die prinzipiell auch spoofen kann. Der bad guy könnte z.B. ein Arbeitskollege sein, der sieht, dass du dich remote einloggen kannst und dann von einem anderen Rechner im Netz deine IP spoofed und die Session auf der Fritzbox übernimmt. Wunderbar, da braucht er nicht mal das Passwort mehr. Ist jetzt ein sehr spezielles Beispiel, aber wenn man von Sicherheit redet, dann muß man den bad guy überall sehen. Ich will damit sagen, dass meiner Meinung nach IP und Fritzbox Webpasswort lange nicht die erforderliche Sicherheit bringen, um das ganze Webinterface preiszugeben.

@shadow000:
Hast du bedacht, dass die Fritzbox Frames verwendet und man an dem Parent Frame sofort erkennen kann, dass es eine Fritzbox ist?

Mfg,
danisahne

 

[martian]

Also zu diesem Thread: ... Ich würde schon gerne mein WebIf online stellen, wenn da dieser Knopf weg wäre, da es prima ist z.B. von woanders die aktuelle Rufumleitung zu ändern, die Anrufliste zu sehen, die Internetzugangsdaten zu ändern...(das hat alles logische Gründe: Hab z.b. 1 Flat, woanders aber nur 5GB Limit; schnell die Daten getauscht kann ich überall unlimited saugen 8) etc.).
Das immer ein Restrisiko da ist ist mir auch klar, aber ich habe gewisses Vertrauen in meine Mitmenschen und bin in der Hinsicht nicht so "Paranoid" , wie vielleicht einige andere hier. Der Zuwachs an Komfort überwiegt da für mich!

 

[MaZderMind]

Hi
Du weißt dass dieser Zurücksetzen-Knopf föllig wirkungslod ist? Probiers aus - es passiert absolut garnichts.

Gruß, Peter

-[ edit ]-

Das Wiederherstellen der Werkseinstellungen ist gescheitert, da FRITZ!Box schon länger als 10 Minuten in Betrieb ist.

 

[shadow000]

@shadow000:
Hast du bedacht, dass die Fritzbox Frames verwendet und man an dem Parent Frame sofort erkennen kann, dass es eine Fritzbox ist?

Natürlich hab ich auch den Header und den noframes Text "angepasst" ;-)
Das einzige woran die Fritzbox noch von aussen erkennbar ist, ist der webcm Link im Quellcode.

Jemand der sich auf Fritzbox-Hacking spezialisiert wird das bei entsprechenden Sicherheitslücken nicht abhalten, immerhin sieht man aber nicht auf den ersten Blick was da im Netz steht...

 

[on_the_way_with_fbf]

 

[martian]

ähh, bitte nochmal auf deutsch :lol:
was fürn "knöpfle" ist das problem? ich finde das versteckte interface ganz lustig... wenn du mir erklärst wie ich es in meine FW einbaue, oder mir ein fake-fw-image bastelst werd ich das nutzen

 

[shadow000]

Hier mal das versteckte Interface zum Nachladen.
Die Wahlbox ist auch enthalten, wenn kein Bedarf besteht foncalls.html einfach weglassen...

debug.cfg

wget -O/var/tmp/html/login.html http://www.webserver.de/login.html
wget -O/var/tmp/html/index.html http://www.webserver.de/index.html
wget -O/var/tmp/html/foncalls.html http://www.webserver.de/foncalls.html

chmod 444 /var/tmp/html/login.html
chmod 444 /var/tmp/html/index.html
chmod 444 /var/tmp/html/foncalls.html
#brauch ich das eigentlich oder war ich nur so faul das von den .js dateien zu übernehmen die ich hier mal drin hatte?!

mount -o bind /var/tmp/html/login.html /usr/www/all/html/de/login.html
mount -o bind /var/tmp/html/index.html /usr/www/all/html/index.html
mount -o bind /var/tmp/html/foncalls.html /usr/www/all/html/de/fon/foncalls.html