Aufruf zur Dokumentation der internen Firewall

[MaxMuster]

Wenn ich das richtig interpretiere, ist diese Firewall ein Teil des DSL-Parts (dsld bzw kdsldmod.ko, im letzteren sind die ganzen "Strings" dazu drin). Damit wird man wohl nur solche Verbindungen "regeln" können, die mit dem Internetzugriff im Zusammenhang stehen....

Jörg

 

[MReimer]

Das würde die Firewall für meine Zwecke dann doch etwas unbrauchbar machen...

Wie hat denn die 5050 die zwei LAN-Ports wenigstens so getrennt, dass jeder eigene IP-Kreise haben konnte? An welcher Stelle wurde das wie konfiguriert? Kann man dieses Verhalten mit den "4-Port-Switch-Boxen" nachstellen?

 

[han-solo]

@MReiner: Was du vorhast nenn sich VLAN und wird in folgendem Thread diskutiert: http://www.ip-phone-forum.de/showthread.php?t=97472&highlight=VLAN

Ansonsten benutze hier bitte die Suchfunktion.

Gruß
HS

 

[ao]

Trotzdem noch einen Vorschlag: wenn es erstmal ein brauchbares System zur Bearbeitung der ar7.cfg von der Weboberfläche aus gibt, [...]

Entschuldigt bitte, wenn meine Anmerkung nicht hierher passt, aber lässt sich die ar7.cfg Datei nicht mit dem FBEditor von Oliver editieren?

 

[olistudent]

Natürlich kann man das so machen. Aber das ist nicht wirklich "ein brauchbares System". Wenn es nicht anders geht, dann macht man es halt so. Über das Webinterface wäre das natürlich komfortabler.

MfG Oliver

 

[MKunert]

@MReiner: fast 200 Beiträge und keine Signatur ...

Habe auf meiner FBF 7050 (die ja ihre LAN-Ports sauber trennen kann - danke AVM!) über das Web-IF eine statische Route angelegt, die der Box sagt, dass sie die IPs aus einem Subnetz hinter dem zweiten Router (WRT54L) an LAN A dorthin routen soll. Das funktioniert, um die Syslogs der Box an einen Rechner hinter diesem zweiten Router zu schicken.

Hat jemand eine Idee, wie ich die "sauber getrennten" Ports LAN A und B soweit über einander informieren kann, dass ich von einem Rechner im Subnetz von LAN B den Router in LAN A pingen kann?

multid macht den Job, die Konfiguration holt er sich aus der ar7.cfg ... viel weiter bin ich nicht gekommen.

Selbst über einen Hinweis zu hilfreichen Suchbegriffen bin ich dankbar...

IMHO nicht OT, weil die Lösung möglicherweise im Themengebiet "interne Firewall" zu finden ist.

 

[newland]

Wie sieht es eigendlich mit der CPU Auslastung aus hat das jemand schonmal bei Datenbetrieb geschaut?

Weil ich denke bei mehre Laufende Anwendungen mit offende Ports wird die Fritzbox(Router) schon ziemlich in die Knie gehen.

 

[realriot]

Moin,

in der Dokumentation in meinem Wiki habe ich die Features bzw. Konfigurationsmöglichkeiten der Firewall nur überflogen. Eine Garantie auf Vollständigkeit kann daher so nicht gegeben werden.

Der Syntax der Firewall basiert auf derer von Cisco. Wenn man Dokumentationshandbücher zur Verfügung oder beruflich mit Cisco-Equipment zu tun hat, kann man sehr schnell Parallelen herstellen.

Im Grunde sind alle wichtigen Funktionen, die man von einer Firewall erwartet mit dieser Lösung realisierbar.

Dass die Änderungen am Regelwerk sensibel zu handhaben sind, hat wohl bisher jeder bemerkt. Ich freue mich wirklich, dass aufgrund meiner Empfehlung ein Projekt entstanden ist.

Ich werde soweit es geht auch Zeit in das Projekt stecken können. Aktuell habe ich bedingt durch meinen Hausbau weniger Ressourcen. Aber auch das wird sich ändern...

Viele Grüße
Sascha

 

[Darkyputz]

So...habe auch mal etwas gebastelt...und nu wissen wir, das der bereich "highoutput" der ar7.cfg im "dsldpconfig" bereich erfolgreich für content filtern genutzt werden kann...
wenn die ip bekannt iss *GRINS*
leider scheint dieser bereich der ar7.cfg nicht so genügsam zu speichern/zu übernehmen zu sein wie die portforwarding rules...
letztere reagieren sofort auf eine dsld -I...
highoutput usw. leider scheinbar nur auf restart der box
oder genauer auf
dsld -s(stoppen) und wieder starten dsld(starten)...
wenn jemandem da noch was fixeres zu einfallen würde wäre toll....denn 2 minuten reconnect sind die folge...
auf der anderen seite könnten an auch argumentieren das man ip´s nicht so oft spert und das daher zu verschmerzen ist...

freue mich auf anregungen...

@realriot
habe bei dir kein wiki gefunden *GRÜBEL*
aber nette anregung im bezug auf die firewall...obriges ist allerdings kein plagiat von dir...
und ar7.cfgchanched iss nix anderes als ein rc.net reload/restart und is auch anicht nötig wenn nur portorwardings verändert werden...da reich dsld -I (ida).
für den rest scheinbar leider ein dsld restart...da müssen wir aber noch was beseres finden das dauert zu lange...

 

[realriot]

Auf jeden Fall... Man bräuchte genaue Definitionen wann und bei welchen Dingen welche Kommandos ausgeführt werden müssen, um die Fritzbox alle Änderungen "lernen" zu lassen.

So wie ich das mal mitbekommen habe, gibt es ein Tool um die ar7-Config zu veärndern. Man kann bisher lesend auf die einzelnen Teile der Config zugreifen. Kann man dem Tool nicht auch sagen, dass ein Schreibzugriff erfolgt? Ich kann zur Zeit leider keine Tests etc. posten da ich heute erst meine neue Box (7270) in Betrieb genommen habe und noch nicht einmal ein Telnet-Interface besitze))

Viele Grüße
Sascha

PS: Sorry, ich hatte früher mal ein Wiki laufen. Was ich mit "Wiki" meinte war eigentlich mein "Blog"

 

[Darkyputz]

hallo nochmal...habe nu wieder getestet...
input rules und outputrules übersteuern die porforwardrules...
low(input/output) übersteuert High(input/output) einträge...

das iss meiner meinung nach ne wichtige erkenntniss

 

[han-solo]

So ihr Leute,

nach ein paar Wochen Arbeit haben MaxMuster, Darkyputz und meine Wenigkeit eine erste lauffähige Version der AVM-Firewall als package für freetz entwickelt.

Es werden die "lowinput" und "highoutput" Regeln im bereich von dslifaces in der ar7.cfg bearbeitet.

Das dafür nutzbare Webinterface ist wunderbar einfach und interaktiv zu bedienen.
Regeln können erstellt, gelöscht, editiert und verschoben werden.

Einzigstes Problem ist derzeit noch die aktive Übernahme der Regeln im laufenden Betrieb.
Dies funktioniert zwar mittels des Commandos ar7cfgchanged aber ist bei vielen laufenden Prozessen nicht praktikabel, da die Box bei 8 von 10 Ausführungen rebootet.

Bevor wir dieses package zur Verfügung stellen, möchten wir dieses Problem natürlich zufriedenstellend lösen. Falls also jemand von euch eine Idee hat, wie man die betroffenen Abschnitte in der ar7.cfg einfach und schnell ohne Reboot aktualisieren kann, wäre dies natürlich ein große Hilfe für uns.

Wir freuen uns auf eure Ideen und selbstverständlich darauf euch unser kleines Kunststück bald präsentieren zu können.

So long....

Gruß
HS

 

[RalfFriedl]

Die einfachste "Idee": Was genau macht denn das AVM Interface, wenn man die Regeln ändert? Das funktioniert vermutlich auch ohne Reboot.

 

[han-solo]

das ist lediglich ein "dsld -I" und betrifft leider nur die Forwardrules.

 

[MaxMuster]

... denn zu der FW gibt es ja kein Interface, diese Regeln sind also in der Lesart von AVM "statisch" und keine Änderung im Betrieb daran vorgesehen...

Jörg

 

[McNetic]

Wenn es keine Möglichkeit gibt, dies im Betrieb zuverlässig durchzuführen, schreibt man eben dazu, daß die Übernahme einen Reboot auslösen wird. So oft spielt man ja nicht an der Firewall herum. Ich finde das ist immer noch eine wesentlich bessere Lösung als gar keine.

 

[knox]

haben ... eine erste lauffähige Version der AVM-Firewall als package für freetz entwickelt.

Wo kann ich das bekommen?

 

[wichard]

@knox:

Bevor wir dieses package zur Verfügung stellen, ...

Gruß,
Wichard

 

[erasmus]

gibt es schon erkenntnisse zu einem logging der internen firewall ?

 

[Darkyputz]

nun...ich habe mi dem dsld gespielt und festgestellt, das der wenn er it parameter -D gestartet wird im syslogd mitlogged was passiert...
meinst du das?
also er schreibt welche regel grad was gesperrt hat...