DDos Protection / Firewalleinstellungen 7362 SL

Bl4ckMatrix

Neuer User
Mitglied seit
6 Mrz 2014
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo,

bezugnehmend auf diesen Thread: http://www.router-forum.de/board-av...dos-protection-deaktivieren-62074-page-1.html möchte ich mich nun an die Community von Freetz wenden.

Ich habe mich, nachdem ich vom AVM-Support die Mitteilung erhalten habe, das die Funktion vorerst nicht unterstützt wird, in Freetz eingearbeitet und herausgefunden (korrigiert mich falls ich falsch liege), dass man die 7362 SL nur mit dem aktuellen Trunk unterstützt bekommt. Des Weiteren ist das Firewall Package für diese Box in Freetz deaktivert, sodass ich nun nicht wirklich weiß, wie ich dieses Package auf meine Fritz!Box bekomme. Ein einfaches Image konnte ich bereits erstellen und konnte erfolgreich auf die Fritz!Box installiert werden.

Was ich im konkreten Fall suche ist eine Deaktivierung der DDos-Protection, die es z.B. bei der Vodafone EasyBox 802 gibt/gab. Das deaktivieren dieser Funktion hat erst dafür gesorgt, das ich die Box vernünftig verwenden konnte. Ich gehe davon aus, dass die AVM's so eine Option auch mit Freetz nicht unterstützen, notfalls werde ich dann die komplette Firewall deaktivieren.

Viele Grüße

BlackMatrix
 
Zuletzt bearbeitet:
Dadurch, dass einige Hundert Requests kontinuierlich und gleichzeitig laufen, blockiert die Fritz!Box wegen zu vieler Requests. Damals, bei meiner EasyBox, bin ich davon ausgegangen, dass die Box einfach mit der Menge an Anfragen nicht zurechtkommt und deswegen der Großteil nicht erfolgreich ist. Nachdem ich aber die DDos Protection deaktiviert hatte, lief alles wie in Butter. Nun haben wir auf DSL 50000 geupgraded, einen neuen Router bekommen und es tritt das gleiche Phänomen auf. Es wird also zu 99% an der Firewall liegen, die bei der Menge an Anfragen von einem nicht gewollten Zustand ausgeht. Daher brauche ich eine Option, die mir entweder genau diese Funktionalität ermöglicht oder eben eine Funktion, die mir die Firewall komplett deaktiviert (was natürlich nicht von Vorteil ist, aber so ist die Box für mich nutzlos).

Meine weiteren Erkenntnisse:

Die Firewalloption wurde mit Changeset 11244 deaktiviert, kann aber durch Entfernen von " && FREETZ_REAL_DEVELOPER_ONLY " in der "trunk/make/avm-firewall/Config.in" wieder aktiviert werden. Ist insofern nicht ganz so problematisch, weil sich mit der 06.03 nur das Portforwarding geändert hat, nicht aber die Firewall selber. Soweit richtig?
 
Zuletzt bearbeitet:
Ich weiß nicht genau, warum FREETZ_REAL_DEVELOPER_ONLY eingebaut wurde, aber es bedeutet vermutlich, dass es nicht funktionieren wird, auch wenn man es wieder aktiviert.
Selbst wenn es funktionieren würde, geht es dabei tatsächlich um Firewall Regeln und nicht um DDoS Protection. Hat AVM überhaupt bestätigt, dass die Box so etwas hat? AVM hat sein eigenes NAT Modul, vielleicht ist das einfach nicht leistungsfähig genug.
Jedenfalls ist das Firewall Paket nur eine Möglichkeit, die Firewall Regeln in der ar7.cfg Datei zu bearbeiten, also eine Alternative dazu, einen normalen Texteditor zu verwenden. Du kannst ja mal die ar7.cfg durchschauen, ob dort etwas drin steht, was nach DDoS Protection klingt und dies ändern. Vorher sinnvollerweise eine Sicherung der Box machen, bei Fehlern in der Datei ist die Box schnell mal auf Werkseinstellungen zurück oder auch nicht mehr ansprechbar.
 
@ Bl4ckMatrix:

Ich verwende aktuell auf einer 7360(v1) das AVM-Firewall-Paket aus dem Trunk (r11716), es funktioniert bestens.
Allerdings ist mir Dein exaktes Anliegen nicht klar.
Wie RalfFriedl schon vermutete, steht in den "Standard-Regeln" (d.h. von AVM generierte) nicht allzu viel drin, was nach DDoS-Schutz aussieht:
Incoming
Code:
permit ip any any connection outgoing related
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255/*AVM*/
Outgoing:
Code:
reject ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
reject ip any 169.254.0.0 255.255.0.0/*AVM*/
Wie schon gesagt, das obige sind die Standard-Regeln von AVM.
Wend Du irgendeinen bestimmten, von einem konkreten Szenario abhängigen Schutz für die Box (oder deren Netz) suchst, solltest Du Dir evtl. iptables anschauen.
Allerdings läuft dieses nicht auf allen Boxen ohne einiges User-Zutun immer so, wie der User sich das vielleicht wünscht ...
Grüße,

JD.
 
