Zu deinen Fragen der 3 PMs.
- Ne, meinte mit "Box" die Fritzbox, nicht deine "Komponente".
- Nein, es ist nicht "alles offen". Die Firewall nutzt die Fritzbox per default nicht wirklich. Es sind nur einige, wenige Dinge gesperrt. Der Rest steht (von Werk aus) auf "permit", also erlaubt.
Der Zugriff von außen wird nur per NAT geblockt (Portweiterleitungen).
Du hast mit dem Freetzimage und der AVM Firewall GUI also an den Einstellungen selbst nichts geändert und nach wie vor die gleiche Sicherheit wie vor dem Flashen.
Ich kann dir nur den gut gemeinten Rat geben dich in die Materien einzulesen, auch wenn es je nach dem etwas dauern wird. Früher oder später willst du an der Konfiguration ja wieder etwas ändern und auch verstehen was du machst.
Dich selbst aussperren ist mit der AVM Firewall nicht möglich, da diese nur zwischen WAN und LAN filtert, nicht aber die Fritzbox selbst. Selbst aussperren könntest du dich z.B. mit iptables, da iptables es erlaubt wirklich alles zu filtern, auch den LAN internen Verkehr zur Fritzbox hin. Die AVM Wall bietet das nicht.
Zu meiner PM mit den Regeln. Du kannst die Regeln auch sofort ins Regel Feld schreiben, musst das also nicht zwingend über die GUI machen. Im Endeffekt kommt das auf das Gleiche heraus.
Zur Umsetzung (Der Port 17010 dient nur dem Beispiel, dort natürlich der Port und das Protokoll rein, das du brauchst!):
- In der GUI stellst du erst einmal bei "lowinput" und "highoutgoing" die Standardregel auf "deny", so das erst einmal alles verboten ist, was du nicht explizit erlaubst (Whitelist Modus).
- Nun stellst du bei "lowinput" "permit ip any any connection outgoing-related" ein. An welche Stelle du das setzt, ist unerheblich.
Zu sehen hier:
http://666kb.com/i/bhrpvzf7qpqqq41mn.png
- Bei "highoutgoing" stellst du "permit ip any any connection incoming-related" ein.
Diese beiden Werte ermöglichen der Firewall die Stateful Inspection. Klar verständlich gesagt: Wenn dein PC ausgehend eine (erlaubte) Verbindung aufbaut, sieht das die Firewall und lässt dann Datenpakete, die zu dieser Verbindung gehören, auch wieder herein.
Da die Firewall aktuell aber erst einmal
alles ablehnt (whitelist Betrieb - es stehen die Standardregeln ja auf deny), ist aber aktuell erst einmal nichts erlaubt.
Nun konfigurieren wir also die gewünschten Dinge für die jeweiligen Rechner bzw. erst einmal für deine Komponente.
Unter "lowinput" musst du die Ports öffnen, die deine Komponente empfangen können darf. Dies musst du per "any", also für jeden, erlauben, da diese Öffnung danach beim NAT landet, der es dann (bei existierender Portweiterleitung) an den gewünschten Rechner weiter gibt.
Kurz gesagt:
Port oder port range bei "lowinput" wie folgt öffnen: "permit tcp any any eq 17010"
Wäre in dem Beispiel der Port 17010 für das Protokol TCP.
Screeni:
http://666kb.com/i/bhrq2rjqphcl3lnwf.png
Und nun musst du noch unter "Portforwarding" die Weiterleitung des Portes auf den gewünschten Rechner (10.33.77.3) einrichten. Dies kannst du sowohl über die AVM GUI als auch in der Fritzbox selbst machen. Ist das Gleiche. Bei weiteren Ports, auch für andere Rechner, verfährst du genau so. Portfreigaben (eingehend) musst du in Zukunft also doppelt anlegen. Einmal mit any/any in der Firewall und dann noch mit der Portweiterleitung (NAT) für den jeweiligen Rechner, für den die Freigabe bestimmt ist.
So, nun zu den ausgehenden Verbindungen. Im Grund ist es unter "highoutgoing" das gleiche Spiel, nur kannst du dort den jeweiligen Rechnern direkt getrennte Regeln zuweisen. In deinem Falls musst du das auch tun, denn die "Komponente" soll ja anders behandelt werden als der Rest.
Die Freigabe nach außen stellst du nun wie folgt: "permit tcp 10.33.77.3 255.255.255.0 any eq 17010"
oder per "permit tcp host 10.33.77.3 any eq 17010"
Wie rum ist im Endeffekt egal.
Screeni:
http://666kb.com/i/bhrq6o6i1rk5viclb.png
Dies erlaubt nun NUR dem Rechner 10.33.77.3 ausgehend den Port 17010 über TCP zu nutzen.
ALLE anderen Rechner kannst du einfach mit einem"permit tcp 10.33.77.0 255.255.255.0 any eq 80" für z.B. den Port 80/TCP freigeben. Die .0 am Ende in der Freigabe bedeutet eben das die Regel für alle Rechner in diesem Netz gilt.
Aufgrund der Whitelist musst du alle Ports öffnen, die man tagtäglich so nutzt. Das sind z.B. 80 für http / 443 für SSL/https, 110 für pop3 usw. usf. Solltest du ausgehend den "ping" Befehl nutzen solltest, musst du diesen natürlich auch freigeben (icmp).
Listen dazu findest du genügend per google.
Ich denke das wars. Viel Erfolg beim Basteln!
PS:
Zu meinem "NTP" Hinweiß. Die Fritzbox zeigt doch unter "Internet" immer die aktuelle IP und Uhrzeit an. Diese Uhrzeit wird über NTP abgefragt, das den Port 123 über UDP nutzt. Du musst also ausgehend mit any/any den Port 123/UDP freigeben, damit die Fritzbox (und alle weiteren Rechner im Netz) sich die Uhrzeit über NTP holen dürfen.
Wie man das ganze nur für die Fritzbox frei gibt weiß ich selbst (noch) nicht. Da ich aber ntp eh zum synchronisieren einiger Programme nutze, ist es nicht verkehrt, wen es für alle auf ist.