Port 80 vom DD-WRT Router zu Client aus dem WAN sperren

Post new topic   Reply to topic    DD-WRT Forum Index -> Allgemeine Fragen
Author Message
Hawke
DD-WRT Novice


Joined: 27 Apr 2012
Posts: 5

PostPosted: Fri Apr 27, 2012 20:47    Post subject: Port 80 vom DD-WRT Router zu Client aus dem WAN sperren Reply with quote
Hi,

ich habe ein kleines Problem.
Ich habe hier einen TP-Link Router mit DD-WRT am Kabelmodem. An diesem DD-WRT Router habe ich eine Fritzbox geklemmt. Ich möchte jetzt das der Port 80 für das Webinterface aus dem Internet! zu der Fritzbox abgeschottet wird. Aus dem lokalem Netz (192.168.1.x) soll der Zugriff gestattet werden und auch funktionieren. Wie kann ich das anstellen ???
Ich habe ne Menge zu IPTables gefunden, aber für dieses Szenatio keine Lösung gefunden. Kann mir da einer weiterhelfen ?

Gruß

Hawke
Sponsor
cybero2912
DD-WRT Guru


Joined: 18 Jun 2006
Posts: 1190
Location: Berlin

PostPosted: Sat Apr 28, 2012 10:39    Post subject: Reply with quote
???
versuch' mal rauf zu kommen..
Hawke
DD-WRT Novice


Joined: 27 Apr 2012
Posts: 5

PostPosted: Sat Apr 28, 2012 11:11    Post subject: Reply with quote
cybero2912 wrote:
???
versuch' mal rauf zu kommen..


Hi,

aus dem Internet ist die Fritzbox erreichbar ?! Oder was meisnt Du genau ?

Nachtrag: Die Fritzbox mit der IP 192.168.1.2 ist als DMZ in der DD-WRT Einstellung eingetragen. Es soll also auch alles durchgeleitet werden , BIS auf Port 80 Smile. Dieser soll nur aus dem lokalem Netz erreichbar sein.

Gruß

Hawke
Hawke
DD-WRT Novice


Joined: 27 Apr 2012
Posts: 5

PostPosted: Sat Apr 28, 2012 16:21    Post subject: Reply with quote
kodo wrote:
Das wird wieder mal so ein Ratespiel. Ich bin in Versuchung, den Thread zu schließen.


Ok, hier das Szenario was ich erreichen will. Wenn etwas fehlt was zu der Problemlösung hilft, dann bitte sagen.

CISCO Kabelmodem Internet
an ->
TP-Link 1043ND mit DD-WRT und fester IP 192.168.1.1
->
an diesen ist die Fritbox 7270 mit der IP 192.168.1.2 angeschlossen.
Die Fritzbox (192.168.1.2) ist auf dem TP-Link als DMZ gesetzt.

Wenn ich jetzt aus dem Internet eines anderen Anschlusses auf die IP, die das Cisco Modem für den Internetverkehr bekommen hat, zugreife, dann lande ich auf das Webfrontend der Fritzbox.

Dies will ich verhindern, in dem ich dem TP-Link Router sage, das er alle anfragen auf Port 80 AUSSERHALB von 192.168.1.x verwirft.
Somit könnte ich aus dem Heimnetz noch die FritzApps usw. nutzen, aber von ausserhalb wäre das Webinterface nicht erreichbar.

Gruß

Michael
Hawke
DD-WRT Novice


Joined: 27 Apr 2012
Posts: 5

PostPosted: Sun Apr 29, 2012 8:52    Post subject: Reply with quote
kodo wrote:
Mach die DMZ aus. Wozu eigentlich der ganze Aufwand? Was hat die Fritte da zu suchen? Fragen über Fragen ...


Die Fritzbox ist als VOIP Schnittstelle angeschlossen. Richtig rund läuft das aber nur in der DMZ. Von daher würde ich das gerne so lassen.

Gruß

Hawke
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Sun Apr 29, 2012 10:16    Post subject: Reply with quote
Mach mal auf der DD-WRT Konsole
ein
Code:
iptables -vnL FORWARD --line-numbers


du wirst eine Ausgabe wie diese bekommen!
Code:
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 ACCEPT     0    --  br0    br0     0.0.0.0/0            0.0.0.0/0
2        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
3        0     0 lan2wan    0    --  *      *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
5        0     0 logaccept  0    --  *      br0     0.0.0.0/0            192.168.1.2
6        0     0 logaccept  0    --  br0    *       0.0.0.0/0            0.0.0.0/0           state NEW
7        0     0 logdrop    0    --  *      *       0.0.0.0/0            0.0.0.0/0


hier siehst du das Regel Nummer 5 alles in die DMZ durchlässt!

mit einem
Code:
iptables -I FORWARD 4 -p tcp -m tcp  -d 192.168.1.2 --dport 80 -j DROP


kannst du eine DROP regel für PORT 80 -> DMZ genau eine stelle höher einfügen.
Somit sollte PORT 80 für DIE DMZ gesperrt sein.

ACHTUNG!!!
Die Regel ist nicht getestet sollte aber funktionieren!
Die Regel Positionen können bei dir abweichend sein ALSO drauf achten das du die DROP Regel an die Richtige Position bringst!

Wenn du die richtige Position gefunden hast fügst du die Regel unter Administzration -> Commands ein und speicherst sie mit "Save Firewall" ab!

Solltest du die Regel versehentlich an falscher atelle eingefügt haben kannst du sie mit
Code:
iptables -D FORWARD X
wieder löschen ( X steht für die Positions Nummer)
_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
Hawke
DD-WRT Novice


Joined: 27 Apr 2012
Posts: 5

PostPosted: Sun Apr 29, 2012 11:45    Post subject: Reply with quote
Hallo Pepe!

Ich danke Dir vielmals für Deine großartige Hilfe.
Ich habe das eben getestet und es läuft wunderbar und macht genau das was ich auch wollte.

Also nochmals vielen Dank und noch einen schönen Sonntag

Gruß

Hawke
pepe
DD-WRT Guru


Joined: 16 Jun 2006
Posts: 2427
Location: Berlin, Germany

PostPosted: Sun Apr 29, 2012 14:59    Post subject: Reply with quote
Kein ding Wink
_________________
http://www.dd-wrt.com/phpBB2/search.php?
http://www.dd-wrt.com/wiki/index.php/Main_Page
http://www.dd-wrt.com/wiki/index.php/Category:Deutsche_Dokumentation

http://i-use.ipfire.org/profile/454051a193d29c9019ea3d0ce3c4b801435fd682/0.png
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Allgemeine Fragen All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You can attach files in this forum
You can download files in this forum