Zuletzt bearbeitet:
Meine Anfrage:

Guten Abend,

ich bin von meiner Vodafone Easybox 802 auf die Fritzbox 7362 SL umgestiegen. Ich betreibe ein Programm auf meinem Rechner, welches unzähige Anfragen absendet und entgegennimmt. Bei meiner Easybox 802 musste ich dafür die DDos Protection deaktiveren, damit die einwandfreie Funktionsweise gegeben ist. Die Fritzbox blockiert teilweise die Unmengen an Anfragen in der Standardkonfiguration ebenfalls. Die Fritzbox bietet mir aber scheinbar keinerlei Möglichkeiten irgendetwas an der Firewall einzustellen.

Die Antwort vom AVM-Support:

vielen Dank für Ihre Anfrage an den AVM-Support.

Die von Ihnen gewünschte Funktion wird derzeit leider nicht unterstützt.
Über die Benutzeroberfläche der
FRITZ!Box haben Sie keinen aktiven Zugriff auf die Firewallfunktionen.

Gerne habe ich Ihre Anfrage daher als Verbesserungsvorschlag an den
zuständigen Produktmanager in unserem
Haus weitergeleitet.

Ich schaue mir die ar7.cfg mal durch.

Im Changeset steht zumindest, dass man damit das Firewallpacket wieder einschalten könnte. Ich habe bisher noch nicht wirklich was in die Richtung gefunden, also wird es wahrscheinlich nur auf eine Deaktivierung der Firewall hinauslaufen, die aber wahrscheinlich auch nur mit diesem Firewallpacket zu deaktivieren ist.

Ist mein Anliegen noch unklar @JohnDoe42 ?
 
Zuletzt bearbeitet:
Im Changeset steht zumindest, dass man damit das Firewallpacket wieder einschalten könnte.
Wo steht das ?
Du kannst mit dem Freetz-Firewall-Paket die AVM-Firewall nicht deaktivieren, du kannst bestenfalls Regeln löschen oder ändern.
Aber wie Du vielleicht an den von mir oben geposteten Standard-Regeln erkennen kannst, gibt es nach meinem Verständnis (bei diesen Regeln) nichts, was zahlreiche Anfragen von und an Deinen Client verhindern sollte, da diese alle zu einem rudimentären Schutz der Box selbst gedacht sind. Regeln einen oder mehrere Clients im Netz der Box betreffend gibt es nicht.
Vielleicht könntest Du doch nochmal versuchen, konkret Dein Problem anhand von Logs, Zahlen etc. zu verdeutlichen oder zumindest konkret eine Symptomatik zu beschreiben.
Nochmal: In der "Standard-AVM-Konfiguration" der Firewall gibt es nichts, was einen Client-Verkehr limitiert.
Grüße,

JD.
 
Zuletzt bearbeitet:
Du kannst mit dem Freetz-Firewall-Paket die AVM-Firewall nicht deaktivieren, du kannst bestenfalls Regeln löschen oder ändern.

Sicher? Ich habe meine Schlussfolgerung nur aus einem Bild von der Freetz mit Start/Stop Buttonübersicht gezogen. Was natürlich auch bedeuten kann, dass man damit nur Packages abschalten kann und nicht die Funktionalität an sich. Das wird dann wohl hier der Fall sein?

Grundsätzlich hat das auch weniger mit einem direkten IP-Blocking zu tun, sondern höchstwahrscheinlich mit der Tatsache, dass die Fritz!Box von einem Zustand ausgeht, der so nicht gewollt ist. Und das ist er bei 99,99% der Nutzer auch, aber ich kann mich damit leider nicht zufrieden geben.

Kann man in der Fritz!Box ein anderes Log-Level wählen, die dem normalen Nutzer evtl. vorenthalten werden? Dann kann ich euch vielleicht auch noch genauere Informationen geben.

Bei meiner EasyBox kamen folgende Meldungen:

03/09/2013 16:55:13 **TCP FIN Scan** 192.168.x.x, xxxxx->> x.x.x.x, 80 (from PPPoE1 Outbound)
03/09/2013 16:55:13 **TCP FIN Scan** 192.168.x.x, yyyyy->> y.y.y.y, 80 (from PPPoE1 Outbound)
03/09/2013 16:55:13 **TCP FIN Scan** 192.168.x.x, zzzzz->> z.z.z.z, 80 (from PPPoE1 Outbound)

Nachdem ich "SPI and Anti-DoS firewall protection" deaktiviert hatte, lief alles ohne TCP FIN Scan Meldungen. Eine vielleicht weitere Einstellung in diesem Zusammenhang: "Flooding cracker block time"

Vielleicht kann der ein oder andere damit etwas anfangen?

BlackMatrix
 

???

Es war damit doch nicht gemein, dass ich wissen will was das ist, sondern ob das in dem Zusammenhang jemand mit der Fritz!Box verbinden kann. Zudem weiß ich nicht 100%, ob das was damit zu tun hat, ich hatte es damals nur in der Firewall von der EasyBox gefunden. Habe dem ganzen aber keine Beachtung mehr geschenkt, weil es mit der Deaktivierung der Anti DDos Protection behoben war.

Ich halte deinen Beitrag für gelinde gesagt, sehr überflüssig.
 
Sicher? Ich habe meine Schlussfolgerung nur aus einem Bild von der Freetz mit Start/Stop Buttonübersicht gezogen....
Mit diesem Button startest/stopst Du das Paket, also den Editor. Nicht die Firewall.

Kann man in der Fritz!Box ein anderes Log-Level wählen,...
Nein, nicht ohne Freetz.

Kannst Du nicht einfach mal das Problem quantifizieren ? Also genau beschreiben, was passiert bzw. nicht passiert ?
Gibt es Geschwindigkeitseinbußen, klappen Verbindungen nicht oder brechen ab etc. ?
 
Zuletzt bearbeitet:
Nein, nicht ohne Freetz.

Dafür bin ich hier :)

Kannst Du nicht einfach mal das Problem quantifizieren ? Also genau beschreiben, was passiert bzw. nicht passiert ?
Gibt es Geschwindigkeitseinbußen, klappen Verbindungen nicht oder brechen ab etc. ?

Sorry, total vergessen.

Also prinzipiell sehe ich es halt daran, dass die Requests nicht mehr funktionieren (im Log). Fehlerursache wird wahrscheinlich sein, dass die Requests in einen Timeout laufen.
Händisch laufen dann auch keine Dienste wie Google oder Youtube mehr. Die Seite läd und läd und wird nicht fertig. Auch ein anderes Laptop, das über den Router Zugang hat, schafft es nicht sich mit den Servern zu verbinden. Wird das Programm abgeschossen, (es laufen demnach keine Requests mehr) dauert es noch einige Minuten bis der Router wieder seinen normalen Dienst aufnimmt und ich die Server wieder erreiche.
 
Okay, dann würde ich vorschlagen, daß Du aus dem aktuellen Trunk mal ein Standard-Image baust und flashst. In diesem sollte sich aus den WebIFs lediglich jenes für den syslogd befinden (ist aber, glaube ich, per default so). In diesem GUI kannst Du dann u.A. den Loglevel verändern und auch Logs auf externe Medien (wie z.B. USB-Stick o.Ä.) schreiben lassen. Dann stellst Du die Situation, die Du beschrieben hast, wieder her und postest die dazugehörigen Logs hier.
Grüße,

JD.
 
Ich muss für die Ausführung leider bis morgen warten, da das Internet gerade in Benutzung ist und nicht durch mich lahm gelegt werden kann.

Hätte noch ein paar kleine Fragen, da ich im Moment nicht testen kann. Mit Loglevel meist du sicherlich "Loglevel klogd" welches standardmäßig auf der 4 steht. Muss man hier einen höheren oder einen niedrigeren Wert nehmen um mehr Informationen angezeigt zu bekommen? Ich habe hier irgendwie keinen Unterschied gemerkt.

2. Frage, wie gibt man den Pfad zum USB-Stick an oder kann man ohne große Umwege über das Netzwerk loggen?

Edit:

Habe mir WinSysLog besorgt und bekomme die Einträge über das Netzwerk geloggt.
 
Zuletzt bearbeitet:
Es benötigt gar keine gleichzeitige Anfragen um den Router dazu zu bringen, dass er mir die Internetverbindung kappt. Die Vermutung, dass er mit der Anzahl der gleichzeitigen Requests nicht so schnell verarbeiten kann, ist also dahin. Einzig und allein die Tatsache, das man einen Server immer wieder abruft, sorgt dafür, das man noch einer gewissen Zeit keinen bzw. einen sehr sehr, trägen Internetzugriff hat. Keine parallele Verarbeitung einfach nur serielle HttpRequests an ein und den selben Server bei unterschiedlichen IDs.
Der Router wird mich blockieren, weil die URL immer wieder die selbe ist und er von einem Angriff ausgeht. Die Vermutung, dass hier wirklich eine DDos Protection inkl. Block für X Sekunden erhärtet sich
 
Besteht die Möglichkeit den Router als DSL-Modem für die Laufzeit des Programmes umzukonfigurieren?
 
Jup, ohne Probleme, hab aber auch keine Dienste weiter aktiviert.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.