AVM-Firewall package für Freetz
- Ersteller han-solo
- Erstellt am
@McNetic: Danke für die Info.
@Jörg: Aus meiner Sicht könnte das Paket mit den letzen Änderungen so eingecheckt werden. Die Stateful-Regeln machen imho durchaus Sinn. Sobald ich etwas mehr Zeit habe poste ich mal ein paar Infos dazu und gebe ein Beispielset an.
MfG
Marc
@Jörg: Aus meiner Sicht könnte das Paket mit den letzen Änderungen so eingecheckt werden. Die Stateful-Regeln machen imho durchaus Sinn. Sobald ich etwas mehr Zeit habe poste ich mal ein paar Infos dazu und gebe ein Beispielset an.
MfG
Marc
Folgendes ist mir noch aufgefallen:
Beim Sichern und Zurückspielen der Konfig (auch via Freetz) wird die erste Regel mit accesslist = in eine Zeile geschrieben und damit vom Web-Interface nicht erfasst.
MfG
Marc
Beim Sichern und Zurückspielen der Konfig (auch via Freetz) wird die erste Regel mit accesslist = in eine Zeile geschrieben und damit vom Web-Interface nicht erfasst.
MfG
Marc
Meinst du damit, dass die Regel, die voher nach diesem Schema in der ar7.cfg ist:
Code:
lowinput {
policy = "permit";
accesslist =
"deny ip any 242.0.0.0 255.0.0.0", /*AVM*/
Code:
lowinput {
policy = "permit";
accesslist = "deny ip any 242.0.0.0 255.0.0.0", /*AVM*/Eigentlich dachte ich, dass die ar7 ohne Veränderung einfach weggeschrieben und zurückgesichert wird...
Jörg
Genau das habe ich gemeint. Dachte auch, dass die ar7.cfg genau so zurückgeschrieben wird, leider ist dem nicht so. 
MfG
Marc
MfG
Marc
Könntest du bitte mal schauen, wie deine "default" ar7.cfg in dieser Hinsicht aussieht (in /etc/default<deine_Box_und_Version>/ar7.cfg)
Ach so: Hast du im richtigen Abschnitt geschaut? Es gibt diese Einträge zweimal, in der zweiten sind tatsächlich bei mir auch solche Einträge, wo diese direkt hinter dem "accesslist = " kommen...)
Danke!
Jörg
Ach so: Hast du im richtigen Abschnitt geschaut? Es gibt diese Einträge zweimal, in der zweiten sind tatsächlich bei mir auch solche Einträge, wo diese direkt hinter dem "accesslist = " kommen...)
Danke!
Jörg
In der ar7.cfg schaut's richtig aus, also dort beginnen die Regeln nach accesslist = erst in der nächsten Zeile.
Habe richtig geschaut, wir sprechen von dem Abschnitt dslifaces.
Gruß
Marc
Habe richtig geschaut, wir sprechen von dem Abschnitt dslifaces.
Gruß
Marc
dies ist nicht möglich, da die avm-firewall im dsld steckt und damit nur auf dem WAN-Interface arbeitet.
Dazu benötigst du iptabels (da wird dir vielleicht auch noch jemand in dem anderen Thread einen hinweis geben )
Dazu benötigst du iptabels (da wird dir vielleicht auch noch jemand in dem anderen Thread einen hinweis geben
)Korrektur:
Ich habe heute noch einmal versucht das Problem mit der policy in der gleichen Zeile wie accesslist = in der ar7.cfg nachzustellen: Bei beiden Versuchen die Konfig wiederherzustellen, sowohl über die AVM-Weboberfläche, als auch über freetz, taucht das Probem nicht mehr auf.
Ich hatte bei genanntem Fehler (bei gleichem Image und gleichem Modell) die Konfig von meiner ersten Box auf die zweite geschoben. Beim Zurückspielen auf die gleiche Box taucht der Fehler offensichtlich nicht auf. Dennoch schlage ich vor, dass sichergestellt wird dass alle Regeln hinter accesslist = vom Web-Interface erfasst werden, auch wenn diese in der gleichen Zeile stehen.
Jörg, was meinst dazu - vom Aufwand her vertretbar?
MfG
Marc
Ich habe heute noch einmal versucht das Problem mit der policy in der gleichen Zeile wie accesslist = in der ar7.cfg nachzustellen: Bei beiden Versuchen die Konfig wiederherzustellen, sowohl über die AVM-Weboberfläche, als auch über freetz, taucht das Probem nicht mehr auf.
Ich hatte bei genanntem Fehler (bei gleichem Image und gleichem Modell) die Konfig von meiner ersten Box auf die zweite geschoben. Beim Zurückspielen auf die gleiche Box taucht der Fehler offensichtlich nicht auf. Dennoch schlage ich vor, dass sichergestellt wird dass alle Regeln hinter accesslist = vom Web-Interface erfasst werden, auch wenn diese in der gleichen Zeile stehen.
Jörg, was meinst dazu - vom Aufwand her vertretbar?
MfG
Marc
Das ist kein allzu großes Problem:
Ich habe zudem noch ein Problem mit dem Forwarding behoben: Wenn es überhaupt keine Forwardings gibt (z.B. ist da bei einer 7270 ohne VoIP wohl so), konnte man auch keine Forwadrings anlegen.
Ich hoffe, dass jetzt alle Patches auch wirklich im Anhang vereinigt sind ;-).....
Jörg
EDIT 20081017: Patch im Anhang war fehlerhaft. Korrigiert. Danke für den Hinweis, Darkyputz.
Code:
# alt:
LIRULES=`echo "$LOWINPUT"| sed -n "s/^[ ]*\"//g ; /^permit\|deny\|reject/ {s/\"[,;]//g;s/[ ]*$//gp}"`
# neu:
LIRULES=`echo "$LOWINPUT"| sed -n "s/^[ ]*[B]\(accesslist = \)[/B]*\"//g ; /^permit\|deny\|reject/ {s/\"[,;]//g;s/[ ]*$//gp}"`Ich habe zudem noch ein Problem mit dem Forwarding behoben: Wenn es überhaupt keine Forwardings gibt (z.B. ist da bei einer 7270 ohne VoIP wohl so), konnte man auch keine Forwadrings anlegen.
Ich hoffe, dass jetzt alle Patches auch wirklich im Anhang vereinigt sind ;-).....
Jörg
EDIT 20081017: Patch im Anhang war fehlerhaft. Korrigiert. Danke für den Hinweis, Darkyputz.
Zuletzt bearbeitet:
Jörg, du schreibst: Korrigiert. Das diff hängt allerdings nicht mehr an. Kannst du bitte außerdem meine Frage zu #239 noch beantworten?
Danke + Herzliche Grüße
Marc
Danke + Herzliche Grüße
Marc
Typo in SVN 2682
@Jörg,
im svn 2682 ist noch ein typo drin, und ein Teil des diffs finde ich auch nicht.
Es handelt sich um die 240.0.0.0 die hinzugekommen ist und dann ist noch ein Schreibfehler
bei 255.255.225.0 drin. Da muss 255.255.224.0 heissen.
Mir ist auch noch aufgefallen, dass bei Angabe eines Portranges bei forwarding z.B.
SPort 22 EPort 24 eine Rule erzeugt wird mit: tcp 0.0.0.0:22+2 0.0.0.0:22...
Das müsste doch tcp 0.0.0.0:22+3 0.0.0.0:22 heissen, oder?
Für die Masken habe ich mal ein kleines diff gemacht, bei den Portranges habe ich leider
den Punkt nicht gefunden, wo dies erzeugt wird.
Vll. kannst Du mir da mal kurz mit dem Finger drauf zeigen ;-)
Gruß
Wanninger
@Jörg,
im svn 2682 ist noch ein typo drin, und ein Teil des diffs finde ich auch nicht.
