Frage zur Firewall

[moonsorrox]

ich habe mir ein Freetz Image gebaut und in meine 7170 geflasht. Nun möchte ich ganz gerne diese FritzBox als Einwahlrouter mit der Firewall in Freetz einsetzen. Wenn ich jetzt einen Port in Freetz freigebe muss ich das dann auf dem Fritzbox Webinterface auch tun??
Noch setze ich die Box nicht ein, aber ich habe mal ein Port freigegeben, der erscheint dann aber in der Fritzbox/Portfreigabe nicht.

 

[RalfFriedl]

Du solltest Dir nochmal Gedanken machen, was Du erreichen willst, und falls Du das schon weißt, solltest Du es so formulieren, daß es auch für andere ersichtlich wird.

 

[moonsorrox]

manchmal komme ich mir in einem Forum wie in der Grundschule vor... dabei habe ich nur versucht etwas einfach darzustellen was mir ein Problem bereitet, wenn ich es gut erklären könnte wüsste ich wahrscheinlich die Antwort selber....

Mein zweiter Versuch es zu erklären.

Dieses Image habe ich die 7170 geflasht:
7170_04.76freetz-1.1.1.de_20091229-160948.image

beinhaltet Freetz was ja sehr eindeutig ist und ich habe zudem noch die AVM Firewall als Paket ausgewählt.

Firewall ist ja nicht so meine Stärke, möchte ich aber als Sicherheit drin haben.

Die Firewall habe ich so gelassen wie sie default eingestellt ist.
Beim Port Forwarding habe ich jetzt 3 Ports drin die ich brauche.
Dazu eine Frage es ist der Port udp 5060 war default eingetragen, wird der gebraucht?

Was ich jetzt gern wissen möchte ist, ob ich die Ports die ich in Freetz im Webinterface freigegeben habe auch noch einmal auf der Fritzbox Oberfläche freigeben muss, was ja dann doppelt gemoppelt wäre.

Ich hoffe ich konnte es etwas besser darstellen.

 

[sf3978]

Beim Port Forwarding habe ich jetzt 3 Ports drin die ich brauche.

Bei welchem Port Forwarding hast Du die 3 Ports drin?

Dazu eine Frage es ist der Port udp 5060 war default eingetragen, wird der gebraucht?

Evtl. wenn Du SIP benutzt.

Was ich jetzt gern wissen möchte ist, ob ich die Ports die ich in Freetz im Webinterface freigegeben habe ...

Wie hast Du die Ports in Freetz, im Webinterface freigegeben? Denn ...

Die Firewall habe ich so gelassen wie sie default eingestellt ist.

 

[MaxMuster]

Die "Freetz-Firewall" ist nichts weiter als eine GUI, die ganze Funktionalität ist rein die von AVM. Allerdings lässt sich die Firewall von AVM nicht beeinflussen, d.h. die Regeln (die die GUI anzeigt) sind zwar vorhanden, aber kein Mechanismus, diese zu verändern. Das ermöglicht die GUI.

Der "Portforwarding" Teil ist analog zu dem Portforwarding der Box, eigentlich ist es egal, wo du das Forwarding machst, die Freetz-GUI ermöglicht aber zusätzlich auch die Weiterleitung "auf die Box selbst", wenn man dort Services nutzen will, also Programme auf der Box betreiben (wie OpenVPN, dropbear, ...)

Fazit:
Solange du keine Dienste auf der Box betreibst, die aus dem Netz erreicht werden sollen, brauchst du den "Forwarding-Teil" der AVM-Firewall nicht.
Wenn du nicht tiefer in die Firewallproblematik einsteigen und bestimmte Dinge explizit sperren willst, ist eigentlich auch die AVM-Firewall nicht unbedingt nötig. Es ist zwar immer gut, das Netz so stark wie möglich abzusichern, aber dafür bedarf es, um es sinnvoll zu tun, schon etwas tieferem Know-How, ansonsten sollte man es nach meiner Sicht besser beim Standard belassen.

Jörg

 

[RalfFriedl]

dabei habe ich nur versucht etwas einfach darzustellen was mir ein Problem bereitet, wenn ich es gut erklären könnte wüsste ich wahrscheinlich die Antwort selber

Das hast Du schon recht gut erkannt. Manchmal kommt man schon selbst auf die Lösung, nur weil man das Problem genauer formuliert hat.

Portforwarding auf Rechner hinter der Box kann man über das AVM-Interface machen, dazu braucht man Freetz nicht.
Portfreigaben auf der Box selbst kann man über die ar7.cfg machen, dafür gibt es bei AVM kein Interface, aber in Freetz.
Außerdem gibt es noch iptables, die hast Du vermutlich nicht verwendet.

Meine Vermutung ist, daß Du das Ganze gar nicht brauchst. Die Firewall ist bei AVM sowieso schon enthalten, und die GUI von Freetz ist nur ein Werkzeug, um gezielt Löscher in diese Firewall zu machen,

 

[moonsorrox]

Vielen Dank ich dachte es mir das es kompliziert wird... ich fange mal an

Bei welchem Port Forwarding hast Du die 3 Ports drin?

AUf der GUI von Freetz habe ich die eingetragen...

Evtl. wenn Du SIP benutzt.

OK Danke..

Wie hast Du die Ports in Freetz, im Webinterface freigegeben?

Man kann doch in Freetz >>> Ansicht Firewall / Port Forwarding
einmal "Firewall" und einmal "Forwarding" anklicken

In der GUI von Freetz habe ich auf Forwarding geklickt und die Ports freigegeben.. Die Einstellung der Firewall habe ich so gelassen wie sie ursprünglich war. Es sind dort schon 4 Regeln eingetragen 2x IP und 2x udp
Bei udp ist die Portsspanne "161 162" und der einzelPort "111" gesperrt.
Bei IP sind es die "242.0.0.0 255.0.0.0" und "host 255.255.255.255"

Der "Portforwarding" Teil ist analog zu dem Portforwarding der Box, eigentlich ist es egal, wo du das Forwarding machst, die Freetz-GUI ermöglicht aber zusätzlich auch die Weiterleitung "auf die Box selbst", wenn man dort Services nutzen will, also Programme auf der Box betreiben (wie OpenVPN, dropbear, ...)

Fazit:
Solange du keine Dienste auf der Box betreibst, die aus dem Netz erreicht werden sollen, brauchst du den "Forwarding-Teil" der AVM-Firewall nicht.
Wenn du nicht tiefer in die Firewallproblematik einsteigen und bestimmte Dinge explizit sperren willst, ist eigentlich auch die AVM-Firewall nicht unbedingt nötig. Es ist zwar immer gut, das Netz so stark wie möglich abzusichern, aber dafür bedarf es, um es sinnvoll zu tun, schon etwas tieferem Know-How, ansonsten sollte man es nach meiner Sicht besser beim Standard belassen.

Ich beschreibe mal was ich brauche an Ports die ich frei geben muss.
Das ist
1. das Webinterface meines NAS
2. FTP - vom NAS
3. meine WebCam

dann noch bei Bedarf der SSH und was ich noch nicht habe aber möchte ist OpenVPN
(OpenVPN habe ich noch nicht eingesetzt, wenn ich das dann tue brauche ich ja auch keine Ports mehr freigeben, denn dann bin ich von dem PC aus ja direkt in meinem Netz)


Wenn ich das richtig verstanden habe..!!
(schwieriges Thema, obwohl ich schon einiges gelesen habe fehlt mir noch immer der Durchblick)

 

[moonsorrox]

Außerdem gibt es noch iptables, die hast Du vermutlich nicht verwendet.

ich habe es als Paket in Freetz mit rein genommen - verwirrt mich aber denke ich noch mehr...

 

[MaxMuster]

Für die bisherigen Dinge (Freigaben/Zugriffe auf andere Systeme wie NAS und WebCam) reicht wie schon geschrieben das "normale" Forwarding über die AVM-Portweiterleitungs-GUI, die ich dafür auch nutzen würde, ist aber letztlich egal.

Nur, wenn du (später mal) etwas auf der Box laufen lassen willst (wie SSH oder OpenVPN), was "von außen" erreichbar sein soll, dann musst du dafür eine Weiterleitung auf die Box selbst (0.0.0.0) einrichten. Das ließe sich direkt in der ar7.cfg machen oder eben etwas komfortabler und sicherer über die "Forwarding-GUI" des Firewall-Paketes.

Ehe du dich an Einstellungen der Firewalls machst (AVM, besonders aber iptables), ist gründliche Vorbereitung angesagt, damit das Ergebnis auch das ist, was man will ;-).

Jörg

 

[moonsorrox]

Ich habe mich jetzt mal an meine Firewallregeln gemacht und habe damit echte Probleme.

Ich habe die Grund - Regeln aus einem anderen Thread drin aber bei mir funktioniert die Fernwartung nun nicht obwohl sie doch mit drin ist.
Meine Squeezeboxen haben nun auch kein Zugriff mehr ins Internet zu mysqueezebox.com, dafür muss ich die Ports 3483 TCP/UDP und 9000 erlauben..


Hier die Regeln die ich genutzt habe:

lowinput ist die Rückrichtung, also wenn du was empfängst,

hier sperrst du alles, was dich nicht erreichen soll, eine Regel ist ganz wichtig:

permit any, any ip connection outgoing related

Wenn du die defaul policy auf drop stellst, würdest du sonst den Nutzverkehr, der zu Dir zurückkommen soll auch blocken.

highoutput ist die Richtung nach draußen.

hier sperrst Du alles, was von Dir ins internet geht, also die Dienste, die jemand aus Deinem Netz nicht aufrufen darf.

Da kommen die hier rein:

permit tcp any any eq 22 /*ssh*/
permit tcp any any eq 25 /*smtp*/
permit tcp any any eq 53 /*DNs*/
permit tcp any any eq 80 /*www*/
permit tcp any any eq 8080 /*www Alternative*/
permit tcp any any eq 110 /*pop3*/
permit tcp any any eq 143 /*imap*/
permit tcp any any eq 443 /*https*/
permit tcp any any eq 993 /*imap ssl*/
permit tcp any any eq 995 /*pop3 ssl*/
deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*/

Welche Regel würde denn meinen Verkehr nach draußen erlauben, ist es nicht diese hier..?
"permit ip any any connection outgoing-related"

 

[moonsorrox]

ich habe heute nochmal alle möglichen Einstellungen ausprobiert, aber ich bekomme das nicht geregelt.
Habe schon einige Seiten mit Firewalleinstellungen durchsucht auch hier das Forum aber mit den Standardeinstellungen bekomme ich weder ein Fernwartungszugriff (443), noch gehen meine Squeezeboxen und auf meine Webcam kann ich auch nicht drauf.

Habe alles wieder mit meiner letzten Sicherung hergestellt. Diese Regeln waren der erste Stand nachdem ich das Image auf die Box gebracht habe.
Sicher nicht das nonPlus Ultra aber geht erst mal wieder.

Dies sind meine momentanen Regeln:
Eingehende Regeln (lowinput)

deny ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
deny udp any any range 161 162 /*AVM*/
deny udp any any eq 111/*AVM*/


Ausgehende Regeln (highoutput)

reject ip any 242.0.0.0 255.0.0.0 /*AVM*/
deny ip any host 255.255.255.255 /*AVM*/
reject ip any 169.254.0.0 255.255.0.0 /*AVM*/
reject udp any any range 161 162 /*AVM*/
reject udp any any eq 111/*AVM*/


Ich bräuchte da noch ein wenig Unterstützung oder besser Nachhilfe in Sachen Regeln erstellen