[Frage] Port Forwarding auf gewisse ext. IP's beschränken?

herbert11

Neuer User
Mitglied seit
8 Aug 2009
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Habt ihr vielleicht eine Idee wie man das Port Forwarding auf gewisse IP's beschränken kann, sodass zum Beispiel nur Anfragen von der IP 81.171.230.52 geforwarded werden?
Beispiel zum besseren Verständnis:
Portfreigabe: 0.0.0.0:80 -> 192.168.178.44:80
Anfrage von 81.171.230.52:80 -> 192.168.178.44:80
Anfrage von 55.144.78.90:80 (oder irgendeiner anderen IP die nicht auf der Whitelist steht) -> Fehler
 
Mit einer "richtigen" Firewall kein Problem, mit 'ner Fritz Box geht das derzeit nicht.

Klaus
 
Nachdem hier das "AVMFRITZ!Box Fon: Modifikationen"-Forum ist, würde ich mal behaupten, das geht schon.

Ich sehe mehrere Möglichkeiten.
Die erste ist vermutlich die einfachste und beste, habe ich aber so noch nicht ausprobiert.

Die Portweiterleitungen stehen in der Datei /var/flash/ar7.cfg unter
Code:
ar7cfg {
dslifaces {
dsldpconfig { forwardrules =
                            "tcp 0.0.0.0:80 192.168.178.44:80 0 # HTTP-Server";                           
}
}
}

Man könnte mal versuchen, das manuell zu editieren, und die 0.0.0.0 durch die die gewünschte IP Adresse zu ersetzen. 'ar7cfgchanged' nach der Änderung ausführen oder die Box neu starten.

Wichtig: Die Regeln stehe jeweils in Anführungszeichen. Wenn mehrere Regeln eingetragen sind, muss zwischen den Regeln eine Koma stehen. Nach der letzten Regel steht ein Semikolon.

Ob das zum gewünschten Ergebnis führt, habe ich nicht getestet. Sollte aber m. E.
Es kann eigentlich auch nichts kaputt gehen.
Einstellungen vorher sichern und für den schlimmsten Fall ein Recoverimage bereit halten.

Gruß
maceis
 
Zuletzt bearbeitet:
Nachdem hier das "AVMFRITZ!Box Fon: Modifikationen"-Forum ist, würde ich mal behaupten, das geht schon.

Ich sehe mehrere Möglichkeiten.
Die erste ist vermutlich die einfachste und beste, habe ich aber so noch nicht ausprobiert.

Die Portweiterleitungen stehen in der Datei /var/flash/ar7.cfg unter
Code:
ar7cfg {
dslifaces {
dsldpconfig { forwardrules =
                            "tcp 0.0.0.0:80 192.168.178.44:80 0 # HTTP-Server";                           
}
}
}

Man könnte mal versuchen, das manuell zu editieren, und die 0.0.0.0 durch die die gewünschte IP Adresse zu ersetzen. 'ar7cfgchanged' nach der Änderung ausführen oder die Box neu starten.

Wichtig: Die Regeln stehe jeweils in Anführungszeichen. Wenn mehrere Regeln eingetragen sind, muss zwischen den Regeln eine Koma stehen. Nach der letzten Regel steht ein Semikolon.

Ob das zum gewünschten Ergebnis führt, habe ich nicht getestet. Sollte aber m. E.
Es kann eigentlich auch nichts kaputt gehen.
Einstellungen vorher sichern und für den schlimmsten Fall ein Recoverimage bereit halten.

Gruß
maceis

Vielen Dank, so funktioniert es, aber es werden nur IPv4 Addressen unterstützt, ich bräuchte aber eine IPv6 und Domain (für DynDNS) Unterstützung. Gibt es da auch so eine ähnliche Lösung die mir noch nicht in den Sinn gekommen ist? :confused:
 
Ich selbst nutze IPv6 nicht.
Soweit ich mich erinnern kann, kann man bei Freetz, die IPv6 Unterstützung aktivieren.
Ob die Fritzbox das von Haus aus mittlerweile auch kann, weiß ich nicht.

Wenn Du ständig wechselnde IP Adressen hast, fällt mir persönlich nur eine Lösung mit einem Sktript ein, dass regelmäßig die Adressauflösung macht und dann die ar7.cfg automatisch editiert und die Einstellungen neu lädt.

An der Stelle möchte ich vorschlagen, dass Du Dir eine Signatur zulegst, aus der man zumindest sieht, welche Firmware und welche Box Du hast.
Vielleicht kann Dir dann bezüglich IPv6 jemand anders konkret weiterhelfen.
 
....ich bräuchte aber eine IPv6 und Domain (für DynDNS) Unterstützung.......
Die aktuelle Laborfirmware unterstützt im Zusammenhang mit dyn.com dynamische IPv6 Eintragungen. Ansonsten kannst Du Dir über Sixxs einen festen IPv6 Bereich besorgen, dann hast Du feste Adressen. Die aktuell supporteten Fritz Boxen (7270, 7390) unterstützen voll IPv6.
 
Ich selbst nutze IPv6 nicht.

Ich auch nicht, ist aber zeitnah geplant.

Wenn Du ständig wechselnde IP Adressen hast, fällt mir persönlich nur eine Lösung mit einem Sktript ein, dass regelmäßig die Adressauflösung macht und dann die ar7.cfg automatisch editiert und die Einstellungen neu lädt.

Das hört sich interessant an, wie sähe den so ein Skript aus?

An der Stelle möchte ich vorschlagen, dass Du Dir eine Signatur zulegst, aus der man zumindest sieht, welche Firmware und welche Box Du hast.

Schon erledigt :D

Die aktuelle Laborfirmware unterstützt im Zusammenhang mit dyn.com dynamische IPv6 Eintragungen.

Das schaue ich mir mal an. ;)
 
To get back to original question:
Don't look into NAT stuff in ar7.cfg, look to firewall rules instead.
On incoming rules, add stuff like this (to make your internal webserver only accessible from external IP 81.171.230.52)
allow tcp 81.171.230.52 -> ANY:80
block any -> ANY:80
On freetzed box, this can be done from web interface
 
Firewall rules won't forward any traffic from outside to any machine inside with private IP addresses.
The original question didn't aim at accessing the internal webserver of the box itself.

It should also be mentioned, that the AVM firewall, which can be configured in ar7.cfg is not very stable and not intended to be used as a 'real' packet filter.
The other day I added only four simple rules to end up in a reboot loop.

Besides
Shouldn't it be permit instead of allow and reject or deny instead of block?
 
Firewall rules won't forward any traffic from outside to any machine inside with private IP addresses.
Indeed, firewall rules don't do the NAT-ting. You still need a port forward.
Aim of suggested firewall rules is to filter your existing port forward.
The other day I added only four simple rules to end up in a reboot loop.
I used freetz GUI to add 4 outgoing rules in my current 7340 without any problems. Manual editing is prone to typos and syntax errors resulting in invalid ar7.cfg file
 
Hallo zusammen,

ich habe hier gerade eine 7390 mit FRITZ!OS 05.22 vor mir und möchte auch gerne das Forwarding auf eine IP oder eine Netmask beschränken. Leider klappt bei mir das ersetzen der 0.0.0.0 durch die gewünschte IP Adressse nicht. Hat noch jemand einen Tip ?
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.