Es handelt sich um die 240.0.0.0 die hinzugekommen ist und dann ist noch ein Schreibfehler
bei 255.255.225.0 drin. Da muss 255.255.224.0 heissen.
Mir ist auch noch aufgefallen, dass bei Angabe eines Portranges bei forwarding z.B.
SPort 22 EPort 24 eine Rule erzeugt wird mit: tcp 0.0.0.0:22+2 0.0.0.0:22...
Das müsste doch tcp 0.0.0.0:22+3 0.0.0.0:22 heissen, oder?
Für die Masken habe ich mal ein kleines diff gemacht, bei den Portranges habe ich leider
den Punkt nicht gefunden, wo dies erzeugt wird.
Vll. kannst Du mir da mal kurz mit dem Finger drauf zeigen ;-)
Gruß
Wanninger
Typo in SVN 2682
@Jörg
...ich hab's nun doch gefunden, das mit den Ports.
Die Änderung habe ich mal eingebaut und gleichzeitig noch eine Abfrage, dass ein
versehentlich eingegebener kleinerer EPort als der SPort abgefangen wird.
-Wanninger
@Jörg
...ich hab's nun doch gefunden, das mit den Ports.
Die Änderung habe ich mal eingebaut und gleichzeitig noch eine Abfrage, dass ein
versehentlich eingegebener kleinerer EPort als der SPort abgefangen wird.
-Wanninger
Moin,
besten Dank! Ich schiebe es gleich mal nach...
Die falsche Netzwerkmaske ist ja peinlich; die "fehlenden" Masken hatte ich eigentlich "absichtlich" weggelassen und beim B-Block aufgehört, damit die Liste nicht zu lang wird. maSpro brauchte die 240.0.0.0 aber und generell ist das natürlich Ansichtssache, wie man es macht....
Die merkwürdige AVM-Mathematik wenn ich 1 Port weiter gehe, nutze +2 (Port 22-23 wird zu 22+2) hatte ich tatsächlich übersehen...
Jörg
besten Dank! Ich schiebe es gleich mal nach...
Die falsche Netzwerkmaske ist ja peinlich; die "fehlenden" Masken hatte ich eigentlich "absichtlich" weggelassen und beim B-Block aufgehört, damit die Liste nicht zu lang wird. maSpro brauchte die 240.0.0.0 aber und generell ist das natürlich Ansichtssache, wie man es macht....
Die merkwürdige AVM-Mathematik wenn ich 1 Port weiter gehe, nutze +2 (Port 22-23 wird zu 22+2) hatte ich tatsächlich übersehen...
Jörg
modern world
Neuer User
- Mitglied seit
- 1 Dez 2006
- Beiträge
- 17
- Punkte für Reaktionen
- 0
- Punkte
- 0
bei meiner Imageerstellung 2682 wird im Webif die AVM-Firewall
nicht dargestellt. Ich habe ein make avm-firewall dirclean durchgeführt.
Im Log wird folgendes angezeigt:
Leider entzieht sich das meiner Kenntnis, was ich hier eventl. fehlerhaft
oder auch vergessen haben könnte.
nicht dargestellt. Ich habe ein make avm-firewall dirclean durchgeführt.
Im Log wird folgendes angezeigt:
Leider entzieht sich das meiner Kenntnis, was ich hier eventl. fehlerhaft
oder auch vergessen haben könnte.
Neueste Beiträge
-
NiPoGi Nuc als Hardware?
- Letzte: Bon_Go
-
Führende Null aus Anrufliste entfernen?- Letzte: Dany28
-
"Geister" MACs in Fritzbox Netzwerk
- Letzte: JoeAverage62
-
[Sammlung] Fritz!Box 7690 Labor/INHAUS Zyklus Smart24P1FCS - Fw ab 7.90
- Letzte: chronos42
