DSL Filter / Firewall deaktivieren

[mastertester]

Hi Leute,

ich wollte von einem Freund per Dateifreigabe übers Internet Daten auf meinen Rechner laden.

Da die Fritz Box aber diesen DSL Filter verwendet, geht nicht mal was rein bei mir. Ausgehenden Verkehr zu blockieren ist ja ok, aber eingehenden???

WAS SOLL DIESE SCHEISSE AVM????

WARUM KANN ICH DAS WAHLWEISE NICHT DEAKTIVIEREN?????

Die Fritz Box kommt mir langsam vor wie ein Auto was ich kaufe, dass keine Türen hat.

Begründung des Verkäufers:

Fahren ist doch viel zu gefährlich!!!!

So ähnlich macht das AVM:
Portranges forwarden??? Viel zu gefährlich...
DMZ!?? Um Gottes willen, die Sicherheit.....

Am besten stellt AVM mir einen Ernährungsplan auf, sonst könnte ich mich ja ungesund ernähren….. :lol:

Und dafür soll ich auch noch Geld bezahlen????

HOFFE DIE FALLEN SO RICHTIG SCHÖN AUF DIE SCHNAUTZE!!!!



[schild=9 fontcolor=FF0000 shadowcolor=0000FF shieldshadow=1]WACHT ENDLICH AUF BEI AVM[/schild]

 

[LinuxDoc]

..ist schon scheisse wenn man dumm ist....

 

[mastertester]

Du musst es ja wissen.....

 

[FFL]

1. macht man das nicht per Dateifreigabe
2. macht man das nicht per Dateifreigabe
3. macht man das nicht per Dateifreigabe
4. was macht dich so sicher, dass es an der Fritzbox liegt?
5. wäre ich mit solchen verleumdenden und beleidigenden Äußerungen hier vorsichtig
6. wer schreit hat Unrecht

 

[JSchling]

also ob man das nun machen sollte, oder auch nicht mal dahin gestellt, fand ich die Frage gestern schon interessant, leider kann ich aber nicht wirklich viel dazu sagen.
Letzten Endes guck mal in der AR7.cfg (/var/flash/ar7.cfg) da sind entsprechende Regeln hinterlegt. Such mal hier im Forum nach Portforwarding, Portranges und Fritzbox, da solltest du was zu finden.
Ich wuerde es dir aber auch nur raten, wenn der externe Rechner von dem du aus zugreifen willst eine feste IP-Adresse hat, ein generelles Oeffnen der Ports 135-139 halte ich auch fuer sehr gefaehrlich.
@LinuxDoc: is schon kacke wenn man sich nicht richtig ausdruecken kann also wie auch immer du dir die Loesung des Problems gedacht hast, und wenn du hier eine Antwort abgibst hast du ja wohl eine, so kann ich die in dein paar Worten auch nicht entdecken. Aber du bist ja noch Neuling, da sei es verziehen.
@FFL: selbstverstaendlich liegt es an der Fritzbox und das die NAT Konfiguration mehr als unzureichend ist, weiss doch wohl jeder. Ob eine derartige Konfigurationsmoeglichkeit ein Muss ist sei dahingestellt, aber zumindest haengt dort der Datentraffic. Ansonsten haben deine Antwort 1-3 den gleichen Naehrwert wie die von LinuxDoc also wenn man nix zu sagen hat, vielleicht einfach mal Fresse halten !!
@mastertester: die Fritzbox ist halt ein SOHO Router und ich denke das kann man doch auch recht gut erkennen. Hast du wirklich erwartet einen Mercedes SLK zum Preis eines Fiat Bambinos zu kaufen ??? und preis-leistungsmaessig kann man an der Fritzbox nun wirklich nicht meckern fuer den durchschnitts Heimanwender ist die Box voellig OK. Falls es wenigstens etwas hilft: ich nutze ueber die Fritzbox die Remote Desktop Connection. Verlangt halt WinXP auf dem Server, Clients zum Zugriff bekommt man ja fuer alle Windows Betriebssysteme. Da klappt das mit den Laufwerksverbindungen zumindest korrekt,falls dir das weiter hilft.

 

[mastertester]

Moin,

jetzt wo meine Wut verraucht ist, melde ich mich mal wider zu Wort.

@FFL generell hast Du zwar schon Recht, aber wenn ich das so machen möchte, dann soll man mich doch einfach lassen….

Ich finde das Sicherheitskonzept vom Prinzip her ja auch nicht schlecht, aber warum kann ich keine eingehenden Verbindungen empfangen??? Das macht doch keinen Sinn….

Warum kann man nicht einfach den DSL Filter wahlweise deaktivieren??? Wo ist das Problem???

Ich mag es halt einfach nicht, wenn andere für mich denken wollen….
Wenn ich ungesichert im Netz unterwegs sein will, dann ist das doch meine Sache! Oder?

Und die technische Umsetzung sollte doch kein Problem darstellen!!!!

@JSchling

Ich erwarte doch nicht zu viel von AVM!!! Oder bietet AVM für 100 EURO mehr ein Gerät an, was meinen Erwatungen gerecht wird???

NEIN!!!!

Was ich erwarte ist doch nicht zuviel!!! Portranges, DMZ, und die Möglichkeit den DSL Filter zu deaktivieren…..

Und schon darf sich das Teil auch Router schimpfen….

Es ist wirklich schade…..


Aber eventuell hat ja noch jemand eine Idee, wie man diesen DSL Filter zum schweigen bekommt????

Kommt schon Leute, es muss doch eine Möglichkeit geben….

Habe schon versucht das Config Menü so zu verändern, dass ich den Hacken bei „DSL Filter“ raus nehmen kann, aber dann schaltet die Box automatisch auf DSL Modem Betrieb.

Dies müsste sich doch umgehen lassen…..?????

[schild=19 fontcolor=FF0000 shadowcolor=0000FF shieldshadow=1]HILFE!!!![/schild]

 

[JSchling]

@mastertester:
wie gesagt, deine Regeln sollten sich ueber die ar7.cfg aendern lassen - schonmal geguckt ? allerdings moechte ich nichts dazu sagen, wie weit du deine Fritzbox dabei fuer Hackerangriffe oeffnest, wenn du da manuell was erlaubst was AVM garnicht erst getestet hat.
Also machbar ist es schon das zu aendern, aber trotzdem: JA, ich denke du erwartest da schon etwas viel, selbst wenn es technisch recht problemlos machbar waere. Der Preis spielt dabei nicht wirklich eine Rolle - also auch fuer den doppelten Preis findest du im Fiat Bambino einfach kein serienmaessiges Navigationssystem, das musst du schon nachtraeglich selber reinbasteln - ist bei der Fritzbox nicht anders
Preis/Leistungsmaessig kann man an der Fritzbox absolut nicht meckern und eine eierlegende Wollmilchsau bietet AVM eben nicht an - zu keinem Preis.

 

[Seattle4u]

Hm...

Naja, ich denk mal als Experte sollte man wissen, was man tut...
Es gibt ja auch noch Softwarefirewalls, die man auf allen Rechner installieren kann. Hier wird man halt dann direkt vom PC aus gefragt, ob man was freigeben will oder nicht...
Schade eigentlich, denn wenn man ein DMZ oder ähnliches erstellen will, kann man es einfach nicht... Hier hat z.B. mein Netgearrouter schon die Möglichkeit... Vielleicht kann man das irgendwie bei AVM einkippen, die Funktion zu deaktivieren dürft ja net so das drama sein...

CYA
SEA

 

[FFL]

Dafür klappt bei der Fritzbox dank ESP und GRE der Zugriff auf einen VPN-PPTP-Server hinter der Box im LAN ohne Probleme. Ich weiß, ist OT aber musste jetzt mal raus *freu* ;-)

 

[voip-nutzer]

Moin,Ich mag es halt einfach nicht, wenn andere für mich denken wollen….
Wenn ich ungesichert im Netz unterwegs sein will, dann ist das doch meine Sache! Oder?

Denke ich nicht! NIEMAND sollte ungesichert im Netz unterwegs sein - das dauert keine 10 Minuten und der Rechner spammt die Welt als Zombie zu....

