[erledigt] Wann ist die Firewall on/off ???

[e.ostenhof]

hi, hier ein kurzer auszug aus der '/var/flash/ar7.cfg'.

ich hätte gern gewusst, ist die fw jetzt an oder aus?
die 7050er fritz.box selber hält nur für's wlan her. (WPA2)

die fw habe ich über das web-interface konfiguriert.
(siehe bild)



es werden dennoch alle pakete durchgelassen.
oder geht das für wlan-adapter gar nicht ? :noidea:

#########################################################
**** CFGFILE:ar7.cfg
/*
* /var/flash/ar7.cfg
*/

ar7cfg { ....................

pppoefw {
interfaces = "usbrndis", "eth0", "eth1", "tiwlan0", "wdsup0",
"wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
nofirewall = yes; <<=======???????????????????????????=======
ipnetbiosfilter = yes;
dnsfilter_for_active_directory = yes;
hostuniq_filter = "";
................................................................................
#########################################################

für eure hilfe danke ich schon im voraus :groesste:

----------------
Berlin:
Router: FBF 7050 14.04.25
Netz: T-Net analog mit 1und1 ADSL (Nutz-Datenrate 6029/580 kBit) ohne Fastpath
VoIP: 1und1, GMX, dus.net über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF

 

[beckmann]

es werden dennoch alle pakete durchgelassen.
oder geht das für wlan-adapter gar nicht ? :noidea:

Was heist durchgelassen? Meinst du von innen nach außen oder vom Internet in dein Netzwerk? Von innen nach außen ist normal, dafür ist die Firewall der Box eigentlich auch nicht gedacht, sie läßt nichts von außen nach innen rein.

Andersrum kannst du das aber sicher auch anstellen, aber die Seite mit den Einstellungen zeigt doch nur, dass du da an IP Adressen weiter leitest, wenn der Haken drin ist würden Pakete die von außen kommen an den PC weiter geleitet, aktuell sollte von außen alles zu sein.

 

[frank_m24]

Hallo,

was hast du denn vor? Soll die Box nur als WLAN AP fungieren?

Wenn sie über einen LAN Anschluss angebunden ist, ist die Firewall natürlich nicht aktiv. Die werkelt nur auf dem WAN Interface. Um die integrierte Firewall zu nutzen, muss also das WAN Interface aktiv sein.
Was wolltest du mit den Portweiterleitungen überhaupt erreichen? Du weißt, dass du damit quasi Löcher in die Firewall machst, und zwar eingehend? Ausgehend blockt die Fritz eh keinen Traffic, da sind alle Ports offen (auch am WAN Port).
Ich versteh offen gestanden überhaupt nicht, was du erreichen willst und wofür diese Konstruktion gut sein soll.

Viele Grüße

Frank

 

[e.ostenhof]

hi und danke.

@beckmann
von aussen nach innen und/aber wie ist der eintrag
aus der '/var/flash/ar7.cfg' zu verstehen?

@frank_m24
bitte lese bei @beckmann, er hat es richtig erfasst.

das problem ist, die box dient tatsächlich als wlan ap und genau
dieser eine adapter soll ebend nicht von aussen erreichbar sein.

danke nochmal

----------------------
Berlin:
Router: FBF 7050 14.04.25
Netz: T-Net analog mit 1und1 ADSL (Nutz-Datenrate 6029/580 kBit) ohne Fastpath
VoIP: 1und1, GMX, dus.net über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF

 

[frank_m24]

Hallo,

wie gesagt: Dann darfst du die Box nicht per LAN Anschluss mit den Rest des Netzes verbinden, sondern nur per WAN Anschluss, was implizit einen NAT Router mit sich bringt.

Viele Grüße

Frank

 

[e.ostenhof]

@frank_m24

mein problem ist:

eine box und vier WLAN-adapter und genau
dieser eine ist trotz der von mir vorgenommenen
konfiguration von aussen erreichbar.

DOCH wie ist der eintrag
aus der '/var/flash/ar7.cfg' zu verstehen?

gruß e.ostenhof

----------------
Berlin:
Router: FBF 7050 14.04.25
Netz: T-Net analog mit 1und1 ADSL (Nutz-Datenrate 6029/580 kBit) ohne Fastpath
VoIP: 1und1, GMX, dus.net über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF

 

[e.ostenhof]

ok männer's, wie es scheint ist dieses problem wohl doch
nicht so schnell in den griff zu bekommen,
zudem es ja auch noch zugegebenermaßen einer gewissen
logig entbehrt dennoch danke für eure schnelle
reaktion und ich hoffe ich habe mich als forum neuling
nicht ganz so ... angestellt.

gruß e.ostenhof

----------------
Berlin:
Router: FBF 7050 14.04.25
Netz: T-Net analog mit 1und1 ADSL (Nutz-Datenrate 6029/580 kBit) ohne Fastpath
VoIP: 1und1, GMX, dus.net über FBF
Telefon: Siemens Telefon + Noname Schnurlos an FBF

 

[e.ostenhof]

ich grüße euch,

hallo "@frank_m24"

jetzt glaube ich dich verstanden zu haben.

wie gesagt: Dann darfst du die Box nicht per LAN Anschluss mit den Rest des Netzes verbinden, sondern nur per WAN Anschluss, was implizit einen NAT Router mit sich bringt.

das problem scheint mir zu seien, das man bei einem reinen
wlan betrieb an diese einstellungen nicht ran kommt,
sondern bestenfalls nachdem man den webseiten-stil
deaktiviert hat, sehen kann.

siehe hierzu die snapshots

snapshot-ohne-stil

-------------------------------------------
snapshot-mit-stil


DOCH wie ist der eintrag
aus der '/var/flash/ar7.cfg' zu verstehen?

pppoefw {
interfaces = "usbrndis", "eth0", "eth1", "tiwlan0", "wdsup0",
"wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
nofirewall = yes; <<=======???????????????????????????=======
ipnetbiosfilter = yes;

mfg e.ostenhof

 

[frank_m24]

Hallo,

Ich dachte, du willst die Box nur als WLAN AP betreiben? Warum ist denn dann noch der Internetzugang über DSL aktiviert? Ist sie doch direkt am DSL? Wie hast du alles verkabelt? Wenn du wirklich fundierte Hilfe willst, dann schreib doch endlich mal, was du willst und was du hast. Du stocherst momentan offensichtlich Blind im Nebel, das zeigen die Screenshots extrem deutlich.

Ich glaube, du willst die Box nur als AP benutzen und den WLAN Client an der Box von Zugriffen von außen abschotten. Wenn du eine Verbindung von einem der LAN Ports zu einem anderen Router herstellst, dann fungiert die Box zwischen WLAN und LAN als transparente Bridge: Keine Firewall, kein Einfluss auf den Traffic, der WLAN Client ist aus dem anderen Netz problemlos erreichbar. Die Einstellungen in der ar7.cfg haben darauf absolut keinen Einfluss, Clients an den internen Anschlüssen (LAN und WLAN) können sich immer im vollen Umfang erreichen.

Willst du die Firewall der Box zwischen den WLAN Client und das andere Netz bringen, dann muss sie zwangsläufig als NAT Router arbeiten, damit ihr WAN Port ins Spiel kommt. Da sie aber in einem LAN hängt, ist der richtige Modus dafür "Internet über LAN A", "Internetverbindung selbst aufbauen (NAT-Router mit PPPoE oder IP)" und "Zugangsdaten werden nicht benötigt (IP)". Dann ist die Firewall aktiv. Der WLAN Client an der Box ist vom anderen Netz vor der Box nicht mehr erreichbar. Aber: Bedenke die Konsequenzen. Ein NAT Router muss in zwei unterschiedlichen Subnetzen arbeiten (intern und extern). Du musst also das interne Subnetz für den WLAN Client anders einstellen, als das externe der Box am WAN Port ist. Sonst geht gar nichts.

Deshalb auch meine verwirrte Frage, was diese Portweiterleitung sollen. Soll der Client doch auf bestimmten Ports erreichbar sein? Sollen das die Ports sein, die du sperren willst? Da sind NetBIOS, SMB und RPC Ports dabei. Bedenke: Die werden auf keinen Fall funktionieren, nicht mal mit Portweiterleitungen und mit Manipulationen an der ar7.cfg. Die funktionieren einfach nicht über eine NAT Instanz. D.h., z.B freigegebene Windows Verzeichnisse auf dem WLAN Client kannst du im anderen Netz nicht sehen, umgekehrt genau so.

Also überlege dir genau, was du da tust.

//EDIT: Es kommt noch was dazu: Kontrolliere die Einstellung des Traffic Shapers in dem Szenario, der bremst sonst die Verbindung des WLAN Clients ins andere Netz aus.

Viele Grüße

Frank

 

[e.ostenhof]

hallo ich grüße euch,

hallo @frank_m24, danke für deine mühen, auch wenn du dich im ton vergriffen hast.

jetzt muss ich mich wohl doch als "der Super DAU" zu erkennen geben.

vergessen wir doch einmal für den augenblick die portweiterleitungen.

folgende situation, wie schon erwähnt (richtig lesen @frank_m24 )
handelt es sich um eine fbf und 4 usb-avm-wlan sticks.

ziel soll sein, viop (4 telefone) + wlan betrieb (4 usb sticks).

die sticks werden auf den unterschiedlichsten systemen zum einsatz
gebracht (XP, MAC + Linux)

die box dient als router für alle ins www + das WLAN ist über die
MAC-adresse und WPA2 konfiguriert/gesichert.

des weiteren sind 4 telefone eingerichtet.

achso, alle sind im gleichen subnetz (box+wlan) + es gibt keine weitere
verkabelung zu anderen rechnern.

alles läuft ausschließlich über WLAN (richtig lesen @frank_m24 ).

die portweiterleitungen sind im grunde eigentlich dafür gedacht,
den laden für einen teilnehmer dicht zu machen und nach bedarf
zu öffnen. doch hier war der test auf die funktionalität der fw
wichtiger als die portweiterleitungen selbst.
will heißen, ob da nun eine portweiterleitung oder mehr eingerichtet
sind spielt hier erstmal/eigentlich keine geige.

die situation ist aktuell wie beschrieben, nur die X.X.X.22 ist von
außen erreichbar und das wollte ich mit den portweiterleitungen bzw.
mit dem verbieten der sellbigen verhindern. (richtig lesen @frank_m24 )

//EDIT:

und da wollte ich nur wissen, bekomme ich das mit der fbf
in den griff oder muss eine softw.-fw ran.

wobei ich mahl mutmaße und zu behaupten wage das dies eine
durchaus gängige vorgehensweise/konfiguration ist bzw. wäre.
box auspacken anschließen und los.

und die konfi könnte in einem solchen fall sein:
-Internetzugang über DSL
-Eine Internetverbindung für alle Computer verwenden (Router)
-Zugangsdaten werden benötigt (PPPoE/PPPoA-Zugang)

und wenn du dich erinnerst, war die eingangs gestellte frage:
warum ist ein teilnehmer noch immer von aussen erreichbar, trotz
der von mir vorgenommenen fw-konfi und könnte dies mit dem
eintrag in der "ar7.cfg" zusammenhängen.

@frank_m24, im grunde hätte es auch einfacher gehen können

:ziggi:

fritz!box konfi überarbeiten:

1.
fritz!box über wlan mit computer verbinden

2.
benutzeroberfläche der fritz!box aufrufen

3.
"einstellungen" > "system" > "ansicht"

4.
aktivieren der option "expertenansicht aktivieren"

5.
"übernehmen" > "internet" > "zugangsdaten"

6.
im abschnitt "anschluss" option "internetzugang über lan a / wan" aktivieren

7.
im abschnitt "betriebsart" option "internetverbindung selbst aufbauen (nat-router mit pppoe oder ip)" aktivieren

8.
im abschnitt "zugangsdaten" wählen, ob anmeldung beim internetanbieter mit zugangsdaten (pppoe)
oder ohne anmeldung (ip) nötig ist

9.
wenn zugangsdaten für internetzugang benötigt werden (pppoe):
im abschnitt "verbindungseinstellungen" zugangsdaten eintragen

wenn keine zugangsdaten für internetzugang benötigt werden (ip):
im abschnitt "verbindungsdaten" ip-einstellungen eintragen

10.
in eingabefeldern "upstream" und "downstream" jeweils geschwindigkeitswerte des internetzugangs eintragen

11.
"übernehmen" :bier:

und wenn ich dich richtig verstanden habe, dann blockt jetzt die fbf-fw.

so mein gutster, bin grade dran. ich melde mich dann nocheinmal. :gruebel:

mfg e.ostenhof

ps: sollte dir noch ein fehler auffallen gib bitte bescheid und danke nochmal :blonk:

 

[frank_m24]

Hallo,

in einer Hinsicht hast du recht, das hätte wirklich alles deutlich einfacher sein können, aber es liegt wohl weniger an meinen Lesefähigkeiten, als an deiner Beschreibung. Einige Beispiele gefällig? Aber gerne:

die 7050er fritz.box selber hält nur für's wlan her. (WPA2)

das problem ist, die box dient tatsächlich als wlan ap

Nur WLAN! Da steht nichts von DSL Router oder gar VoIP. Mit der Beschreibung muss ich davon ausgehen, dass du den Internetzugang über andere Geräte herstellst und die Box wirklich nur WLAN machen soll. Mit "nur" meine ich ausschließlich. Ohne VoIP und ohne Routing. Das ist was vollkommen anderes, als "Die Box ist DSL-VoIP-Router und alle Clients sind über WLAN angebunden"! Klar?
Danach kommt folgendes:

dieser eine adapter soll ebend nicht von aussen erreichbar sein.

Ok. Mit der Information von oben gehe ich nun davon aus, dass die Box für genau einen WLAN Client der AP ist, und das dieser aus dem Rest deines Netzes nicht erreichbar sein soll.
Auf genau diesen Standpunkt bezogen sich auch meine Tipps mit dem Internetzugang über LAN A. Dieser Modus ist natürlich vollkommener Humbug, wenn die Box DSL Router ist.
Da du ja auf wiederholte Anfragen, deine Konfiguration mal genauer zu beschreiben und meinen Zweifeln über die Sinnhaftigkeit dieses Vorgehens nicht reagiert hast, können solche Missverständnisse schnell auftreten.

Übrigens: Ist die Box nun DSL Router, oder hängt sie hinter einem anderen Router? Hier sieht es eher so aus, als ob sie DSL Router ist:

die box dient als router für alle ins www + das WLAN ist über die MAC-adresse und WPA2 konfiguriert/gesichert.

Wie gesagt: Das ist neu. Und wie du den Internetzugang jetzt wirklich realisierst, steht immer noch nicht da.

die situation ist aktuell wie beschrieben, nur die X.X.X.22 ist von außen erreichbar

Ich glaube, dass ist der nächste Irrtum: Du willst nicht nur, dass der eine Client von außen (aus dem Internet) unerreichbar ist, sondern auch von innen, aus deinem LAN heraus. Also die anderen Rechner hinter der Box sollen auch nicht drauf zugreifen, richtig? (Auch hier ein dezenter Hinweis auf präzise und eindeutige Beschreibung der Konfiguration und des Zieles!)

Dann folgendes:
1. Die Firewall der Box ist immer nur an ihrem WAN Port aktiv (das ist entweder das DSL Modem oder bei "Internet über LAN A" der Port LAN A). Wie ich schon schrieb können sich Clients an ihrem LAN und WLAN (also ihr internes Netz) problemlos und im vollen Umfang erreichen. Da gibts keine Firewall oder sowas. Das ist übrigens bei allen Heim-Routern so, die ich kenne.
2. Portweiterleitungen gelten ebenfalls nur für Verbindungen von außen (aus dem Internet) auf bestimmte Clients. Da es ja im internen Netz der Box eh keine Einschränkung der Kommunikation gibt, können auch keine Ports manuell geschlossen oder geöffnet werden.

So. Jetzt geh noch mal in dich. Überlege dir, was du erreichen willst, wie eine Firewall und Portweiterleitungen in einem DSL Router funktionieren und ob sich das auf dein Ziel abbilden lässt.

Viele Grüße

Frank

 

[e.ostenhof]

hallo ich grüße euch,

hallo @frank_m24, danke für deine mühen.

zu dein ersten zwei zitat beispielen, da hast du recht

zu deinem dritten zitat, eins von mir aus #6

eine box und vier WLAN-adapter und genau
dieser eine ist trotz der von mir vorgenommenen
konfiguration von aussen erreichbar.

bezogen auf die konfi ist zumindest in #8 auf/über die snapshots
zuerkennen was das problem sein könnte und wie dir vielleicht aufgefallen
ist, habe ich auch noch eine umfassende signatur nachgereicht.
doch ausreichend beschrieben, so finde ich, ist die konfi in #10.

lange rede ..., ...! ich will die anderen nicht mit solchen ... belästigen.

im wesentlichen kann ich aber sagen, das ich die nötigen ideen zur lösung
meines problems bekommen/gefunden habe und solltest du dich persönlich
angegriffen sehen, so war dies nicht meine absicht.

ich habe nun den edit-teil aus #10 einmal getestet,
und was soll ich sagen ! ES FUNKTIONIERT :rock: :dance: :rock:

ich danke dir und allen beteiligten für die hilfe und verabschiede mich.

mfg e.ostenhof:abschied: