[Frage] Welche Modifikationen sind auf den Fritzboxen 7270 / 7390 erreichbar.

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Lauser71

Lauser71

Mitglied
Mitglied seit
2 Aug 2009
Beiträge
323
Punkte für Reaktionen
0
Punkte
0
Hallo
ich habe eine Frage an euch Fritzbox Experten.
Ist es möglich eine Fritzbox 7270 oder 7390 so zu modifizieren, daß auf dem Router bereits bestimmte gefährliche Webinhalte (Activx, Java Script, Java Applets, Multicast, anon Requests, Proxy usw) gefiltert und blockiert werden.
Was mich noch wichtig wäre, ob die geblockten und ggf erlaubten Anfragen (DSL Interface) geloggt werden können.
Wie z.B. in Cisco, Draytek oder Lancom Routern. Wenn ich mich richtig erinnere sogar DDWRT Firmware-
Iptables würden soweit ich das verstanden habe, ja nur den Netzinternen Traffic loggen.
Grund meiner Frage ist der Einsatz im gewerblichen Bereich.
Danke
 
Lauser71 schrieb:
Was mich noch wichtig wäre, ob die geblockten und ggf erlaubten Anfragen (DSL Interface) geloggt werden können.
Wie z.B. in Cisco, Draytek oder Lancom Routern. Wenn ich mich richtig erinnere sogar DDWRT Firmware-
Iptables würden soweit ich das verstanden habe, ja nur den Netzinternen Traffic loggen.
Zum Vergrößern anklicken....
Wenn es um das Loggen geht, dann schau dir mal iplog (Paket im trac) an. Evtl. mit einem statisch gelinkten binary testen, ob iplog deinen Anforderungen bzw. Bedürfnissen entspricht.
Betr. blocken, evtl. könnte dnsspoof auch eine Alternative und/oder eine Ergänzung für dich sein. dnsspoof kann url's, Hostnamen und IP-Adressen umleiten. Hier ist ein statisch gelinktes binary (siehe Link) schon vorhanden.
 
Hallo sf3978,
danke für deine Anwort. Werde mir mal das iplog anschauen. Hört sich interessant an.
Wegen dem Blocken geht es mir um die gefährlichen / schädlichen Inhalte nicht um IP oder Hosts.
 
Wegen dem Blocken geht es mir um die gefährlichen / schädlichen Inhalte
Zum Vergrößern anklicken....
Das dürfte schwierig werden, da der "Blocker" den HTML-Code analysieren müsste. Für einen "Virencheck On The Fly" sind sowohl Speicher als auch Prozessorleistung der Fritzbox um Größenordnungen zu klein.
 
chked schrieb:
...Für einen "Virencheck On The Fly" sind sowohl Speicher als auch Prozessorleistung der Fritzbox um Größenordnungen zu klein.
Zum Vergrößern anklicken....

Hallo chked,
diese Optionen laufen auf Routern mit 200 MHz 16 MB RAM 4 MB Flash....
 
privoxy

Lauser71 schrieb:
Hallo
Ist es möglich eine Fritzbox 7270 oder 7390 so zu modifizieren, daß auf dem Router bereits bestimmte gefährliche Webinhalte (Activx, Java Script, Java Applets, Multicast, anon Requests, Proxy usw) gefiltert und blockiert werden.
Zum Vergrößern anklicken....

Ich denke, du suchst das paket "privoxy".

In Verbindung mit ein paar iptables-Regeln läßt sich das als "transparenter Proxy" einrichten, und die Filterfunktionen sind sehr weitgehend konfigurierbar.

Die Grund-Konfiguration hat bei mir allerdings nicht so geklappt wie im howto beschrieben... ein bißchen "frickeln" muß man sich schon zutrauen ;)
 
Hi,

was muss man denn bei der 7390 beachten um mit dem aktuellen trunk iptabels ans Laufen zu bekommen? Da scheinen einige Kernel-Module nicht korrekt geladen zu werden.
 
Es ist immer hilfreich solche Behauptungen mit Logs zu unterlegen...

