Firewallregeln anpassen

[Klops]

Hallo,

ich habe gerade meinen Test-AP an einem DSL-Anschluss hängen.
Wie ich hier in vielen vielen Texten gelesen habe, könnte man ja aus dem Freifunk-Netz in das lokale LAN, was an dieser Stelle absolut nicht wünschenswert ist.

Variante1 - DSL-Modem direkt an den AP - fällt aus.

Bleibt nur noch Variante2 - Firewallregeln im AP anpassen.

Hat jemand eine genaue Anleitung dazu. Binda nicht so firm.

[tox]

trägst du in datei etc/local.fw folgende zeilen ein (idealerweise hinter die schleife, die da am anfang steht):

iptables -I FORWARD -i eth1 -d 192.168.1.0/24 -j DROP
iptables -I INPUT -i eth1 -d 192.168.1.0/24 -j DROP

wobei die 192.168.1.0/24 der adressbereich deines lokalen netzwerks am wan-anschluss des ff-routers ist. wenn du noch ein vpn laufen hast, solltest du noch folgende regeln eintragen:

iptables -I FORWARD -i tap+ -d 192.168.1.0/24 -j DROP
iptables -I INPUT -i tap+ -d 192.168.1.0/24 -j DROP

dann router neu starten.

[Klops]

Irgendwie komm' ich über den WAN-Port nicht auf den Router.

Adresse für WAN ist statisch im FF-Router vergeben.

Muss ich an der Firewall noch was machen ?

[tox]

eigentlich nicht, wenn du nicht noch zusätzliche änderungen gemacht hast. funktioniert denn anpingen?

[Klops]

Ich habe hier einen unberührten WHR liegen.

LAN ist statisch auf 192.168.0.10/255.255.255.0 und WAN statisch auf 192.168.1.10/255.255.255.0 konfiguriert.

Firewallregeln habe ich nicht befummelt.

Per LAN komme ich prima drauf, per WAN (nachdem ich meine Netzwerkkarte im Rechner umgestellt habe) eben nicht.

[tox]

geht denn anpingen? ansonsten weiß ich auch nicht weiter

[Klops]

achso, sorry.

Anpingen geht nicht.

[tox]

mh... bist du dir sicher, dass der wan-port und der rechner, von dem aus du versuchst, auf den router zu kommen, im selben netzwerk sind? d.h. in deinem fall, hat dieser rechner auch eine adresse, die mit 192.168.1 beginnt, so wie der wan-port?

[Klops]

100% sicher

[3dfxatwork]

Es kann sein, das das die Firewall blockiert, schau mal bitte unter verwalten nach, was bei WAN eingestellt ist, da kann man ping, http, https usw freischalten, oder ist das schon ?

Bei verwendung von https über wan auch nochmal bei Secure admin die einstellung "HTTPS über WAN erlauben" setzten

[Klops]

Na da war ich ja wohl wieder der DAU. An den Haken lag es. Tja, wer mitdenkt ist klar im Vorteil.

Danke, aber weiter:

Wenn ich Firewallregeln einfüge (siehe ganz oben), wo dann genau ?




#!/bin/sh

# Place your firewall addons here or use /etc/local.fw-xxx

#MACS="00:00:01:00:00:01 0c:68:0b:02:a3:1e"

case $1 in
start)
for i in $MACS; do
# You can also add "-I INPUT", but it is sufficient
# to block forwarding, since the delinquent will get
# the routing but no (internet) connectivity.
iptables -I FORWARD -m mac --mac-source $i -j DROP
done
;;
stop)
for i in $MACS; do
iptables -D FORWARD -m mac --mac-source $i -j DROP
done
;;
esac

[3dfxatwork]

nach

Code: Alles auswählen

done

und vor

Code: Alles auswählen

;;
stop

[Klops]

ok, danke

[tox]

umkipp daran hatt ich nu gar nich gedacht, ich war eher von den weniger offensichtlichen fehlern ausgegangen

[Klops]

Hab' gerade versucht in der datei local.fw rumzufummeln.
Das Teil lässt sich aber nicht speichern.

Bin über den Konqueror->Netzwerkordner->Netzwerkordner Hinzufügen->sichere shell auf den Router gekommen.

Wie gesagt, die datei lässt sich aber nicht speichern

Edit:

ok, ich hab's.
Offenbar muss man die Datei mit dem Editor vom Router-Linux bearbeiten, dann gehts.