AVM-Firewall package für Freetz

... genau so war es ;-)
Das Eintragen geht recht einfach, weil das nur eine Javascript-Abfrage ist, die 0.0.0.0 als unzulässig ablehnt.
Allerdings werden die Einträge auf 0.0.0.0 beim Starten der Box/des ctlmgr explizit besonders behandelt. Alle "normalen" Einträge werden "durchnumeriert" mit rule<n>, die 0.0.0.0-er aber nicht. Auf diese speziellen Regeln kann man deshalb per GUI nie zugreifen, weil die in den "vars" garnicht enthalten sind.
Der "trotzdem-anzeigen" Patch, den ich mal gebastelt hatte, war deshalb recht schwierig: Alle Einträge auf die 0.0.0.0 wurden in der ar7.cfg auf 127.0.0.1 geändert, waren so nach dem Starten in der GUI und per rule ansprechbar. Danach wurden dann GUI-Änderungen aller Regeln, die als Ziel 127.0.0.1 hatten auf das Ziel 0.0.0.0 emuliert. Das war also recht komplex, speziell ob der simulierte GUI-Aufruf heute noch so ohne weiteres geht, und dann auch noch bei allen Boxen, kann ich nicht sagen...

Beide Patches sind hier, ins Freetz wurde es nicht aufgenommen, eben weil die Eintragungen mit dem "einfachen" Patch nach einem Restart nicht mehr sichtbar (und damit auch nicht ohne weiteres wieder löschbar) sind.

Falls es andere Lösungen gibt wäre das sicher gut.

Jörg
 
Zuletzt bearbeitet:
Grundeinstellungen

hallo,

ich hab die firewall erfolgreich auf meinen speedport 701 gepackie. jetzt bin ich aber auf der suche nach hilfreichen tutorials oder ähnlichem. ein bisschen was habe ich schon gefunden. aber trotzdem würde mich mal der "point of start" interessieren. Zu Anfang ist die firewall ja wie im angehängten Bild vorprogrammiert. Kann mir jemand sagen, was diese regeln bedeuten. und was würde passieren wenn ich sie einfach raus lösche?
Mittels highoutout kann ich programmen verbieten nach außen zu kommunizieren. das ist richitg oder?
aber wie sichere ich mein netzwerk richitg ab über lowinput?

Vielen Dank fürs Licht ins Dunkel bringen...
 

Anhänge

  • fw.jpg
    fw.jpg
    157 KB · Aufrufe: 81
WAN IP blocken

Kann ich mit der AVM firewall eine bestimmte eingehende WAN-IP blockieren, die auf meinen Webserver zugreifen will? Ist das möglich - oder - was ich vermute - geht das nur mit iptables?
 
@trinidat

Du kannst eingehende Anfragen von bestimmten ip Adressen im lowinput Zweig blocken.

Das AVM-NAT verhindert aber ohnehin Zugriffe auf die Fritzbox sowie auf die Rechner im LAN, wenn du darauf aus dem Internet zugreifen willst, musst Du Portweiterleitungen einrichten. Mit der Firewall kannst Du mit permit oder deny regeln dann weiter auf IP Adresse (Bereiche), Protokolle und Ports einschränken. Vergiss aber nicht die Gegenrichtung (highoutput connection incomming related) zu erlauben, wenn du die default Policy auf deny setzt.

Für ausgehenden Verkehr brauchst Du analog "connection outgoing related" im lowinput Zweig, um nicht die Anwortpakete zu blocken.
 
[Edit frank_m24: Vollzitat gelöscht, siehe Forumregeln.]
Hallo Jörg,

wollte zu dem Fehler auch noch etwas beitragen. Im Neusten Freetz Trunk (4770) kommt die schon bekannte Fehlermeldung auch, aber wenn man danach auf "zurück" klickt kommt die neue Meldung "Fehler: Das Paket " ist nicht konfigurierbar!".
 
Zuletzt bearbeitet:
Ooops, das ist mir doch echt untergegangen. Danke für den Hinweis (und die "Erinnerung" an das Thema ;-))

Jörg
 
Kein Thema - bin froh das es überhaupt Leute gibt, die so etwas auf die Beine stellen. ;)
 
Seiten Blockieren

Leute,

Wegen den Kinder, suche nach einer Moeglichkeit Adult Seiten zu blockieren.

Kann jemand mir ein Beispiel geben?

Ich habe diese z.B gegeben aber die Seite ist noch erreichbar. Habe gebootet aber trotzdem. Bei mir ist nur das Packet AVM-firmware installiert

1)

deny ip any host 92.211.112.220
deny ip host 92.211.112.220 any

2) Wie kann ich eine gruppe von IPs definieren
Ich will sagen alle die IPs die faengen mit 209.222.148. *** an
 
Ich habe probiert mit

modprobe ip_tables
modprobe iptable_filter

iptables -S

/var/mod/root # iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT


iptables -I FORWARD -d 209.222.148.0/24 -j reject
iptables v1.4.1.1: Couldn't load target `reject':File not found
Try `iptables -h' or 'iptables --help' for more information.

/var/mod/root # modprobe ipt_REJECT
modprobe: module ipt_REJECT not found in modules.dep



kann jemand hilfen??
danke
 
@sherifomran

you need to add ipt_REJECT in menuconfig (or a similar module thet fits to your kernel)

You also can try the DROP target instead.

iptables -I FORWARD -d 209.222.148.0/24 -j DROP
 
Hallo, entschuldigt bitte die DAU-Frage, aber was ist für einen vom Laien im Übergang zum etwas Kundigeren befindlichen User sinnvoller: Nutzung des AVM-Firewall CGI oder iptables etc.?
 
Das hängt nach meiner Meinung eher vom Ziel/Zweck ab, als von der "Expertise", auch wenn die eingeschränkte Nutzbarkeit der AVM-FW diese prinzipiell "einfacher" macht.
Bei komplexen Anforderungen ist meiner Ansicht nach iptables unumgänglich, ein nicht zu unterschätzender Punkt ist auch das mangelnde Logging mit der AVM-Firewall....

Jörg
 
Danke, Jörg, ein guter Punkt zum Logging. Dann werde ich mir mal die iptables näher anschauen.
 
Kann ich mit der AVM firewall eine bestimmte eingehende WAN-IP blockieren, die auf meinen Webserver zugreifen will? Ist das möglich

Ich muss diese Anfrage konkretisieren. Die unerwünschte WAN-IP greift auf einen port zu, den ich freigeschaltet habe. Ich müsste also über "lowinput" dieser IP verbieten, auf diesen offenen Port zuzugreifen.

Ist das möglich?
 
My friend,

yes you can block incoming and outgoing connections.
If you have freetz installed, with the AVM firewall, then you can login to
192.168.178.1:81
user name admin, password freetz

In Package, select AVM-Firewall

See the following image
http://www.ip-phone-forum.de/attachment.php?attachmentid=22356&stc=1&thumb=1&d=1202810779

In the incoming source write his ip
ex:

64.62.202.0 255.255.255.0

If his ip starts with 64.62.202.xxx

or

64.62.0.0 255.255.0.0 if

64.62.xxx.xxx

hope it helps

regards,
Sherif
 
Hallo Leute,

gibt es eine Möglichkeit nach String zu suchen um URLs mit dem Content zu blockieren?
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,146
Beiträge
2,246,879
Mitglieder
373,654
Neuestes Mitglied
hstoff
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.