Speedtouch 510i Poort Dichtzetten - Netwerken

maandag 2 mei 2005 11:36

Acties:

Verwijderd

Topicstarter

Ik moet een bepaalde poorten van binnen naar buiten dichtzitten in de router.
Standaard staat alles van buiten naar binnen dicht.

Ik kan hier geen mogelijkheden voor vinden, handleidingen maken me ook niet echt wijzer.

Toen heb ik nog de helpdesk gebelt van speedtouch. Maar dat was echt om te huilen.
Weet iemand hoe dit moet ?

maandag 2 mei 2005 11:44

Acties:

gertjan!

Je kunt dmv de ingebouwde firewall poorten blokkeren. Daarvoor is een tooltje beschikbaar om het zonder telnet te doen, het staat op de site softwaretool.nl

maandag 2 mei 2005 11:45

Acties:

Verwijderd

log in op 10.0.0138
daar vind je de instellingen.

Als dat is wat je bedoelt.....

maandag 2 mei 2005 11:46

Acties:

ArieR

Als je geen poorten forward, staat er ook niks open naar buiten.

maandag 2 mei 2005 11:51

Acties:

Edwin van Cleef

Werk veilig of werk niet

je kan met de speedtouch zover ik weet geen poorten van binnen naar buiten uitschakelen.
andersom gaat wel.
die helpdesk van speedtouch vind ik nog wel meevallen als je de helpdesk van internet van KPN opbelt en je geeft aan dat je linux gebruikt is de medewerking opeens beeindigd
ze wisten niet eens wat telnet was

computer voor alle werkzaamheden

maandag 2 mei 2005 11:51

Acties:

Voutloos

-GuRu- schreef op maandag 02 mei 2005 @ 11:46:
Als je geen poorten forward, staat er ook niks open naar buiten.

Standaard weet de router niet waar de pakketjes van buitenaf heenmoeten vanwege de NAT en het ontbreken van een glazen bol. Alle pakketjes mogen daarentegen wel standaard van binnen naar buiten.

De firewall van de 510 is gewoon beperkt configureerbaar via de web interface (hoogstens alles wat een logisch gevolg van NAT is, is aanwezig)

{signature}

maandag 2 mei 2005 11:53

Acties:

2bme

Oude Tweakers addict...

-GuRu- schreef op maandag 02 mei 2005 @ 11:46:
Als je geen poorten forward, staat er ook niks open naar buiten.

Dan staat er niets open naar binnen denk ik dat je bedoelt, maar de TS wil dingen van binnen naar buiten dicht hebben staan?

Heel lang geleden dat ik op een speedtouch interface heb gezeten, maar kon je niet wanneer je inlogde op http://10.0.0.38 bepaalde poorten blokkeren? Of was dat alleen specifieke website's.

Maar anders misschien gaan denken aan een personal firewall op de pc zelf?

I used to be schizofrenic, but we're oke now... ;)

maandag 2 mei 2005 12:58

Acties:

leuk_he

1. Controleer de kabel!

manual helpt:
http://www.speedtouch.nl/...s/AppNote_Firewalling.pdf

Let op dit is de firewall wat iets anders is als NAT!

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 2 mei 2005 13:47

Acties:

Verwijderd

Topicstarter

leuk_he schreef op maandag 02 mei 2005 @ 12:58:
manual helpt:
http://www.speedtouch.nl/...s/AppNote_Firewalling.pdf

Let op dit is de firewall wat iets anders is als NAT!

This application note applies to all Release R4.2 SpeedTouch™600 Business DSL Routers.

maandag 2 mei 2005 14:02

Acties:

leuk_he

1. Controleer de kabel!

ik heb hem hier vandaan:
http://www.speedtouch.nl/documents.html

Daar staat hij toch wel degelijk OOK onder de 5x0 series Aangezien op de speedtouch 510 OOk Rel 42 draaid geef ik je een goede kans dat het hier ook werkt.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

maandag 2 mei 2005 14:05

Acties:

Paul

Je kunt naar een 510 telnetten en dan commando's geven

Eentje die hier in de Speedtouch staat:

code:

1 2	firewall rule create chain=forward index=0 src=!ip.ad.dr.es prot=tcp dstport=22 action=reject nat create protocol=tcp inside_addr=10.0.0.252:22 outside_addr=0.0.0.0:22

waardoor je alleen vanaf een bepaald IP van buiten naar binnen mag via SSH.

Andere firewall rules zijn ook wel te verzinnen. Ik heb de CLI manual (of telnet manual, staat iig op de speedtouch-site) niet bij de hand dus ik gok even dat de volgende regel ook wel werkt:

code:

1	firewall rule create chain=forward index=0 prot=tcp dstport=22 action=reject

zodat er geen enkel SSH-verkeer door de router nodig is.

Hoe je nu zorgt dat je bijvoorbeeld wel naar binnen maar niet naar buiten kunt SSH-en zal vast wel in die manual staan

Edit: via de link in de post hierboven: http://www.speedtouch.nl/docs/CLIguide_510_427.pdf voor firmware R4.2

Edit2: om de richting te bepalen moet je srcinfgrp in je firewall rule gebruiken zie ik in die manual

[ Voor 14% gewijzigd door Paul op 02-05-2005 14:08 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 4 mei 2005 14:35

Acties:

Verwijderd

Topicstarter

Paul Nieuwkamp schreef op maandag 02 mei 2005 @ 14:05:
Je kunt naar een 510 telnetten en dan commando's geven

Eentje die hier in de Speedtouch staat:
code:
1
2
firewall rule create chain=forward index=0 src=!ip.ad.dr.es prot=tcp dstport=22 action=reject
nat create protocol=tcp inside_addr=10.0.0.252:22 outside_addr=0.0.0.0:22
waardoor je alleen vanaf een bepaald IP van buiten naar binnen mag via SSH.

Andere firewall rules zijn ook wel te verzinnen. Ik heb de CLI manual (of telnet manual, staat iig op de speedtouch-site) niet bij de hand dus ik gok even dat de volgende regel ook wel werkt:
code:
1
firewall rule create chain=forward index=0 prot=tcp dstport=22 action=reject
zodat er geen enkel SSH-verkeer door de router nodig is.

Hoe je nu zorgt dat je bijvoorbeeld wel naar binnen maar niet naar buiten kunt SSH-en zal vast wel in die manual staan

Edit: via de link in de post hierboven: http://www.speedtouch.nl/docs/CLIguide_510_427.pdf voor firmware R4.2

Edit2: om de richting te bepalen moet je srcinfgrp in je firewall rule gebruiken zie ik in die manual

Hallo ik ben nu al een paar dagen aan het testen met die manual ik snap er echt niks van.
Ik krijg er die rule echt niet voorelkaar, zou je me even kunnen helpen?

Ik heb hier het betreffende stukje uit de handleiding geknipt, je moet zoveel variabelen invullen die ik niet snap? ook al staan ze beschreven.

Create a rule.

Note If a value is preceded by a “!”, it means "NOT".
E.g. "dstintfgrp=!wan" means "if dstintfgrp is different from WAN".

where:
firewall rule create chain = forward
[index = 0
[srcintf [!]= lan
[srcintfgrp [!]= lan
[src [!]= 0.0.0.0.
[dstintf [!]= wan
[dstintfgrp [!]= wan
[dst [!]= 0.0.0.0
[tos [!]= <number{1-255}>]
[precedence [!]= <number{0-7}>]
[dscp [!]= <number{0-63}>]
[prot [!]= <{<supported IP protocol name>|<number>}>]
[syn = <yes|no>]
[urg = <yes|no>]
[ack = <yes|no>]
[srcport [!]= <{<supported TCP/UDP port name>|<number>}>]
[srcportend = <{<supported TCP/UDP port name>|<number>}>]
[dstport [!]= <{<supported TCP/UDP port name>|<number>}>]
[dstportend = <{<supported TCP/UDP port name>|<number>}>]
[icmptype [!]= <{<supported ICMP type name>|<number>}>]
[icmpcode [!]= <number{0-15}>]
[icmpcodeend = <number{0-15}>]
[clink = <string>]
[log = <{no|yes}>]
action = <{accept|deny|drop|count}>

chain The name of the chain in which the rule must be inserted. REQUIRED
index The number of the rule before which the new rule must be added. OPTIONAL

srcintf The name of the interface the packet should [or should NOT] arrive on to make this rule apply.

srcintfgrp The interface group the packet should [or should NOT] arrive on.
Choose between:
• wan
• local
• lan.
Note NOT applicable if used in a chain assigned to the output hook.

src The source IP address (range) the packet should [or should NOT]
come from. (Supports cidr notation).

dstintf The name of the interface the packet should [or should NOT] be
going to.
Note NOT applicable if used in a chain assigned to the output hook.

dstintfgrp The interface group the packet should [or should NOT] be going to.
Choose between:
• wan
• local
• lan.
Note NOT applicable if used in a chain assigned to the output hook.

dst The destination IP address (range) the packet should [or should
NOT] be going to (supports cidr notation).

precedence A number between 0 and 7.
Represents the precedence in the IP packet (part of tos).

dscp A number between 0 and 63.
Represents the DSCP in the IP packet (part of tos).

tos A number between 0 and 255.
Represents the Type Of Service specification which should be
expected [or NOT expected] in the IP packet. The Type of Service
numbering specification is in accordance to the latest version of
RFC1700: Assigned numbers.

prot The protocol (name or number) expected [or NOT expected] in
the IP packet.
Choose between:
• icmp
• igmp
• ipinip
• tcp
• udp
• ah
• esp
• ipcomp
or, alternatively, specify the protocol number.

syn Expect TCP SYN flag set (yes) or not (no).
In combination with TCP ACK, this allows selection of incoming
versus outgoing TCP connections.
OPTIONAL

urg Expect TCP URG flag set (yes) or not (no). OPTIONAL

ack Expect TCP ACK flag set (yes) or not (no). OPTIONAL

srcport The TCP/UDP port (or beginning of range) the packet should [or should NOT] be from.
Select one of the supported TCP/UDP port names (See
“ Supported TCP/UDP Port Names” on page 412 for a listing of
TCP/UDP port names supported by the SpeedTouch™).
Alternatively, specify the protocol number.

srcportend The source TCP/UDP port range end (inclusive)(Only applicable for
ranges).
Select one of the supported TCP/UDP port names (See
“ Supported TCP/UDP Port Names” on page 412 for a listing of
TCP/UDP port names supported by the SpeedTouch™).
Alternatively, specify the protocol number.

dstport The TCP/UDP port (or beginning of range) the packet should [or
should NOT] be going to.
Select one of the supported TCP/UDP port names (See
“ Supported TCP/UDP Port Names” on page 412 for a listing of
TCP/UDP port names supported by the SpeedTouch™).
Alternatively, specify the protocol number.

dstportend The destination TCP/UDP port range end (inclusive) (Only
applicable for ranges).
Select one of the supported TCP/UDP port names (See
“ Supported TCP/UDP Port Names” on page 412 for a listing of
TCP/UDP port names supported by the SpeedTouch™).
Alternatively, specify the protocol number.

icmptype The expected [or NOT expected] ICMP type (name or number) of
the packet.
Select one of the supported ICMP type names (See “ Supported
ICMP Type Names” on page 415 for a listing of ICMP type names
supported by the SpeedTouch™).
Alternatively, specify the protocol number.

icmpcode A number between 0 and 15.
Represents the expected [or NOT expected] ICMP code (or
beginning of range) of the packet as specified in the latest version of
RFC1700: Assigned numbers.

icmpcodeend A number between 0 and 15.
Represents the ICMP code range end.
Only applicable for ranges.

clink The name of the chain to be parsed when this rule applies (action is ignored).

log Logging is done when this rule applies.

action Action to be taken when this rule applies.
Choose between:
• accept: the packet may pass.
• deny: ICMP error destination unreachable. An error message is sent
back to the sender.
• drop: packet disappears. It is silently dropped, i.e. without sending an
error message to the sender.
• count: update of statistics. Has no influence on the packet.

firewall rule clear Clear statistics for a given rule.
firewall rule delete Delete a specified rule in a chain.
firewall rule flush Delete all rules in a chain.
firewall rule list Show a list of all (or a specified) chains' rules.
firewall rule stats Show statistics for all (or a specified) chains' rules.

woensdag 4 mei 2005 15:33

Acties:

Paul

Verwijderd schreef op woensdag 04 mei 2005 @ 14:35:
Hallo ik ben nu al een paar dagen aan het testen met die manual ik snap er echt niks van.
Ik krijg er die rule echt niet voorelkaar, zou je me even kunnen helpen?

Ja hoor

Maar de meeste hulp die kan bieden komt van begrijpend Engels lezen, niet uit ervaring, zo vaak heb ik het niet gedaan

Je wilt een regel die alles dropt dat naar een bepaalde doelpoort gaat op je externe verbinding:
Als doelinterface=wan en doelpoort="weer ik het" dan actie=reject...

code:

1	firewall rule create dstintf=wan dstport="weet ik het" action=reject

Dat is de basis van je regel. Maar hij moet nog weten in welke ketting het moet (eigenlijk altijd forward):

code:

1	firewall rule create chain=forward dstintf=wan dstport="weet ik het" action=reject

Ja maar hij moet aan het begin van de ketting, want anders is er misschien een andere regel die deze regel gaat verkloten:

code:

1	firewall rule create chain=forward index=0 dstintf=wan dstport="weet ik het" action=reject

Eventueel kun je er nog het protocol opgeven (vaak tcp of udp, af en toe icmp en zelden een van de anderen) (kan zelfs zijn dat deze verplicht is, dat weet ik zo niet):

code:

1	firewall rule create chain=forward index=0 dstintf=wan prot=tcp dstport="weet ik het" action=reject

Dat zou hem dan moeten zijn

Ipv "weet ik het" vul je uiteraard het gewenste poortnummer is

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 6 mei 2005 08:47

Acties:

Verwijderd

Topicstarter

Nu heb ik dus die rule aangemaakt, maar ik kan nog steeds ftp-en ???

Als ik het commando list geef, zie ik ook niet de rule staan klopt dit ?

Afbeeldingslocatie: http://www.clooser.nl/download/firewall.JPG

Afbeeldingslocatie: http://www.clooser.nl/download/firewall.JPG

zondag 8 mei 2005 17:05

Acties:

Verwijderd

Topicstarter

niemand een idee ?

dinsdag 10 mei 2005 00:11

Acties:

Verwijderd

Topicstarter

paul ?

dinsdag 10 mei 2005 09:12

Acties:

Paul

met "firewall rule list" zie je de rules

Je kunt zelfs een chain opgeven ("chain=..." erachter zetten) om zo het aantal resultaten wat te beperken

Ik heb inderdaad jouw regel zonder succes getest. Vervang je echter dstintf door dstintfgrp dan werkt het wel

[c]firewall rule create chain=forward index=0 dstintfgrp=wan prot=tcp dstport=ftp action=reject[/c]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock