SPI-Firewall = on, Ping = off, somit befinden sich die Ports laut Online-Scan im Stealtmodus.
Soweit—so gut.
Menüpunkt Port flitering: Hier kann man unter “Src-IP“ die IP des Lan-PC einstellen.
Damit sollen ausgehende Verbindungen unterbunden werden.
Habe mal die Ports 80, 25, 110,143 blockiert.
Email und Web funktioniert trotzdem noch.
Wenn ich Bitcomet starte, habe ich nach ca 3 min einen Downstream von über 300kb/s….?
Ist kein gutes Zeichen hinsichtlich Secrurity.
Stimmt mit der Firewall etwas nicht.
Hat jemand das mal überprüft oder ähnliche Erfahrungen gemacht?
Gruß
veryjo
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Stelle doch nochmal das Port-Filtering ein, probier mal zu surfen und gehe dann mit Telnet/SSH auf den Router und gib mal 'iptables -L -nv' ein.
Dann suchst du nach der Chain 'PORT\_AND\_WEB_FILTER' und dort sollten die Filterregeln stehen und ebenfalls wieviele Pakete diese Regeln bereits gematcht haben. Stehen diese Zaehler auf 0, dann stimmt irgendwas nicht und du solltest vor allem ueberpruefen ob das richtige WAN-Interface eingestellt ist. Wenn du keine Erkenntnisse gewinnst, dann setze mal mit 'nvram set fw_debug=1 && nvram commit' das FW-Debugging an und poste nach einem Routerneusttart die Datei '/var'firewall.log'.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Der Portfilter hat einen Bug. Beim Aufruf von 'iptables' wird '-dports' verwendet. Der Parameter benötigt aber '-m multiport'. '-m multiport' kennt aber keine Portbereiche. Dazu ist der Kernel bzw. iptables zu alt. Das habe ich vor einiger Zeit unter Bug #2839800 beschrieben.
Weiterhin funktioniert entweder nur der Port-Filter oder nur der Web-Filter. Man sollte auch keine Leerzeichen (und Semikolon) in den Feldern der Web-Oberfläche verwenden. Abhilfe bringt Patch #2839794.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Bin etwas beunruhigt!
SPI-Firewall = on, Ping = off, somit befinden sich die Ports laut Online-Scan im Stealtmodus.
Soweit—so gut.
Menüpunkt Port flitering: Hier kann man unter “Src-IP“ die IP des Lan-PC einstellen.
Damit sollen ausgehende Verbindungen unterbunden werden.
Habe mal die Ports 80, 25, 110,143 blockiert.
Email und Web funktioniert trotzdem noch.
Wenn ich Bitcomet starte, habe ich nach ca 3 min einen Downstream von über 300kb/s….?
Ist kein gutes Zeichen hinsichtlich Secrurity.
Stimmt mit der Firewall etwas nicht.
Hat jemand das mal überprüft oder ähnliche Erfahrungen gemacht?
Gruß
veryjo
Stelle doch nochmal das Port-Filtering ein, probier mal zu surfen und gehe dann mit Telnet/SSH auf den Router und gib mal 'iptables -L -nv' ein.
Dann suchst du nach der Chain 'PORT\_AND\_WEB_FILTER' und dort sollten die Filterregeln stehen und ebenfalls wieviele Pakete diese Regeln bereits gematcht haben. Stehen diese Zaehler auf 0, dann stimmt irgendwas nicht und du solltest vor allem ueberpruefen ob das richtige WAN-Interface eingestellt ist. Wenn du keine Erkenntnisse gewinnst, dann setze mal mit 'nvram set fw_debug=1 && nvram commit' das FW-Debugging an und poste nach einem Routerneusttart die Datei '/var'firewall.log'.
hallo coolman,
wan-interface = dsl/ppp
da meine linuxkenntnisse begrentzt sind poste ich einen teil des log:
Chain PORTFW_INPUT (1 references)
pkts bytes target prot opt in out source destination
16872 2681K RETURN all - * * 0.0.0.0/0 0.0.0.0/0
Chain PORT_AND_WEB_FILTER (1 references)
pkts bytes target prot opt in out source destination
23944 4306K tcp - * ppp_1_32_1 192.168.2.133 0.0.0.0/ 0
337K 175M RETURN all - * * 0.0.0.0/0 0.0.0.0/0
Chain SERVICES_INPUT (1 references)
pkts bytes target prot opt in out source destination
16872 2681K RETURN all - * * 0.0.0.0/0 0.0.0.0/0
habe dann "nvram set fwdebug=1 && nvram commit" eingegeben und reebot gemacht.
dann mit putty per ssh eingeloggt und "/var'firewall.log'" eingegeben.
da passiert nichts. es steht lediglich ein > dort.
mache ich etwas falsch oder ist das log-file leer?
muss ich einen editor starten um das log lesen zu können?
zur info: hatte die ports 25,110,80,60 unter "port filtering" gesperrt,
für tcp und udp.
danke für deine hilfe
veryjo
Der Portfilter hat einen Bug. Beim Aufruf von 'iptables' wird '-dports' verwendet. Der Parameter benötigt aber '-m multiport'. '-m multiport' kennt aber keine Portbereiche. Dazu ist der Kernel bzw. iptables zu alt. Das habe ich vor einiger Zeit unter Bug #2839800 beschrieben.
Weiterhin funktioniert entweder nur der Port-Filter oder nur der Web-Filter. Man sollte auch keine Leerzeichen (und Semikolon) in den Feldern der Web-Oberfläche verwenden. Abhilfe bringt Patch #2839794.
danke für die antwort…
wenn ich zwischen port-filter und webfilter wählen kann, nehme ich den port-filter.
ich finde leider nichts über das anscheinend bekannte problem.
wo wurde es beschrieben und wo gibt es einen patch?
kann ich mal nen link haben..?
Patches und Bugs findet man unter Tracker.
hallo, ich habs gefunden (Firewall / iptables - ID: 2839794). doch leider kann ich so wie es da steht nichts damit anfangen.
kann mir jemand das verfahren beschreiben..?
gruß vryjo
Hey Leute,
lasst mich NICHT hängen.
Könnt Ihr mir das ganze etwas eindeutschen. Ich komme so nicht damit klar.
Wäre echt nett von Euch…
Danke und gruß
Veryjo
Solange es kein neues Release gibt, wirst Du Dir das wohl alles selber compilieren müssen.
Hallo und guten Abend,
habe eben das Update auf Vers. 3.6 gemacht…
Alles TOP und super einfach.
Möchte hier auch mal DANKE sagen, an die Entwickler von BS.
Die Firewall macht jetzt das was man ihr "sagt".
Wirklich super, danke…..