xDSL.at

[fenster]

hallo


habe da folgendes problem

ich habe da ein alcatel speedtouch 510
und möchte da den ssh port
öffnen
damit er von aussen erreichbar ist
das habe ich mit nat gemacht

jetzt muss ich aber noch den port
von innen her freigeben damit der ssh server
überhaubt erreicht werden kann

dies geschiet mit der regel
______________________________________
rule create chain=forward index=0 srcintfgrp=lan prot=tcp dstport=22 action=accept
rule create chain=forward index=0 srcintfgrp=wan prot=tcp srcport=22 action=accept
______________________________________
hier wird der ssh port freigeben
und alle anderen werden mit dieser regel
geplockt
______________________________________
rule create chain=forward action=drop
______________________________________

nehme ich diese regel weg habe ich zugriff
auf den ssh server von aussen


und jetzt kommt das problem :
trage ich diese regel ein
______________________________________
rule create chain=forward index=0 srcintfgrp=lan prot=tcp dstport=22 action=accept
rule create chain=forward index=0 srcintfgrp=wan prot=tcp srcport=22 action=accept
______________________________________


wird die regel automatatisch umgewandelt in
den ftp port 20 oder 21
______________________________________
rule create chain=forward index=0 srcintfgrp=wan prot=tcp srcport=ftp-data action=accept
rule create chain=forward index=1 srcintfgrp=lan prot=tcp dstport=ftp-data action=accept
______________________________________

und dass ist natürlich schwachsinn

anscheinent giebt es da keinen ssh port
denn in der docu steht


[php]Port name Number TCP UDP Description
echo 7 Y Y Echo
discard 9 Y Y Discard
systat 11 Y Y Active Users
daytime 13 Y Y Daytime
qotd 17 Y Y Quote of the Day
chargen 19 Y Y Character Generator
ftp-data 20 Y Y File Transfer (Default data)
ftp 21 Y Y File Transfer (Control)
telnet 23 Y Y Telnet
smtp 25 Y Y Simple Mail Transfer Protocol (SMTP)
time 37 Y Y Time
nicname 43 Y Y Who Is
dns 53 Y Y Domain Name System (DNS)
domain 53 Y Y Domain Name System (DNS)
sql*net 66 Y Y Oracle SQL*NET
bootps 67 Y Y Bootstrap Protocol Server
..
..
[/php]


vieleicht kann mir das mal einer erklären ?


gruß

[antropos]

hallo fenster!

Habe deine Firewall Zeilen auf meinem Speetouch eigegeben und versucht, die Situation nachzustellen.
Das war der Input:
______________________________________
:firewall rule create chain=forward index=0 srcintfgrp=lan prot=tcp dstport=20 action=accept
:firewall rule create chain=forward index=0 srcintfgrp=lan prot=tcp dstport=21 action=accept
:firewall rule create chain=forward index=0 srcintfgrp=lan prot=tcp dstport=22 action=accept
______________________________________
und das ist zurück gekommen:
______________________________________
=>:firewall rule list
...
...
:firewall rule create chain=forward index=0 srcintfgrp=lan prot=tcp dstport=22 action=accept
:firewall rule create chain=forward index=1 srcintfgrp=lan prot=tcp dstport=ftp action=accept
:firewall rule create chain=forward index=2 srcintfgrp=lan prot=tcp dstport=ftp-data action=accept
...
...
______________________________________
Hier sieht das völlig normal aus. Deine Beobachtung, dass Zeilen automatisch umgesetzt werden, wie du schreibst, konnte ich nicht nachvollziehen .

Zur Info, mein ST510 hat die Version 4.2.7.16.0.

Oder habe ich deine Anfrage falsch verstanden .

Gruß Antropos

[fenster]

hallo

meine speedtouch version ist
510 Version R3.7.3.8

hast du irgentwo einen link mit firmware
damit ich vielleicht mal ein update versuche



gruß
fenster

[Dark SoLdIeR]

ein firmwareupgrad würde sicher nicht schaden
ausserdem: wenn du nat regeln erstellst, brauchst du keine zusätzlichen firewallregeln erstellen

die neueste firmware incl. upgrade tool gibts hier
einfach das tool starten, das erkennt modem und firmwarefile und upgraded das modem ohne probleme

[fenster]

ausserdem: wenn du nat regeln erstellst, brauchst du keine zusätzlichen firewallregeln erstellen

hallo

und wei kontrolliere ich dann das was vom lokalen netzwerk
alles raus darf ?
zur zeit ist es ja so dass alles erlaubt ist nach aussen
ich will aber dass so einstellen
dass aus dem lokalen netzwerk zb.: nur surfen geht
(port 80) smpt und pop3, ftp, ssl, dns usw..

das geht nach meinem wissen nur mit den firewall regeln


und von aussen sollte nur der port 22 offen sein damit ich per
ssh zugreifen kann (den habe ich mit nat gemacht)
funktioniert auch solange ich die firewall auf den standarteinstellungen lasse

sobald ich aber

diese regel anwende
rule create chain=forward index=12 action=drop


kann ich von aussen nicht mehr auf den ssh port zugreifen
obwohl er immer noch mit nat auf den zielrechner forgewardet ist

das ist ein problem
vielleicht hast du einen tip für mich



gruß
fenster

[antropos]

Lieber fenster!

Leider ist der Firewall Teil des ST510 nicht sehr benutzerfreundlich, weil er nur auf der Command Line zu bedienen ist. Es gibt keine GUI für diese Settings, auch nicht in der aktuellen Firmware. Aber eine gute Beschreibung aller CLI Befehle des ST510/530 für die 4.2.7 Firmware, nämlich das "CLI Reference Guide" gibt es zum downloaden. Sorry, habe keinen Link, aber Google weiß wo...
Gruß Antropos