Port 80 Ausgehend in ac7.cfg sperren Fritzbox Firewall

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

magusel

Neuer User
Mitglied seit
17 Jul 2007
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo an alle,

moechte gerne den Port 80 nur fuer den HTTP Proxyserver in meinem Netz freigeben.

Fritzbox: 192.168.0.1
Proxy Squid auf "Debian Server" : 192.168.0.50

Habe folgdendes in die ar7.cfg der Fritzbox eingetragen:

accesslist =
"permit ip any host 192.168.0.1 255.255.255.0 connection outgoing-related", #port 80 ausgehend freigeben fuer Fritzbox
"permit ip any host 192.168.0.50 255.255.255.0 connection outgoing-related", #port 80 freigeben fuer debian server
"deny tcp any any eq 80 connection outgoing-related", # port 80 fuer alle anderen sperren


kann das in dieser Reihenfolge funktionieren? Oder sollte die Sperre vor den Freigaben liegen?
Mein anliegen ist das die Fritzbox ueber Gui leider keine Ausgehenden Ports blocke kann, desalb ueber ar7.
Alle User sollen nur ueben Proxy ins Internet zwecks Kindersicherung. Wenn ich die funktion der Kindersicherung der Fritzbox verwende werden alle Ports Ausgehend gesperrt auch Mail, dies moechte ich nicht.


Vielen Dank fuer Antworten!
 
Bin mir nicht über die Syntax der ar7 cfg bewusst.

Aber bei Firewalls gilt normalerweise: erst das was erlaubt werden soll, dann das verbotene... Weil der im Normalfall aufhört weiter zu gucken wenn eine Regel zutrifft.

Wenn du nun deine deny Regel als erstes nimmst, dann wird jeder Traffic über 80 nicht durchgehen. Daher sollte im Normalfall die Freigabe für die Proxys als erstes kommen.
 
Bimbes schrieb:
Bin mir nicht über die Syntax der ar7 cfg bewusst.

Aber bei Firewalls gilt normalerweise: erst das was erlaubt werden soll, dann das verbotene... Weil der im Normalfall aufhört weiter zu gucken wenn eine Regel zutrifft.

Wenn du nun deine deny Regel als erstes nimmst, dann wird jeder Traffic über 80 nicht durchgehen. Daher sollte im Normalfall die Freigabe für die Proxys als erstes kommen.
Zum Vergrößern anklicken....

Ja , so hab ich mir das auch gedacht deshalb erst die permits. Ist ja auch bei den Regeln in meinem Proxy Server so. Sobald eine Regel trifft wars das fuer den Filter.

Jetzt sollte mir nur noch einer die Syntax bestaetigen, moechte mit einer eventuellen falschen Config die Box nicht zerschiessen :noidea:

Magusel
 
rein von der sinnigkeit müsste die hostmark 255.255.255.255 lauten um eine IP zu nehmen. bei 255.255.255.0 haste direkt das komplette netz 192.168.0.0/24

ist mir gerade mal so aufgefallen.
 
...also die obere conf geht so nicht.

Nach einem Neustart der Box war die Konfiguration weg und die Box ging in den Urzustand mit IP 192.178.200.1.

Unbedingt Backup der Einstellungen machen vor irgendwelchen Änderungen in
ar7.cfg! Dann ist alles kein Problem, die Box scheint so einiges zu vertragen bevor sie nicht mehr ansprechbar ist...:cool:
Nach restore war alles wieder da...

Magusel
 
magusel schrieb:
...also die obere conf geht so nicht.
Zum Vergrößern anklicken....
Schreibfehler? Wenn deny... der letzte Eintrag der accesslist ist, dann muss der mit Semikolon und nicht mit Komma enden
(und die schließende Klammer } desjeweiligen Abschnittes <z.B. lowinput> darf auch nicht fehlen).
 
u.g schrieb:
Schreibfehler? Wenn deny... der letzte Eintrag der accesslist ist, dann muss der mit Semikolon und nicht mit Komma enden
(und die schließende Klammer } desjeweiligen Abschnittes <z.B. lowinput> darf auch nicht fehlen).
Zum Vergrößern anklicken....


Ne, stand am Anfang. Ja schliessende Klammer habe ich beachtet bzw. war schon vorhanden.
Vielen Dank trotzdem fuer die Idee! Bin gerade im www am suchen wie das realisierbar sein koente. Schade das AVM die ausgehenden Ports nicht ins GUI aufnimmt. Braucht wohl keiner oder sehr wenig bedarf im Home Bereich.
Mein alter Netgear kann ohne Probleme Ausgehende Ports Blocken sogar nach IP im Netzwerk sortiert (von-bis).
Wenn ich weiterkomme werde ich die Loesung mal Posten, denke das alles machbar ist. Eventuell brauchts ja jemand..

Magusel
 
Also folgendes habe ich erreicht und geht:

"deny ip any any eq 80 connection outgoing-related", # port 80 fuer alle sperren

im Abschnitt "dslifaces"
der ar7.cfg unter:

acesslist=
"deny ip any any eq 80 connection outgoing-related", # port 80 fuer alle sperren

Wichtig ist den Eintrag zwei mal zu machen im Absatz "lowinput" und auch im Absatz "highoutput".

Somit werden also alle http anfragen ausgehend geblockt.

Bei :
"deny ip host 192.168.0.2 any eq 80 connection outgoing-related",
Nur die des Clienten 192.168.0.2

Ich brauche nur noch eine Syntax mit der ich Adressbereiche sperren kann:
folgdenes geht leider nicht: "deny ip host 192.168.0.2/254 any eq 80 connection outgoing-related",
Die Fritzbox soll ja auf 80 offenbleiben und auch noch der Proxy Rechner.
Hmm, finde nirgendes Hinweise wie man von ... bis zuweisen kann. Alle bringt wie gesagt nix.

Hat eventuell noch jemand einen Tippp fuer mich?

Magusel
Magusel
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 495 (Mitglieder: 37, Gäste: 458)

Neueste Beiträge

Statistik des Forums

Themen
246,067
Beiträge
2,245,481
Mitglieder
373,505
Neuestes Mitglied
Samhtnier
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück