Fritz!Box und firewall

[Alexander Goetzenstein]

Hallo,
meinen Heimserver möchte ich gern gegenüber dem bösen Internet sicher
abgeschottet wissen. Wenn ich dazu die Fritz!Box hernehme und den Server
auf "gesperrt" setze, kommt bei der Prüfung auf dem Server noch
folgendes heraus:

> ping -c 4 heise.de
> PING heise.de (193.99.144.80) 56(84) Bytes an Daten.
> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=1 Paket gefiltert
> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=2 Paket gefiltert
> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=3 Paket gefiltert
> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=4 Paket gefiltert
>
> --- heise.de ping-Statistik ---
> 4 Pakete übertragen, 0 empfangen, +4 Fehler, 100% packet loss, time 3005ms

Das irritiert mich etwas, denn wie ich es verstehe, antwortet mir da
eine externe Adresse, auch wenn es nicht die Zieladresse ist. So ganz
ahnungslos kommt es mir vor, als würde die Fritz!Box lediglich dem
Provider mitteilen, dass er filtern solle, und dieser bestätigt das
dann. Wenn das so wäre (was ich nicht weiß), wäre es nicht ganz das, was
ich erwartet hätte.


Wenn ich stattdessen auf dem Server die Route verbiege (default route
lösche bzw. lokal setze), sieht es anders aus:

> ping -c 4 heise.de
> PING heise.de (193.99.144.80) 56(84) Bytes an Daten.
>
> --- heise.de ping-Statistik ---
> 4 Pakete übertragen, 0 empfangen, 100% packet loss, time 3061ms

Was ist davon zu halten? Ist die Fritz!Box sicher, oder sollte ich
stattdessen mit der route rumpfuschen, oder beides?


--
Gruß
Alex

[Günter Frenz]

Am Thu, 15 Dec 2022 15:43:52 +0100 schrieb Alexander Goetzenstein:

> Hallo,
> meinen Heimserver möchte ich gern gegenüber dem bösen Internet sicher
> abgeschottet wissen. Wenn ich dazu die Fritz!Box hernehme und den
> Server auf "gesperrt" setze, kommt bei der Prüfung auf dem Server noch
> folgendes heraus:
>
> > ping -c 4 heise.de
> > PING heise.de (193.99.144.80) 56(84) Bytes an Daten.
> > Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182)
> > icmp_seq=1 Paket gefiltert Von
> > ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=2
> > Paket gefiltert Von ip1f13fdb6.dynamic.kabel-deutschland.de
> > (31.19.253.182) icmp_seq=3 Paket gefiltert Von
> > ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=4
> > Paket gefiltert
> >
> > --- heise.de ping-Statistik ---
> > 4 Pakete übertragen, 0 empfangen, +4 Fehler, 100% packet loss, time
> > 3005ms

Für mich sieht das so aus, als würde dir die Fritzbox mitteilen, dass
sie filtert. IP und Rechnername sind vermutlich die externe IP der
Fritzbox und deren zugehöriger DNS-Name.

> Das irritiert mich etwas, denn wie ich es verstehe, antwortet mir da
> eine externe Adresse, auch wenn es nicht die Zieladresse ist. So ganz
> ahnungslos kommt es mir vor, als würde die Fritz!Box lediglich dem
> Provider mitteilen, dass er filtern solle, und dieser bestätigt das
> dann. Wenn das so wäre (was ich nicht weiß), wäre es nicht ganz das,
> was ich erwartet hätte.
>
>
> Wenn ich stattdessen auf dem Server die Route verbiege (default route
> lösche bzw. lokal setze), sieht es anders aus:
>
> > ping -c 4 heise.de
> > PING heise.de (193.99.144.80) 56(84) Bytes an Daten.
> >
> > --- heise.de ping-Statistik ---
> > 4 Pakete übertragen, 0 empfangen, 100% packet loss, time 3061ms
>
> Was ist davon zu halten? Ist die Fritz!Box sicher, oder sollte ich
> stattdessen mit der route rumpfuschen, oder beides?

Da stellt sich erst mal die Frage, was genau du erreichen willst. Wenn
das klar ist, kannst du auch eine entsprechende Regel in der Firewall
definieren. Soll der Heimserver selbst gar keinen Kontakt mit der
Außenwelt haben? Also auch selbst nichts von draußen holen können? Oder
soll er doch Updates von externen Servern beziehen können? Bei
letzterem Fall frage ich mich, was es bringt, wenn er nicht nach außen
pingen kann...

Günter

[Marco Moock]

Am 15.12.2022 um 15:43:52 Uhr schrieb Alexander Goetzenstein:

> Das irritiert mich etwas, denn wie ich es verstehe, antwortet mir da
> eine externe Adresse, auch wenn es nicht die Zieladresse ist. So ganz
> ahnungslos kommt es mir vor, als würde die Fritz!Box lediglich dem
> Provider mitteilen, dass er filtern solle, und dieser bestätigt das
> dann. Wenn das so wäre (was ich nicht weiß), wäre es nicht ganz das,
> was ich erwartet hätte.

Das ist erwartetes Verhalten, denn das ICMP-Paket teilt dem Absender
der Anfrage mit, dass gefiltert wird. Das ist wesentlich besser, als
wenn das nur gedroppt wird, weil so kein Timeout entsteht, sondern der
Rechner weiß, was Sache ist.

Die IP kommt daher, weil dein Router diese wohl als WAN-IP hat und dann
nimmt, weil die FW erst am Transportnetz ins Internet filtert.

Dir sollte bei sowas aber klar sein, dass der keine Updates mehr machen
kann, was ein Risiko darstellt.

[Marco Moock]

Am 15.12.2022 um 16:12:02 Uhr schrieb Günter Frenz:

> Für mich sieht das so aus, als würde dir die Fritzbox mitteilen, dass
> sie filtert. IP und Rechnername sind vermutlich die externe IP der
> Fritzbox und deren zugehöriger DNS-Name.

Jup.

ping macht eine Rückwärtsauflösung (PTR-Record zu
Reverse-Zone-Domainname).

Aus der Manpage:

-n
Numeric output only. No attempt will be made to lookup
symbolic names for host addresses.

[Alexander Goetzenstein]

Hallo,

Am 15.12.22 um 16:12 schrieb Günter Frenz:

> Für mich sieht das so aus, als würde dir die Fritzbox mitteilen, dass
> sie filtert. IP und Rechnername sind vermutlich die externe IP der
> Fritzbox und deren zugehöriger DNS-Name.

stimmt, gerade noch mal nachgesehen: das ist die IP, die Vodafone der FB
im Moment zugewiesen hat.

> Da stellt sich erst mal die Frage, was genau du erreichen willst. Wenn
> das klar ist, kannst du auch eine entsprechende Regel in der Firewall
> definieren. Soll der Heimserver selbst gar keinen Kontakt mit der
> Außenwelt haben? Also auch selbst nichts von draußen holen können?

Genau dies: komplett offline, abgeschottet.

> Oder
> soll er doch Updates von externen Servern beziehen können?

Das will ich nur bei Bedarf einschalten.

> Bei
> letzterem Fall frage ich mich, was es bringt, wenn er nicht nach außen
> pingen kann...

Ping war nur als einfache Prüfung gedacht: solange ping durchgeht, kann
die Abschottung nicht gegeben sein, so mein Gedanke.


--
Gruß
Alex

[Alexander Goetzenstein]

Hallo,

Am 15.12.22 um 17:58 schrieb Marco Moock:

> Dir sollte bei sowas aber klar sein, dass der keine Updates mehr machen
> kann, was ein Risiko darstellt.

in einer abgeschotteten Umgebung halte ich das Risiko für überschaubar,
eigentlich nicht gegeben.



--
Gruß
Alex

[Marco Moock]

Wenn in dieser Umgebung mal ein Rechner gehackt wurde und dann andere
betroffen sind, die nicht gepatched wurden, wirst du das ggf.
überdenken.

[Paul Muster]

Am 15.12.2022 um 15:43 schrieb Alexander Goetzenstein:

> meinen Heimserver möchte ich gern gegenüber dem bösen Internet sicher
> abgeschottet wissen. Wenn ich dazu die Fritz!Box hernehme und den Server
> auf "gesperrt" setze, kommt bei der Prüfung auf dem Server noch
> folgendes heraus:
>
>> ping -c 4 heise.de
>> PING heise.de (193.99.144.80) 56(84) Bytes an Daten.
>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=1 Paket gefiltert
>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=2 Paket gefiltert
>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=3 Paket gefiltert
>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=4 Paket gefiltert
>>
>> --- heise.de ping-Statistik ---
>> 4 Pakete übertragen, 0 empfangen, +4 Fehler, 100% packet loss, time 3005ms

Au Sch....!
Du solltest unbedingt Norton Internet Security *UND* Zonealarm
installieren!!1111elf Nur dann bist du richtig
stealth!!!!!!!!1111111111111111111111


*SCNR* & mfG Paul, hach, waren das noch Zeiten ;-)

[Herrand Petrowitsch]

Marco Moock schrieb:
> Alexander Goetzenstein:

>> Marco Moock:

>>> Dir sollte bei sowas aber klar sein, dass der keine Updates mehr
>>> machen kann, was ein Risiko darstellt.
>>
>> in einer abgeschotteten Umgebung halte ich das Risiko für
>> überschaubar, eigentlich nicht gegeben.

Leider halten sich derlei Maerchen ziemlich hartnaeckig und werden damit
nicht richtiger, denn:

> Wenn in dieser Umgebung mal ein Rechner gehackt wurde und dann andere
> betroffen sind, die nicht gepatched wurden, wirst du das ggf.
> überdenken.

Ebend, nur zum Beispiel.

Diese Aussage laesst sich ohne weiteres auch auf (mehr oder weniger
analoge) Transfers via externer Datentraeger ausdehnen ...

Gruss Herrand
--
Emails an die angegebene Adresse werden gelegentlich sogar gelesen.

[Alexander Goetzenstein]

Hallo,

Am 16.12.22 um 13:15 schrieb Marco Moock:

> Wenn in dieser Umgebung mal ein Rechner gehackt wurde und dann andere
> betroffen sind, die nicht gepatched wurden, wirst du das ggf.
> überdenken.

da im konkreten Fall kein direkter Zugriff im Sinne eines Netzlaufwerks
o.ä. besteht, sondern nur Datensicherung (unison und borg) gemacht wird,
wähne ich mich dennoch sicher. Ich möchte aber sichergehen, dass nicht
von außen auf anderem Weg darauf zugegriffen wird.


--
Gruß
Alex

[Marco Moock]

Am 16.12.2022 um 15:12:10 Uhr schrieb Alexander Goetzenstein:

> Ich möchte aber sichergehen, dass nicht
> von außen auf anderem Weg darauf zugegriffen wird.

Dann ist eine SPI-Firewall für dich passend. Die lässt von außen nur
Pakete durch, die angefragt wurden, beim Rest kommt ein ICMP-Paket
(administratively phohibited).

[Kay Martinen]

Am 16.12.22 um 14:06 schrieb Paul Muster:

> Am 15.12.2022 um 15:43 schrieb Alexander Goetzenstein:
>
>> meinen Heimserver möchte ich gern gegenüber dem bösen Internet sicher
>> abgeschottet wissen. Wenn ich dazu die Fritz!Box hernehme und den Server
>> auf "gesperrt" setze, kommt bei der Prüfung auf dem Server noch
>> folgendes heraus:
>>
>>> ping -c 4 heise.de
>>> PING heise.de (193.99.144.80) 56(84) Bytes an Daten.
>>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=1 Paket gefiltert
>>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=2 Paket gefiltert
>>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=3 Paket gefiltert
>>> Von ip1f13fdb6.dynamic.kabel-deutschland.de (31.19.253.182) icmp_seq=4 Paket gefiltert
>>>
>>> --- heise.de ping-Statistik ---
>>> 4 Pakete übertragen, 0 empfangen, +4 Fehler, 100% packet loss, time 3005ms

Das heißt übrigens nur das ICMP gefiltert wird. Ob UDP/TCP noch
durchgeht oder geblockt wird ist eine Andere Frage.

> Au Sch....!
> Du solltest unbedingt Norton Internet Security *UND* Zonealarm
> installieren!!1111elf Nur dann bist du richtig
> stealth!!!!!!!!1111111111111111111111

Hey, du hast den Rat vergessen das dann mit "ShieldsUp!" auch noch zu
testen. Latürnicht von genau dem PC aus aus/auf dem man das machte. ;-)

> *SCNR* & mfG Paul, hach, waren das noch Zeiten ;-)

Ja, war's. Ein Betrübssystem das mehr Loch als sonst was ist. Absichern
durch noch mehr Software mit noch_mehr_loch Inside... :)

Wenn man bedenkt das erst XP etwas "handhabbares" an Firewall mit brachte.

BTW. Er schrieb nichts davon welches OS er auf seinem Heimserver
einsetzt oder hab ich das überlesen?

Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

[Alexander Goetzenstein]

Hallo,

Am 21.01.23 um 15:35 schrieb Kay Martinen:

> Er schrieb nichts davon welches OS er auf seinem Heimserver
> einsetzt oder hab ich das überlesen?

da es interessiert, liefere ich es nach: hier läuft Linux, in Gestalt
von openSUSE Tumbleweed.


--
Gruß
Alex