Gruß
Oliver
 
Na gerne:

root@fritz:/etc/ath# iptables -t nat -A PREROUTING -p tcp -s 192.168.178.211 --dport 80 -j REDIRECT --to 8118
iptables v1.4.11.1: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded
Zum Vergrößern anklicken....

root@fritz:/etc/ath# lsmod | grep -i ip
iptable_raw 1568 0
Zum Vergrößern anklicken....

root@fritz:/etc/ath# modprobe ip_tables
modprobe: module ip_tables not found in modules.dep
root@fritz:/etc/ath# modprobe iptable_filter
modprobe: module iptable_filter not found in modules.dep
root@fritz:/etc/ath# modprobe x_tables
modprobe: module x_tables not found in modules.dep
root@fritz:/etc/ath# modprobe xt_tcpudp
modprobe: module xt_tcpudp not found in modules.dep
root@fritz:/etc/ath# modprobe ipt_REDIRECT
modprobe: module ipt_REDIRECT not found in modules.dep
root@fritz:/etc/ath# modprobe ip_nat
modprobe: module ip_nat not found in modules.dep
Zum Vergrößern anklicken....

Die iptables-Module sind alle per menuconfig ausgewaehlt.
 
Schau mal in "make kernel-menuconfig". Vermutlich werden sie nicht gebaut? Evtl. hat das auch seinen Grund... (Könnte zu Problemen kommen, wenn du da was auswählst)

Gruß
Oliver
 
Also, wenn ich per kernel-menuconfig alle netfilter-module aktiviere dann verabschiedet sich die Box nach wenigen Minuten in einen Neustart. Konnte auch nur noch ueber das AVM-Webinterface ne funktionierende Version flashen, sobald ich per Freetz flashen wollte kam auch ein reboot.
 
Das waren dann wohl die Probleme an die ich mich erinnert habe. AVM aktiviert einige Optionen andere nicht. Wenn du das änderst, dann passt was nicht mehr und die AVM Programm laufen nicht mehr... (conntrack ist dabei meistens beteiligt)

Gruß
Oliver
 
Hi,

sorry fuer die spaete Antwort, war auf Arbeit eingespannt.
Gibt's dann andere Tricks um auf der 7390 einen transparenten Proxy hinzubekommen?
Oder kommt da in den naechsten Versionen was fuer iptables?
 
Hi,

gibt's was neues wegen Iptables mit Freetz auf der 7390? Oder einen anderen Ansatz für einen transparenten Proxy?
 
Hallo,

für eine 7390 läuft die Kombination iptables\privoxy (als transparenter Proxy, wie im wiki) beschrieben) bis zu R6478 problemlos. Ist zwar schon etwas älter, aber falls Du Dich mit der älteren AVM-FW anfreunden könntest, wäre das eine Möglichkeit. Alternativ dazu siehe ggfs. hier.
Grüße,

JD.
 
Habe für 84.05.21 vor kurzem in den Kernel-Quellen nachgesehen. Da ergab sich folgendes:

1. Viele Module, wie z.B. ip_tables und iptable_filter sind bereits in den Kernel eincompiliert und somit als Modul natürlich nicht mehr vorhanden. Grundsätzlich scheint filtering zu funktionieren.

2. Alle conntrack, nat und das masquerade modul können nicht nachgeladen werden, weil sie hooks im Kernel voraussetzen, die nicht vorhanden sind. Das Modul iptable_nat ist sogar aus den Quellen entfernt worden.

Daraus folgt, dass nat und conntrack mit der 21er nicht funktioniert. Das heißt auch, dass state filtering nicht geht.

Ob man einen Replace-Kernel bauen kann, der die fehlenden Hooks enthält (in dem man die fehlenden module auswählt) müsste getestet werden - ich vermute aber mal, dass dann andere AVM-Module nicht mehr funktionieren...

E.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 639 (Mitglieder: 41, Gäste: 598)

Neueste Beiträge

Statistik des Forums

Themen
246,339
Beiträge
2,250,455
Mitglieder
373,992
Neuestes Mitglied
rost.01
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück