AVM-Firewall package für Freetz

Ich bin neu hier darum eine vieleicht dilletantische Frage:

Gibt es eine Möglichkeit mit der FBF den Zugriff auf bestimmte Host/Seiten (im speziellen SchülerVZ) für bestimmte Clients (hier meine Tochter) zu bestimmten Zeiten order falls nicht möglich dann total einzuschränken.

Ich weiß es gibt Softwarelösungen die auf dem Client (XP) laufen aber das ist leicht auszuhebeln (die Kids werden immer besser!)

Grüße

Klaus
 
IPtables und viel lesen, dazu cronjobs. Alternativ die Kindersicherung der Box, wenn dir die und deinen Belangen reicht. evtl. Proxyserver. Alles mit freetz/AVM möglich, nur lesen, was du davon nutzen willst, musst du selber ;)

btw gibt es durchaus systeme, bei denen das mit dem umgehen durch kinder nicht mehr so einfach ist. denn nicht nur die kinder werden besser, sondern auch die programmierer und deren methoden ;) Und wenn sie dann doch deine Regelungen umgehen, würde ich an deiner Stelle das WLan-PW ändern, oder die Strippe ziehen, und nicht heimlich "aufrüsten", denn vernünftige Gespräche bringen schon was.
 
@ Silent-Tears,

erst mal danke, habe ne 7270 (sorry meine Sig war nicht da) läuft IP-Tabels mit der Akt. Firmware 54.04.76 ?
Gespräche hab ich auch immer gedacht sind besser, aber es gibt immer so viele gute Gründe wieso man gerade doch noch schnell mal was chatten muss wenn die Eltern nicht zuschauen können.

Grüße vom Niederrhein

Klaus
 
Tja, und wie wäre ein wenig toleranz gegenueber dem "Grad mal eben noch" wenns nicht zu sehr eskaliert? iptables übrigens tut es schon. Ich würde das Zwangsblocken von irgendwelchen sachen vom vernunftgrad der kinder abhängig machen, somit vllt. erstmal mitbekommen, was die so anstellen den tag über, auch nach ermahnung. und imemr fein drauf hinweisen, dass du das tust (also urls und zugriffszeiten loggen), sonst isses mehr als unfair.
 
Genau so hab ich s auch gedacht, oft reicht s ja wenn die Kiddies wissen, das wenn nötig, Kontrolle möglich ist, falls es mal mit der freiwilligen Selbstkontrolle mal nicht klappt.
 
Hallo,

in ähnlichem Zusammenhang hatte ich einmal auf Squid verwiesen, welches es als fertiges Paket für Freetz gibt.
Das müsste doch auch für die o.g. Zwecke dienen können, oder? Korrigiert mich bitte, falls dem nicht so ist.
Es gibt zwar noch keinen Wiki-Eintrag, aber im Help-File finden sich ein paar Infos und ansonsten auch in Wikipedia (in English).
 
Hallo,

ich hab hier in der WG nen Mitbewohner der unbedingt emule braucht, ich bekomme es aber nicht hin, die avm firewall cgi regeln dafür zu erstellen.

Ich habe nach den Ports gegoogelt: tcp 4661,4662 udp:4665,4672

Dann habe ich die eingehenden Regeln (lowinput) erstellt, wie z.B.:
any any tcp eq 4661
...

und unter forwarding leite ich die Ports an der Rechner mit Fester IP von z.B. 192.168.178.100.

Bei ausgehenden Verbindungen (highoutput) habe ich sowas ca.:
192.168.178.100 any tcp eq 4661
...

Habe dann bei meinem Mitbewohner geschaut und der hatte ne High Id und Kad Netzwerk war offen. Dachte super fertig eingestellt, aber er bekommt so gut wie keine Verbindungen. Wenn ich ausgehend auf default permit stelle, dann geht alles. Habe testweise für seinen Rechner alle ausgehenden Verbindungen in tcp und udp erlaubt, also so ca.:

192.168.178.100 any tcp range 1 99999
192.168.178.100 any udp range 1 99999

Das funktioniert aber nicht, er bekommt kaum bis keine Verbindungen. Kapiere das nicht, habe doch alles Ports für den Rechner freigegeben, das müsste den selben Effekt haben wie permit als default Einstellung oder nicht?

Bin sowas von genervt, weil mein Mitbewohner rumheult und ich jetzt die Firewall deswegen ausschalten muss. Ganze arbeit umsonst und die Firewall war ja mein Grund für eine Freetz Installation.

Achso alles andere habe ich den Firewall gut konfigurieren können, auch Icq, ftp, etc. geht alles.

Hoffe jemand weiss Rat :(

Gruß,
Therion

P.S. unter Internet kann man bei der Fritzbox auch ohne Freetz Freigaben erstellen. Da habe ich dann auch Regeln eingetragen. Aber könnte das vielleicht mit der avm Firewall kollidieren? Sollte man da was eintragen, auch wenn man die avm Firewall cgi verwendet?
 
Zuletzt bearbeitet:
hint:

...hast Du Dir auch schon mal Gedanken darüber gemacht, wer eine auf die Mütze bekommt,
wenn, sagen wir mal "nicht ganz legale" Sachen, über den Esel gesaugt werden?

Dann bist Du nämlich zumindest mit Teilschuld auch dran.

:end hint

Ports unter IPV4 enden nicht mit 99999
Wenn Du eine forwarding rule verwendest, brauchst Du keine input rule für die selben Ports.


-Wanninger
 
Problem gelöst, hatte mich vertippt und statt 65535 65.535 eingeben. Damit hatte er natürlich den falschen Port freigeben.
 
firewall

hi,

mit deny ip host 60.191.159.180 any connection incoming-related
habe ich einen lästigen China Server verbannt. Das funktioniert.

Ist es möglich mit einer regel alles zu sperren was aus diesem IP bereich kommt: 60.191

z.B. deny ip host 60.191. any connection incoming-related funktioniert nicht.

by Fishi
 
Naja, "60.191." ist ja auch kein Host...

Richig wäre (falls du "den Bereich 60.191.x.y" meinst) "deny ip 60.191.0.0 255.255.0.0 any"

Jörg
 
ja genau das meine ich.
vielen dank
 
Ich brauch mal ein Tip.
Ich habe jetzt 5 mal versucht Forwarding für SSH und FTP einzutragen, in allen fünf Versuchen hat meine Box rebootet und die Standard-AR7.CFG wiederhergestellt.
Jetzt bin ich wenig genervt und denke es muss ein genereller Fehler in meiner Vorgehensweise seien.
Gibt es den Tipps, wie man vorgehen soll, damit dies nicht passiert?

Danke und Gruß
Octomax

P.S. Habe es sowohl mir Freetz 1.1.2 und dem aktuellen Trunk von heute probiert.
 
Ich habe mal das "[NEU]" aus dem Titel entfernt. Nach zwei Jahren sollte das okay sein.
 
Ich habe jetzt 5 mal versucht Forwarding für SSH und FTP einzutragen...
Wie genau hast du es denn versucht? Mach bitte mal einen Screenshot davon, bitte mit Haken bei "Zum Debuggen Forward-Regeln anzeigen"

Jörg
 
@MaxMuster
Ich schau mir gerade das Startskript an. Kannst du mir sagen welche Funktion das eval hier hat?
Code:
eval dsld -s
eval ctlmgr -s
MfG Oliver

edit: Funktionieren eigentlich die 2 Schalter -D und -n (bzw. ! -n) noch?
 
Zuletzt bearbeitet:
Hmm, das ist schon so lange her.
Aus der Erinnerung: Da es zunächst mit dem Anwenden der neuen Regeln Probleme gab, haben wir das dann einfach aus dem rc.net abgeschrieben. Dort wird (wurde zumindest, jetzt ist das z.T. in /etc/term.sh) das Stoppen der Dienste so gemacht.

Die Wirksamkeit der Schalter hängt von den Boxen ab. Bei den älteren Boxen (besser Firmwares) geht das auf jeden Fall immer noch.

Jörg
 
Hier der Screenshot. Zuerst habe ich auf "Standard" geklickt um die Einstellungen einzulesen, dann unter "Forwarding" die beiden Regeln für SSH und FTP eingetragen (HTTPS war schon drin), denn Haken bei Aktivieren gesetzt und auf übernehmen geklickt.
Bildschirmfoto 2010-02-06 um 16.01.48.png

Edit: Da mir das keine Ruhe gegeben hat und ich vorher alle Daten gesichert habe, hat es jetzt geklappt. Die Änderung war, ich die Regeln eingetragen, auf "übernehmen" geklickt, dann den Haken bei Aktivieren und im Freetz-Status auf "Reboot" geklickt.

Danke für´s Lesen (da mir Freetz gefällt, hab ich glatt mir ne kleine Spende aus den Rippen geschnitten. Schönes WE).
 
Zuletzt bearbeitet:
Hallo,

also meine Beaobachtungen von heute Morgen:

Ich versuchte 2 forwardings, die aber schon bestanden, auf aktiv zu setzten.
Das erste mal hatte ich "Übernehmen" und das Häckchen für aktivieren angeklickt gehabt. Danach ein spontaner Reboot der Box und alle Einstellungen weg, als sie wieder da war! Zum Glück hatte ich eine Sicherung. Wieder eingespielt und alles, bis auf Telefoniegeräte wieder da.
Nächster Versuch war, die beiden forwardings zu aktivieren, Häckchen bei Aktivieren war nicht drin. Beim Übernehmen keine Probleme. Danach von Hand ausgelöst ein Reboot, um die Änderungen wirksam zu machen. Zwar waren die Einstellungen fast alle noch da, es fehlten aber wieder die Telefoniegeräte ...
Keine Ahnung seit wann das so ist, mit älteren trunks hatte ich dieses Verhalten nicht.

Gruß Joel!
 
Ja, wegen des "spontanen" Reboots gibt es extra diese "lustige Warnmeldung" ;-) bei dem Haken.

Mit den Telefoniegeräten gab es hier doch auch schon was?? Die Dateien in /var/flash waren da (mal wieder) echte Dateien statt Special Devices.

Jörg

EDIT: Wegen der Telefoniegeräte: Thread dazu und Ticket
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.