 

[Seattle4u]

DMZ sollte schon möglich sein...

... betreib einen exchange server an der fritz box fon und siehe auch ein support tip von 1&1 - geht nicht...

Obwohl die Fritzbox von allen so hoch gelobt wird... :-(

AVM: NACHBESSERN!

evtl. ne dritte Option "Profieinstellungen"

 

[FFL]

Hä?

 

[Andre]

Also, es wurd hier schon erwähnt:

Es geht alles. Telnet-Image drauf und die ar7.cfg editieren. Da stehen alle Sperren und Weiterleitungen drin. Man kann auch einen Exposed Host (häufig falsch als DMZ bezeichnet) definieren, an den dann alle nicht abweichend definierten Portweiterleitungen gehen. Genauso lassen sich die Sperren für bestimmte Ports (ein- und ausgehend) auskommentieren.
Ist in diesem Forum schon öfter angesprochen worden.
Ich bin absoluter Linux-Laie, dennoch ging das problemlos. Wer Exposed Hosts einrichten will oder gar Windows-Freigaben ins Internet ermöglichen möchte, sollte schon genau wissen, was er da tut. Und die Telnet-Modifkation ist die gewünschte "Profi-Option" (wenn auch nicht von AVM bereitgestellt).
Zum Exchange Server:
Da dieser eine Server-Windows-Version voraussetzt, dürfte für direkten Exchange Zugriff VPN wie hier schon angesprochen die beste Lösung sein. Windows Server lassen VPN-Einwahl zu. Dies einzurichten sollte für jemanden, der die Hürde, den Exchange-Server richtig zu konfigurieren genommen hat, kein Problem sein. Die Einwahl geht mit Boardmitteln von jedem Windows-Rechner aus. Alle anderen Betriebssysteme kommen über POP und IMAP an Mails bzw können über Web zugreifen.

Ich selbst habe für VPN eine noch einfachere Lösung gewählt, einen Draytek hinter der FBF, was die dahinter liegenden Rechner entlastet.

 

[bofh]

warum ein user mit unsicherer rechner config richtig eine auf die finger bekommen soll:
...
The shortest compromise time was only a few seconds: Once we plugged the network cable in, an SDBot compromised the machine via an exploit against TCP port 135 and installed itself on the machine.
...


Know your Enemy: Tracking Botnets
http://www.honeynet.org/papers/bots/

...
Introduction
These days, home PCs are a desirable target for attackers. Most of these systems run Microsoft Windows and often are not properly patched or secured behind a firewall, leaving them vulnerable to attack. In addition to these direct attacks, indirect attacks against programs the victim uses are steadily increasing. Examples of these indirect attacks include malicious HTML-files that exploit vulnerabilities in Microsoft's Internet Explorer or attacks using malware in Peer-to-Peer networks. Especially machines with broadband connection that are always on are a valuable target for attackers. As broadband connections increase, so to do the number of potential victims of attacks. Crackers benefit from this situation and use it for their own advantage. With automated techniques they scan specific network ranges of the Internet searching for vulnerable systems with known weaknesses. Attackers often target Class B networks (/16 in CIDR notation) or smaller net-ranges. Once these attackers have compromised a machine, they install a so called IRC bot - also called zombie or drone - on it. Internet Relay Chat (IRC) is a form of real-time communication over the Internet. It is mainly designed for group (one-to-many) communication in discussion forums called channels, but also allows one-to-one communication. More information about IRC can be found on Wikipedia.
...


Gruss bofh

 

[mastertester]

Um mal eines klar zu stellen, wer heutzutage ohne eine vernünftige software Firewall im Netz unterwegs ist, dem ist auch nicht mehr zu helfen….

Und trotz sonstiger Hardware Firewall verwende ich grundsätzlich eine Software Firewall, alleine schon dafür das mir meine Programme nicht zu kommunikativ werden.... :wink:

In der ar7.cfg werden leider nur Filteregeln für den Modembetrieb behandelt. So ist es mir dann gelungen bei aktiviertem DSL Filter im Modembetrieb Netbiospackete zu empfangen. Mehr aber leider auch nicht.

