Firewall Konfiguration, bitte mal drüberschauen

[crackmaniac]

Hallo alle zusammen,

ich konfiguriere gerade eine mit freetz installierte Firewall.
Also die AVM firewall, die durch Freetz anwendbar wird.

Ich will damit das potenzielle peer2peer-Risiko so gering wie möglich halten.
Email und WWW sollen funktionieren. Ganz wichtig ist auch, dass ich mich per VPN in das Netzwerk einwählen kann, um dann sicher auf das Webinterface von der Fritzbox zu kommen. Dies benötige ich um aus der Ferne das WLAN Passwort zu ändern.


Könntet ihr mal über meine config schauen, ob es so richtig eingestellt ist?
und welche Ports muss ich für die VPN Verbindung freischalten?

LowInput / HighOutput:

permit tcp any any eq 20 /*FTP-Data*/ wahrscheinlich werde ich es wieder rausschmeißen
permit tcp any any eq 21 /*FTP*/ wahrscheinlich werde ich es wieder rausschmeißen
permit tcp any any eq 22 /*ssh*/
permit tcp any any eq 25 /*smtp*/
permit tcp any any eq 53 /*DNs*/
permit tcp any any eq 80 /*www*/
permit tcp any any eq 8080 /*www Alternative*/
permit tcp any any eq 110 /*pop3*/
permit tcp any any eq 143 /*imap*/
permit tcp any any eq 443 /*https*/
permit tcp any any eq 993 /*imap ssl*/
permit tcp any any eq 995 /*pop3 ssl*/
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*/

Edit
Gerne würde ich auch noch Domains wie "kino.to" sperren, ist das möglich oder müsste ich dann die ganze IP(92.241.173.105) blocken?

Vielen Dank im Voraus

 

[cando]

Also erst einmal musst Du zwische lowinput und highoutput unterscheiden.

Jedes Paket durchläuft deinen Router ja 2 mal, einmal raus zum ziel und dann als Antwort wieder zurück.


lowinput ist die Rückrichtung, also wenn du was empfängst,

hier sperrst du alles, was dich nicht erreichen soll, eine Regel ist ganz wichtig:

permit any, any ip connection outgoing related

Wenn du die defaul policy auf drop stellst, würdest du sonst den Nutzverkehr, der zu Dir zurückkommen soll auch blocken.
​

highoutput ist die Richtung nach draußen.

hier sperrst Du alles, was von Dir ins internet geht, also die Dienste, die jemand aus Deinem Netz nicht aufrufen darf.

Da kommen die hier rein:

permit tcp any any eq 22 /*ssh*/
permit tcp any any eq 25 /*smtp*/
permit tcp any any eq 53 /*DNs*/
permit tcp any any eq 80 /*www*/
permit tcp any any eq 8080 /*www Alternative*/
permit tcp any any eq 110 /*pop3*/
permit tcp any any eq 143 /*imap*/
permit tcp any any eq 443 /*https*/
permit tcp any any eq 993 /*imap ssl*/
permit tcp any any eq 995 /*pop3 ssl*/
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*/

​

Du kannst Dein kino.to auch eintragen, der sperreintrag sollte möglichst vor den permit regeln stehen, da die Regeln immer von oben nach unten abgearbeitet werden, nach einem Treffer ist die Prüfung vorbei. Das heisst, wenn Du die regel z.B. nach der Regel für port 80 permit einträgst, ist http zum host kino.to möglich, andere Protokolle nicht.

Wenn die default policy auf permit steht und keine der Regeln zutrifft, ist der Zugang trotzdem erlaubt. Es empfiehlt sich, default drop zu setzen, damit alles unbekannte nicht erlaubt wird, aber das ist natürlich Deine Entscheidung.

Es gibt Leute, die nur eine Blacklist implementieren wollen, und alles andere durchlassen.

 

[LZZ]

Ich habe meine AVM-Firewall genauso eingetellt, Alles (in und out) auf Deny und die Regeln hier in Out eingefügt (genauso wie oben):

permit tcp any any eq 22 /*ssh*/
permit tcp any any eq 25 /*smtp*/
permit tcp any any eq 53 /*DNs*/
permit tcp any any eq 80 /*www*/
permit tcp any any eq 8080 /*www Alternative*/
permit tcp any any eq 110 /*pop3*/
permit tcp any any eq 143 /*imap*/
permit tcp any any eq 443 /*https*/
permit tcp any any eq 993 /*imap ssl*/
permit tcp any any eq 995 /*pop3 ssl*/
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*/


Leider kann ich weder eine DNS-Anfrage noch eine HTTP-Anfrage machen. Habe ich noch etwas vergessen?

Und der erste Teil mit dem permit ist mir ja klar aber was sollen diese Zeilen bewirken?:

deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*/

und was bedeuten die angaben host/ip/any und die Subnetzmasken?

Wäre euch sehr dankbar wenn mir jemand die Grundeinstellungen erklären könnte. Mein Ziel ist es voerst nur HTTP/HTTPS/DNS zu erlauben...

 

[cando]

Du hast :

permit any, any ip connection outgoing related

im Zweig lowinput vergessen. Du erlaubst Deiner Box ausgehende Pakete, verweigerst aber ohne diese Regel die Annahme der Antwort.

Die 242.0.0.0/8 ist ein Class E Special Use IPv4 Adressbereich. Warum den AVM sperrt, weiss ich nicht


http://tools.ietf.org/html/rfc3330

Wahrscheinlich ist es ein Tippfehler und die meinten die 224.0.0.0/8 Local Multicast Adressen http://tools.ietf.org/html/rfc3171, um nicht UpNP ins Internet zu broadcasten.

UDP 161,162 sind die snmp Adressen (simple network management protocol) mit denen man z.B. auch Router fernüberwachen kann, das sollte ja aus dem Internet nicht jeder können

UDP 111 ist der Sun RPC portmapper, der sollte von aussen ja auch nicht erreichbar sein, Viren könnten den missbrauchen.

 

[LZZ]

Leider geht es immernoch nicht...

ich habe sowohl low als high auf DENY (default) gesetzt und dann diese Zeilen zu in:

permit any, any ip connection outgoing related

und diese in out:

permit tcp any any eq 22 /*ssh*/
permit tcp any any eq 25 /*smtp*/
permit tcp any any eq 53 /*DNs*/
permit tcp any any eq 80 /*www*/
permit tcp any any eq 8080 /*www Alternative*/
permit tcp any any eq 110 /*pop3*/
permit tcp any any eq 143 /*imap*/
permit tcp any any eq 443 /*https*/
permit tcp any any eq 993 /*imap ssl*/
permit tcp any any eq 995 /*pop3 ssl*/
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/

gepackt. Dann geht garnichts mehr. Ich habe keinerlei Verbindung übers Speedport hinaus. Meine DSL-Daten wurden rausgeschmissen aus dem Fritz!Box Interface, wenn ich die Firewall wieder resete und die Daten neu eingebe funktioniert wieder alles...

Muss ich evtl. noch etwas extra einstellen ich hänge mit dem Speedport hinter einem DSL-Modem, also PPPoE über LAN1/WAN...

 

[Silent-Tears]

Du hast etwas falsches eingetragen. Gan simpel. Bei Fehlern in der ar7.cfg wird diesee beim Boot mit den Defaults überschrieben.

 

[LZZ]

jup nur was, ich hab das genau so wie oben eingetragen per debug, an den OUTregeln liegts nicht den es funktioniert alles wenn bei IN alles auf Permit stehen lasse...

Erst wenn ich IN auf Deny stelle und diese Zeile genau so über das Debug-Fenster einfüge:

permit any, any ip connection outgoing related

geht garnichts mehr. Ist an dieser Zeile irgendwas falsch? Was muss ich auswählen um die Zeile über die Dropdown-Felder auszuwählen?

 

[MaxMuster]

Da gehört kein Komma rein, und die Reihenfolge der Befehle stimmt nicht ganz, müsste nach meiner Meinung sein:

permit ip any any connection outgoing-related

In der GUI wären das : any / any / out-related / permit

Jörg

 

[LZZ]

SUPER VIELEN DANK

Alles funktioniert jetzt wie es soll

Mich würde jetzt noch intressieren wie man den bei Ziel eine einzelne IP oder gar einen Host/URL eintragen kann (ich schätze das nur IPs möglich sind)?

 

[Silent-Tears]

Was sagt dir dazu die Boardsuche?

 

[LZZ]

Sagt mir nichts dazu deswegen Frage ich hier

 

[sleupendriewer]

Hi,

ich habe eine vergleichbare (jetzt gleiche) Konfiguration des AVM Firewalls.

Wenn ich einen (externen) Zugang via VPN auf die Fritzbox eingerichtet habe - der auch funktionierte - bevor die Rules angewendet wurden - welche weiteren Rules muss ich einfügen, damit der FritzBox-VPN-Zugang wieder von aussen funktioniert ?

 

[Silent-Tears]

Welche Ports brauchst du denn dafür? Was sagt dir die Boardsuche/Suchmaschinensuche dazu? Und ja, die Antworten existieren bereits, ich habe sie schon einmal gefunden gehabt, somit kannst du das auch.

 

[sleupendriewer]

- Ein- und ausgehende Verbindungen an UDP-Port 53 (DNS) zulassen

- Ein- und ausgehende Verbindungen für UDP-Port 500 (ISAKMP) zulassen

- Ein- und ausgehende ESP-Pakete ("Encapsulated Security Payload"; IP-Protokollnummer 50) zulassen.

(snip)

soweit wäre ich - betreffender thread hier : http://www.ip-phone-forum.de/showthread.php?t=172370&highlight=avm+firewall+fernzugang+port

die ersten beiden punkte sind relativ klar - aber was ist mit dem dritten ?

ist das hinreichend für die lösung ?

oder gibt es einen anderen thread - den mir "meine" boardsuche nach "vpn" respektive "fernzugang" sowie "avm firewall" noch nicht geliefert hat und der zielführend wäre ?

 

[sleupendriewer]

habe jetzt alles zusammengeworfen, was ich finden konnte :

permit udp any any eq 500
permit udp any any eq 4500

für eingehende Verbidnungen - aber das scheint es noch nicht zu sein - kommentare sind erwünscht - insbesondere wenn man weiss, wo es stehen soll ...

 

[sleupendriewer]

mit einer rule für lowinput :

permit ip any any connection incoming related

kann ich nun -trotz "deny"-standard-rule den fernzugriff wieder erfolgreich initiieren.

ABER wenn ich dann versuche via http auf die box oder ein anderes device im lokalen/vpn-netzwerk zuzugreifen - rebootet sich die box von alleine - UNSCHÖN.