FB 7050: Zugriff von LAN A auf LAN B verhindern - mit ar7.cfg möglich?

[GULLI.ver]

Hallo!

Ich bin von der FB 7050 absolut begeistert, Wake-on-LAN, SSH, seit kurzem sogar VPN... genial, was alles möglich ist.

Ich würde jetzt meine FB noch gerne als Firewall missbrauchen. Und zwar würde ich gerne einen zweiten WLAN-Access-Point an LAN A hängen, über den man über die Fritzbox als Gateway ins Internet kommt. Soweit kein Problem, aber die Personen, die sich dort anmelden, sollen definitiv nicht an die an LAN B angeschlossenen Rechner gelangen, auch nicht an das WLAN-Netz der FB etc.

Gibt es eine Möglichkeit, das Bridging(?) zwischen LAN A und den weiteren Netzwerken zu verbieten?

In der ar7.cfg gibt es den Bereich

 brinterfaces {
                name = "lan";
                dhcp = no;
                ipaddr = 192.168.100.10;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth0", "usbrndis", "eth1", "tiwlan0", "wdsup0",
                             "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                dhcpenabled = no;
                dhcpstart = 0.0.0.0;
                dhcpend = 0.0.0.0;
        }

Könnte man hier etwas ändern? ... ich trau mich an die Einstellungen gerade so gar nicht ran, weil ich keine Ahnung davon habe ...

Perfekt wäre es, wenn man wirklich Firewall-Regeln nur für LAN A konfigurieren könnte, um zu sagen: Du darfst ins Internet, aber der 192.168.er-Bereich wird geblockt außer du willst auf den Printserver zugreifen ... geht sowas?

Vielen Dank schonmal im Voraus!

 

[fant]

Eine Möglichkeit wäre die Verwendung des Danisahne-Mods, bei dem man per iptables Firewall-Regeln eintragen kann.

Hawedieehre.
Fant

 

[GULLI.ver]

Hi Fant! Danke für die schnelle Antwort, aber gibt es mit dem firewall-cgi der DS-Mod nicht noch Probleme mit der VoIP-Telefonie? Auch habe ich die 06er-Firmware drauf, welche von der DS-Mod noch nicht unterstützt wird.

Könnte man iptables irgendwie manuell nachladen, ohne die gesamte DS-Mod? Habe leider im Forum hierzu noch nichts gefunden - oder suche ich falsch?

 

[GULLI.ver]

Hallo nochmal!

Habe unter
http://www.ip-phone-forum.de/showthread.php?t=86201&page=2
doch nochwas im Forum zu genau dem gleichen Thema gefunden. Auch ein paar andere User scheinen genau das gleiche Problem zu haben - aber gibt es denn bislang wirklich noch niemanden, der ein Stück weitergekommen ist?

 

[GULLI.ver]

Ich schonwieder - hab mich vor dem Aufräumen gedrückt!

Habe die 7050 in den bridge-mode geschaltet

        ethmode = ethmode_bridge;

und dann das interface "eth1" aus den brinterfaces genommen

                name = "lan";
                dhcp = no;
                ipaddr = 192.168.100.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth0", "usbrndis", "tiwlan0", "wdsup0",
                             "wdsdw0", "wdsdw1", "wdsdw2", "wdsdw3";
                dhcpenabled = yes;
                dhcpstart = 192.168.100.20;
                dhcpend = 192.168.100.200;
        } {

dadurch wird dieses komplett deaktiviert.

Meine Hoffnung war nun, dieses manuell hinzufügen zu können. So habe ich nach dem Beispiel von "lan:0" ein neues brinterface "ethalt" hinzugefügt:

        } {
                name = "lan:0";
                dhcp = no;
                ipaddr = 192.168.178.254;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                dhcpenabled = yes;
                dhcpstart = 0.0.0.0;
                dhcpend = 0.0.0.0;
        } {
                name = "ethalt";
                ipaddr = 192.168.10.1;
                netmask = 255.255.255.0;
                dstipaddr = 0.0.0.0;
                interfaces = "eth1";
                dhcpenabled = yes;
                dhcpstart = 192.168.10.20;
                dhcpend = 192.168.10.200;

        }

Es funktioniert sogar auch. Durch die Angabe von "interfaces = "eth1";" wird "eth1" wieder aktiviert und der DHCP-Server verteilt hier sogar den angegebenen Adressbereich. Jetzt habe ich "eth0", "usbrndis" und die gnazen wlans in einem Netz und "eth1" getrennt in einem zweiten Netz. Getrennt? Denkst du! Pustekuchen! Blöd! Auch, wenn die IP-Bereiche getrennt sind, ohne dass die Box im router-mode läuft: Es wird trotzdem zwischen ihnen gebridged - man kann immer noch von LAN A auf LAN B zugreifen. Damn.

Jetzt muss ich aber wirklich aufräumen ... frustriert sei.

 

[fant]

Hi GULLI.ver,

weiß leider nicht, wie man die iptables ohne Dani-Sahne in die Box schieben soll. Aber Probleme mit VoIP habe ich hier mit dsmod nicht. Okay, es ist (noch) nicht die ganz aktuelle Firmware, aber welche Features fehlen Dir?

Hawedieehre.
Fant

 

[GULLI.ver]

Habe viel darüber gelesen, dass die Firewall der danisahne-mod nicht mit VoIP zusammen läuft, weil auch VoIP-Pakete gefiltert werden. (?)

Habe die neue FW gerade draufgepackt und lade SSH, OpenVPN und Wake-on-LAN komplett nach. Sobald die DS-Mod für die 06er verfügbar ist, werd ich sie mal ausprobieren - bin ziemlich neugierig. Aber jetzt downgraden etc. ... ne ... aber schade, dass sich die Firewall nicht auch einfach nachladen lässt - wobei die DS-Mod wirklich verlockend aussieht!

 

[fant]

@GULLI.ver:

Klar, downgrade, vor allem mit Deinen vielen nachgeladenen Features, macht nicht viel Sinn. Ich warte ja auch schon auf die Freigabe des Sourcecodes der 06er Firmware seitens AVM, damit danisahne seinen Mod wieder anpassen kann.

Aber ich habe jedenfalls im Firewall der ds-Firmware das WLAN vom Internet abgehängt und lasse nur den Zugriff per SSH oder OpenVPN ins Lan zu. Das klappt, ohne VoIP zu stören.

Hoffe, das hilft weiter.

Hawedieehre.
Fant

 

[GULLI.ver]

@fant

das klingt wirklich gut - dann scheint das VoIP-Problem schon gelöst zu sein? Hier gibts viel zu viele Threads über das ganze!

... Wenn man WLAN vom LAN trennen kann, wird man auch LAN A von LAN B trennen können. Dann warten wir mal auf AVM und danisahne. Hat AVM die Sourcen wirklich immer noch nicht veröffentlicht?? heftig ... !

Naja, so dringend ist das ganze ja nicht. Schade, dass AVM nicht selber ne Firewall mit einbaut!