Freetz - avm-firewall log

[cando]

Hallo,

Danke, dass Du Dich so mit mir abquälst.

Der dsld funktioniert sonst einwandfrei.

mit dsld-s beendet er sich sauber und ist mit ps auch nicht mehr in der Prozessliste. Er hat auch vollkommen ander Ausgaben beim Start und beim Stop im vergleich zu deinem.

Wahrscheinlich hat den AVM stark überarbeitet und den ganzen Debug / Logging Code weggelassen, um Speicher für die anderen Gimmicks zu gewinnen und dabei vergessen beim Schalter -? die Menus zu entfernen. Jedenfalls ist der Schalter -n und -D scheinbar wirkungslos (oder die leiten den Log auf irgend einen nicht dokumentierten Debug-Port weiter). Jedenfalls ist keine Spur vom Traffic an der Konsole und im Syslog zu sehen.

Übrigens, es gibt eine neue Firmware für die 7270, falls es Dich interessiert.

Also danke noch mal!

Cando

 

[MaxMuster]

Moin,

irgendwie hatte ich die Fragen übersehen...

Was heisst das für die Sicherheit des Kabelmodems bzw. der 7170 (und des Heimnetzwerkes dahinter)?

Das ist aus meiner Sicht kaum ein Unterschied: Das Modem (sollte) aus dem Netz eigentlich unerreichbar sein, weil es nur zwischen den Physiken/Protokollen DSL(ATM) und Ethernet "umwandelt" und von der Theorie her eben passiv und deshalb "unerreichbar" ist. Die eigentliche Gefährdung ist damit (weiterhin) an dem Punkt, der die IP-Verbindung aufbaut, die Fritzbox. Anders wäre es, wenn das Modem eigentlich ein Router ist, und dort die Verbindung aufgebaut wird.

Total OT: Wie wird eigentlich so ein Kabelmodem (Kabel Deutschland) vor Angriffen aus dem Inet geschützt? (wenn überhaupt)

Keine Ahnung, aber das ist (s.o.) vermutlich unkritisch. Theoretisch sind natürlich in dieser Konstellation "mehr Angriffe" denkbar, einfach weil es viele gibt, die auf das physikalische Anschlussmedium Zugriff haben. Aber ob und was da tatsächlich eine reale Gefährdung raus erwächst, weiß ich einfach nicht.

Vielleicht gibt es ja den ein oder anderen "Kabelexperten", der dazu mehr weiß...


Jörg

 

[ao]

Da es hier leider keinen "Danke"-Button (wie im Macuser-Forum) gibt, sag ich einfach mal: Danke!

Ich lese hier immer wieder dsld im Zusammenhang mit der AVM-Firewall.
Da meine Fritzbox wie geschrieben hinter einem Kabelmodem hängt und ich daher kein DSL, sondern den ATA-Modus (LAN1=WAN) nutze, frage ich mich, ob/wie die AVM-Firewall bei mir überhaupt wirksam ist.
Oder ist meine Annahme falsch, dass bei Nicht-DSL dsld inaktiv ist?

 

[cuma]

Das KD-Kabelmodem hat keine öffentliche IP und muss damit auch nicht geschützt werden :-]

 

[ao]

Hat keine öffentliche Adresse? Wie kommst Du denn da drauf?
Wäre sie nicht öffentlich, so könnte ich ja gar nicht von extern auf meine Fritzbox zugreifen (was aber funktioniert).
Oder habe ich Dich evtl. missverstanden?

Und wie sieht es bzgl. dsld und der AVM-Firewall aus, wenn ich gar kein DSL nutze?

 

[matze1985]

nicht das Kabelmodem hat die IP sondern die Fritzbox, ein normales Modem hat ja auch keine IP. Ein Modem ist ein Modulator und Demodulator, der nur Signale auf eine bestimmte Weise verarbietet und bereitstellt.

Auch wenn du kein dsl nutzt stellt trotzdem der dsld die Verbindung her.

 

[sf3978]

Hat keine öffentliche Adresse? Wie kommst Du denn da drauf?
Wäre sie nicht öffentlich, so könnte ich ja gar nicht von extern auf meine Fritzbox zugreifen (was aber funktioniert).

Eine öffentliche IP-Adresse hat deine FritzBox vom DHCP-Server deines Providers bekommen, und nicht das Kabelmodem.
Das Kabelmodem ist transparent und hat keine öffentliche IP-Adresse.

 

[cuma]

Hat keine öffentliche Adresse? Wie kommst Du denn da drauf?

Mit der IP aus dem privaten Class-C Bereich 192.168.100.1

 

[ao]

Hallo cuma und alle,

das war wohl ein lustiges Missverständnis, trotzdem beantwortet es (wie auch die Beiträge der anderen) meine Frage sehr anschaulich:
Ich hatte mit "Wie kommst Du denn da drauf?" eher gemeint: "Wie kommst Du denn auf die Idee?"

Aber die IP für das KD-Modem kenne ich in der Tat, und genau so kommt man auf das Kabelmodem. Über "initial scan => apply" lässt sich das Kabelmodem auch neu starten, was man dazu nutzen kann, es auch aus einem Skript heraus neu zu starten, falls erfoderlich. Dazu einfach die URL notieren, wenn man auf "apply" geht - sorry, etwas OT hier.

Also habe ich verstanden, dass es ansonsten keine öffentliche IP hat, sondern nur die Fritzbox und dass dsld auch läuft, wenn man kein DSL nutzt.
Daraus schließe ich, dass die AVM-Firewall GUI in Freetz für Nicht-DSL-Nutzer genauso interessant ist wie für DSL-Nutzer.

 

[LZZ]

Sorry das ich das alte Thema nochmal ausgrabe... Mich intressiert aber ober es mittlerweile möglich ist das man die Logs einsieht wenn man

Logging einschalten (dsld -D)
Verworfene Pakete loggen (no dsld -n)

aktiviert hat. Oder ist es nötig einen (transparenten) Proxy zu installieren der alles loggt?

 

[Silent-Tears]

Mal getestet, was dein dsld von dich gibt, wenn man den so startet?

 

[cando]

dsld Logging funktioniert nach wie vor nicht. Von der AVM Firewall bekommt man leider gar keine Informationen, was geblockt (oder durchgelassen) wird. Das war auch der Grund, warum ich das iptables interface aufgebohrt habe und diese zusätzlich zur AVM firewall laufen lasse.

Eine Firewall, die man nicht überwachen kann ist IMHO nichts wert.

 

[LZZ]

Wie hast du das den angestellt? Ist unter den Packeten bei den Proxys einer dabei der die gleiche Funktion hat und Transparent arbeiten kann?

 

[cando]

Ich habe eine zweite Firewall (iptables), die ordentlich logt.

Bei den DECT Boxen nutze ich den von AVM verbogenen printk um die Kernel Log Ausgaben abzufangen und in Firewall Log Dateien zu schreiben. Bei den anderen Boxen kann man ganz einfach den syslog / syslogd verwenden.

 

[RAMler]

Ich habe die AVM Firewall nun soweit eingerichtet, bekomme es aber nicht hin Portfreigaben zu setzen.

Ich habe deny/deny als Grundregel und eben eingehend die "outgoing-related" Regel für any/and. Ausgehend eben alle Ports, die ich nutze (80 443 995 ...).

Ich bräuchte nun aber eingehend noch 2 Ports, da hier im Netzwerk ein Rechner Dienste darüber bereit stellt, nur beim besten Willen bekomme ich das nicht zum laufen. Die Portfreigaben sind natürlich korrekt eingerichtet. Beim eingehenden Verkehr habe ich folgendes versucht:

- any / IP Subnet / tcp / port
- any / any / tcp port

Beides ohne Erfolg. Woran hängt es? Jemand ne Idee?

Und zu guter letzt wird in der Fritzbox GUI unter "internet" nicht mehr wie früher die IP ect. angezeigt. Weiß einer woran das liegt?

Ich wäre euch wirklich sehr, sehr dankbar wenn ihr mir weiterhelfen könntet. Es wäre wirklich super ärgerlich, wenn ich das nun alles verwerfen müsste, nur weil ich die 2 dummen Ports nicht mehr aufbekomme.


EDIT:

Gelöst!

- deny/deny einstellen
- "permit ip any any connection outgoing-related" unter "lowinput"
- "permit ip any any connection incoming-related" unter "highoutgoing"

Sämtliche Ports von Hand ausgehend / eingehend erlauben. Portweitergabe für den NAT setzen - rennt.

Wirft man ausgehend nen port raus, so kann man diesen auch nicht nutzen. Wirft man eingehend nen Port raus, so melden ihn die Portscanner auch aus "gefiltert/geschlossen".

Funktioniert also scheinbar alles wie gewünscht. Oder habe ich irgendwo einen Sicherheitsfehler eingebaut?