Wenn das Teil als Router läuft, dann ist an den Filterregeln und an dem Netbiosfilter nicht zu rütteln. Auf jeden fall nicht mit meinen bescheidenen Mitteln. :cry:

 

[mastertester]

Um mal eines klar zu stellen, wer heutzutage ohne eine vernünftige software Firewall im Netz unterwegs ist, dem ist auch nicht mehr zu helfen….

Und trotz sonstiger Hardware Firewall verwende ich grundsätzlich eine Software Firewall, alleine schon dafür das mir meine Programme nicht zu kommunikativ werden.... :wink:

In der ar7.cfg werden leider nur Filteregeln für den Modembetrieb behandelt. So ist es mir dann gelungen bei aktiviertem DSL Filter im Modembetrieb Netbiospackete zu empfangen. Mehr aber leider auch nicht.

Wenn das Teil als Router läuft, dann ist an den Filterregeln und an dem Netbiosfilter nicht zu rütteln. Auf jeden fall nicht mit meinen bescheidenen Mitteln. :cry:

 

[olistudent]

Hi.
Hast du mal ein bißchen in der ar7.cfg rumprobiert, um den netbiosfilter auszustellen?
Da gibt's doch ein paar interessante Stellen:

nofirewall = yes;
  ipnetbiosfilter = yes;
  dnsfilter_for_active_directory = yes;
 "reject udp any any range 137 139",
 "reject tcp any any range 137 139",

MfG Oliver

 

[bofh]

@mastertester
ok das klingt schon besser als dein uhrsprungs post ;-)

gruss bofh

 

[mastertester]

@olistudent
leider schon aller probiert, aber ohne wesentlichen Erfolg. Es scheint so, dass in der ar7.cfg die von Dir genanten Parameter nur für den reinen DSL Modembetrieb zuständig sind. Einmal für aktivierten DSL Filter, und einmal für deaktivierten DSL Filter. Habe es auch ohne Probleme geschafft, dass selbst wenn der Hacken für den DSL Filter gesetzt ist, Netbiospackete übertragen wurden.

Wenn man aber die Box im Routerbetrieb laufen lässt, dann werden die Filterregeln aus einer anderen Konfigurationsdatei gezogen. Das nehme ich auf jeden Fall ganz stark an.

Dies muss dann allerdings auch über ein völlig anderes Modul laufen, da sämtliche Parameter wie z.B.

no firewall = yes 
ipnetbiosfilter = no

in der Konsolenausgabe nur Fehlermeldungen hervor brachten.

Ich bin mit meiner Weißheit am Ende. :cry:

Jetzt warte ich auch erstmal auf meine neue Fritzbox 7050, die Hoffentlich bis ende nächster Woche geliefert wird.
Und dann mal sehen, ob man mit den alten Scripten auch Telnetzugang bekommt.

Bin schon sehr gespannt!!!

 

[traxanos]

Also nochmal, allerdings habe ich das ganze überflogen.

Der DSL Filter hat nichts mit der Windows-Freigabe zu tun!!!
Er Filter lediglich an der DSL Schnittstelle alle nicht PPPoE Pakete raus.
Die TCP/IP Pakete werden getunnelt per PPPoE. Daher hat es wie schon
gesagt nichts mit der Windows-Freigabe zu tun.

Dan kam hier die frage bzgl. des NetBIOS Filter. Er selbst hat auch nichts mit der Dateifreigabe zu tun. Es ist lediglich eine Art DNS für das Lokale Netzwerk (<- Achtungf Lokal, kein Internet).

Das Einzige was man machen muss sind die entsprechenden Port am Router auf den Passenden Rechner weiter zu leiten!

Das dürfte im Prinzip nur der Port 445 TCP+UDP sein.

Dann nochwas die Box selber hat keine richtige Firewall.
Es ist lediglich ein Router mit Masquerade. D.h. automatisch
das der Router nicht weis wo er die eingehende Pakete hin
schicken soll. Diesen Effekt nennt man nur Firewall.

(ps: firewall ist nur ein konzept.)