My Digital Lifestyle

Die interne Fritzbox Stateful-Firewall

Ich habe viel über Firewall-Projekte auf der Fritzbox gelesen. Im DS-MOD gibt es die Möglichkeit, iptables auf die Fritzbox zu bringen. Meiner Meinung nach macht das aber wenig sinn. Auf der Fritzbox befindet sich bereits eine, der Hardware entsprechend, leistungsfähige Firewall. Konfiguriert und administriert wird diese wie gewohnt über die ar7.cfg.

Vor der Konfiguration muss man sich klar machen, in welchem Modus die Fritzbox läuft. Es müssen nämlich unterschiedliche Bereiche in der ar7.cfg verändert werden. In der Sektion accesslist werden die entsprechenden Regeln definiert. Es gibt jeweils eine Sektion accesslist in den Kategorien pppoefw, dslifaces und dsldpconfig.

  • pppoefw – Router läuft im PPPOE Mode (nur als Modem)
  • dslifaces – Router läuft im Router-Mode (NAT-Funktionalität)
  • dsldpconfigKann ich leider nicht sagen. Wer weiß mehr?

In meinem Beispielfall werde ich die Regeln im Bereich dslifaces betrachten und verändern. Für den Fall, dass die Firewall nicht nur als Modem sondern als Router fungiert, ist die Nutzung von diesem virtuellen Interfaceabschnitt zwingend notwendig.

Der Firewall-Regel-Syntax ist in allen Bereichen identisch. Als Beispiel könnte man folgendes Beispiel nehmen:

accesslist =
            /*####################
              ### Own FW-Rules         ###
              ####################*/

            /* Erlaube eingehend eine statische IP auf den SSH-Port des Routers */
            "permit tcp host 194.94.10.10 host 194.10.65.181 eq 22",

            /* Erlaube eingehend eine statische IP ins lokale Netz */
            "permit ip host 194.94.10.10 195.10.183.192 255.255.255.240",

            /* Erlaube eingehend Port 80 auf den Webserver im lokalen Netz */
            "permit tcp any host 195.10.183.206 eq 80",

            /* Stateful-Regel für die 2. WAN-IP */
            "permit ip host 194.10.65.181 any",
            "permit ip any host 194.10.65.181 connection outgoing-related",
            "reject ip any host 194.10.65.181",
            /* Stateful-Regeln für das lokale Netzwerk */
            "permit ip 195.10.183.192 255.255.255.240 any",
            "permit ip any 195.10.183.192 255.255.255.240 connection outgoing-related",
            "reject ip any 195.10.183.192 255.255.255.240",

            /*###################################
              ### Standard FRITZ!Box FW-Rules                  ###
              ###################################*/
            "deny ip any 242.0.0.0 255.0.0.0",
            "deny ip any host 255.255.255.255",
            "deny udp any any eq 135",
            "deny tcp any any eq 135",
            "deny udp any any range 137 139",
            "deny tcp any any range 137 139",
            "deny udp any any range 161 162",
            "deny udp any any eq 520",
            "deny udp any any eq 111",
            "deny udp any any eq 22289",
            "deny udp any any eq 1710",
            "deny udp any any eq 1048",
            "deny udp any any eq 158",
            "deny udp any any eq 515";

Der Aufbau der Regeln ist ganz einfach:

#Aktion# #Protokoll# #Quelle# #Ziel# #Zusätzliche parameter#

#Aktion#

  • Permit – Erlaube eine Verbindung mit folgenden Parametern
  • Deny – Lehne eine Verbindung mit folgenden Parametern ab
  • Reject – Weise eine Verbindung mit folgenden Parametern zurück

#Protokoll#

  • tcp – Diese Parameter definieren eine TCP-Verbindung
  • udp – Diese Parameter definieren eine UDP-Verbindung
  • icmp – Diese Parameter definieren eine ICMP-Verbindung
  • ip – Diese Parameter definieren eine Verbindung mit allen Protokollen

#Quelle# oder #Ziel#

  • any – Ist gleichzusetzen mit *. Definiert alle Hosts und Netze
  • host [ip] – Nur diese IP / nur dieser Host
  • [net] [subnetmask] – Definiert ein Netz mit der größe des angegebenen Subnetzes

#Parameter#

  • eq [Port] – Regel zieht nur bei diesem port
  • range [Startport] [Endport] – Es wird eine Portspanne definiert. Alle Ports innerhalb dieser Spanne sind von der Regel betroffen
  • connection outgoing-related – Wirkt nur, wenn sich die Regel auf eine ausgehende Verbindung bezieht (Stateful)
  • connection incoming-related – Wirkt nur, wenn sich die Regel auf eine eingehende Verbindung bezieht (Stateful)

Die Accessliste muss in den virtuellen Interface-Definitionen sowohl im lowinput als auch im highoutput Bereich eingetragen bzw. verändert werden.

Um die erstellen Regeln in den aktuellen Betrieb zu übernehmen, muß das Kommando ar7cfgchanged ausgeführt werden.

Hinweis: Jeder Tippfehler mit dem folgenden Kommando ar7cfgchanged wird mit einem vollständigen Konfigurations-Reset geahndet!

flattr this!

3 Kommentare

  1. thomy_pc's Gravatar thomy_pc
    6. April 2013    

    Ich hab hier eine FBFW 7360 sowie einen Allnet DSLAM herumliegen. Synchronisation zwischen DSLAM und Fritzbox funktionieren problemlos, auch die Kommunikation darüber. Der DSLAM verpackt die eingehenden Ethernetframes in die ATM-Zellen und sendet sie über VDSL an die Fritzbox.

    Bei der Fritzbox ist als Internetzugang ein direkter IP-Zugang eingestellt RBE (Routed Bridge Encapsulation)

    Nun Meine Frage, gibt es eine möglichkeit die NAT der fritzbox zu deaktivieren?
    Es geht hier um Gebäudevernetzung, sodass in beiden Richtungen auf jeden Rechner zugegriffen wird. NAT lässt dies leider nicht zu.

    Bei der 7390 gab es die Möglichkeit die NAT abzuschalten, mit den neuen Firmwares (glaub ab 5.xx) wurde die Funktion versteckt oder entfernt.

    Hast du zufällig eine Idee, wie man die Fritzbox in eine DSL-Ethernet-Bridge umwandeln kann, oder wenigstens wie man die NAT abschaltet?

    würde mir sehr weiterhelfen
    Gruß

  2. 6. April 2013    

    Hallo,

    komplett deaktivieren lässt sich NAT auf der Fritzbox nicht. Dafür ist diese absolut nicht konzipiert. Es gibt jedoch einen Workaround, wie man entsprechende “Frames” behandeln kann.

    Mein Artikel unter http://blog.schmidt.ps/2007/05/25/mehrere-wan-ips-und-netze-auf-einer-fritzbox/ beschreibt die Möglichkeiten wie man mit “Framed-IP-Address” bzw. “Framed-Route” umgehen kann.

    Viele Grüße
    Sascha

  3. Jiuseppe's Gravatar Jiuseppe
    1. Oktober 2013    

    Hat mir sehr geholfen um eigene Regeln für eine Lan-to-Lan VPN-Verbindung zu definieren.

    Vielen Dank,
    Gruß
    Jiuseppe

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>