Firewall mit erweiterter Sicherheit - Serverprogramme auf LAN beschraenken
-
Kann das Ding auch HUAWEI-Sticks leiden?
Die von dir gennante war ja ueber 100 Euro teuer und hatten auch noch WLAN, was ich nicht mal brauch (und wegen der Moeglichkeit ungewollt andere mitsurfen zu lassen auch gar nicht moechte).
-
Die Fritzboxen, die das können sind bei wikipedia mit einer 2) bei USB Host Version markiert:
http://de.wikipedia.org/wiki/FRITZ!Box#Produktlinien...die 2170 ist nicht dabei
-
Jonas OSDever schrieb:
Kann das Ding auch HUAWEI-Sticks leiden?
Die von dir gennante war ja ueber 100 Euro teuer und hatten auch noch WLAN, was ich nicht mal brauch (und wegen der Moeglichkeit ungewollt andere mitsurfen zu lassen auch gar nicht moechte).z.T. WLAN: du bekommst halt kaum ordentliche Router die kein WLAN haben. Kannst es ja einfach abdrehen wenn du es nicht brauchst. Und die mit WLAN sind auch nicht wirklich teurer, eher sogar umgekehrt.
Was hast du gegen den Linksys E3000 den ich vorgeschlagen habe? Ich hab' den selbst mit Tomato Firmware laufen, und das haut prima hin. (Ob er mit Original-Firmware was mit einem UMTS Modem anfangen kann weiss nicht nicht, mit passender Tomato Firmware laut Internet schon).
-
Hatte noch keine Zeit den Linksys anzuschauen, deswegen konnte ich dazu noch nix sagen.
Sieht aber ganz gut aus. Und fuer 90 Euro (wie kriegt man auf einer Ami-Tastatur ein Eurozeichen hin?) anscheinend ein ganz gutes Angebot. Wird so zeitnah wie moeglich bestellt.
Was istn der Unterschied zw Tomato und Standard-Firmware?
-
€90 würde ich nicht zahlen, den gibt's derzeit auch schon für unter €70
http://geizhals.at/de/570767Der Unterschied zwischen normaler und Tomato Firmware ist... die Tomato hat ein hübscheres Web Frontend
Ne, ernst, die kann einfach viel mehr.Und vor allem kann sie ordentlich QoS machen. D.h. volle Kanne Download über HTTP und/oder P2P und trotzdem ohne nennenswerten Lag Surfen. Auch mit mehreren PCs gleichzeitig. Was das Ding inetwa kann, was es für verschiedene Builds gibt, und was die wiederum können kannst du hier finden:
http://en.wikipedia.org/wiki/Tomato_(firmware)
In der Feature Matrix steht auch welche Builds USB 3G Modems unterstützen.
Bzw. auf der TomatoUSB Homepage: http://tomatousb.org/
Aber Achtung: ich persönlich hab' den E3000 nicht mit einem UMTS Stick laufen (ich hab zwar den E3000 mit TomatoUSB, bin auch sehr zufrieden damit, hab aber keinen UMTS Stick, kann es also auch nicht ausprobieren). Ich kann also nicht *garantieren* dass es auch funktioniert.
----
Ich persönlich verwende den Toastman Build. Der kann alles was ich brauche, und 3G Modem kann er laut Webseite auch (ich hab auch ne Option "USB 3G Modem support" im "USB Support" Menu, kanns aber wie gesagt nicht ausprobieren):
http://toastmanfirmware.yolasite.com/
Wenn du den verwenden willst, die Files liegen momentan hier:
http://www.mediafire.com/?88t1vzzcgrphx#4v25ye54j4tdd
Ich würde entweder das tomato-E3000USB......-RT-Ext.bin bzw. das tomato-E3000USB......-RT-VPN.bin File nehmen - je nachdem ob du VPN Support brauchst.
Die Shibby und Teaman Builds dürften auch gut sein, hab zumindest schon öfter Beiträge von zufriedenen Usern in diversen Foren gelesen.
ps: und das unerwünschte WLAN kannst du deaktivieren, sind bloss zwei Checkboxen. Ansonsten einfach verwenden, WLAN is kuhl, und mit WPA2/AES auch ausreichend sicher.
-
Ok, dann werd ich wohl das Ding kaufen und Tomato drauf laufen lassen. Eine Frage sei mir noch erlaubt: Wenn das ne Linux-Distri ist muesste man doch theoretisch auch Programme zum laufen bringen. Wenn alle Stricke reissen koennte ich ja dann immernoch die Linux-Variante von MWConn zum laufen bringen...
EDIT: Und kriegt man, falls es Probleme gibt, auch die Originalfirmware wieder drauf?
-
Programme laufen lassen... pfuh, ja, geht schon, aber ich hab keine Ahnung wie viel Aufwand das ist.
Original Firmware bekommt man wieder drauf, ja.
-
Gut, Router kommt hoffentlich morgen an (wenn DHL nicht wieder den Expressversand verbockt
).Schonmal danke an alle, die mir geholfen haben, insbesondere an dich, hustbear.
-
hustbaer schrieb:
Programme laufen lassen... pfuh, ja, geht schon, aber ich hab keine Ahnung wie viel Aufwand das ist.
Bei Tomato solala. Interessant wird natuerlich sein, ob das Tool ueberhaupt fuer die richtige Architektur verfuegbar ist.
-
Grad nochmal nachgeguckt, scheint nur auf Ubuntu zu laufen -.-
Naja, solange der Toastmann das richtig managet, besteht ja auch kein Bedarf nach dem Extra-Tool.
-
Jonas OSDever schrieb:
Grad nochmal nachgeguckt, scheint nur auf Ubuntu zu laufen -.-
Ich meinte mehr die CPU-Architektur denn die Distro. Welche Distros supported werden ist nicht so wichtig dafuer, fuer welche Distros sich das Ding zurechtbasteln laesst. Wenn es das Ding aber nur fuer x86-CPUs gibt, waere das ein ziemlicher Hemmschuh.
-
Jonas OSDever schrieb:
Gut, Router kommt hoffentlich morgen an (wenn DHL nicht wieder den Expressversand verbockt
).Und, angekömmt?
-
Jo.
Tomate ist auch schon reingequetscht worden, nur die Internetverbindung will noch nicht richtig. Stick zeigt "Verbunden" an, Tomate zeigt verbunden an, aber ich konnte nicht surfen und Pings haben auch nicht geklappt. Ich bin mir nicht sicher, aber ich glaube das liegt daran, dass ich noch keinen DNS-Server eingetragen hab.
Ich wollte mal versuchen dierekt auf die IPs zuzugreifen, kam aber (krankheitsbedingt) noch nicht dazu. Werds aber gleich mal ausprobieren.EDIT: Hat nich geklappt
Wahrscheinlich muss ich noch iwas einstellen. Bei Routern bin ich halt noch absoluter Noob. Bin erstmal googeln 
-
Waaaaaaaaah, hoffentlich hab' ich dir da jetzt keinen Mist aufgeschwatzt
(Also Mist ist der E3000 sicher nicht, aber ... hoffentlich bekommst du das 3G Modem zum laufen!)Jonas OSDever schrieb:
krankheitsbedingt
Gute Besserung!
EDIT: Hat nich geklappt
Wahrscheinlich muss ich noch iwas einstellen. Bei Routern bin ich halt noch absoluter Noob. Bin erstmal googeln Ja, mach das mal!
Oder probier mal nen Shibby Build:
-
Sorry fuer die diesmal wirklich verspaetete Antwort, aber ich hab mich erstmal etwas kuriert anstatt am Router rumzuwerkeln.
Mit dem Shibby-Build hats jetzt geklappt. Die Einstellungen sind unveraendert uebernommen. Scheinbar war das Feature bei Toastman noch im Test... egal, Hauptsache es laeuft.
Aber jetzt muss ich wieder Noobfragen stellen (bitte nich hauen). Wie funktioniert das jetzt genau mit der Firewall, bzw. wie sage ich was durch darf und was nicht? Advanced>Firewall scheint irgendwie nicht die Einstellung zu sein die ich haben will...
P.S.: Wenn die Seite, um den aktuellen Datenverbrauch abzurufen (pass.telekom.de) einwandfrei funktioniert habe ich auch die richtige APN angegeben, oder (wg. moeglicherweise extremen Kosten bei fehlerhafter APN)?
-
Ok, mittlerweile hab ich rausgefunden, dass ich mit iptables arbeiten muss.
Allerdings hab ich grad anscheinend Mist gebaut, da ich ins Firewallscript eingetragen habe, dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt) und mich scheinbar selber ausgesperrt habe.
Kann man das irgendwie geradebiegen?EDIT: Mit dem Telnet-Daemnon auf Port 233 komm ich anscheinend auch nicht mehr drauf.
-
Jonas OSDever schrieb:
Wie funktioniert das jetzt genau mit der Firewall, bzw. wie sage ich was durch darf und was nicht?
Standardmaeszig geht doch eh nix durch. Da musst du ueberhaupt nichts umstellen.
Allerdings hab ich grad anscheinend Mist gebaut, da ich ins Firewallscript eingetragen habe, dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt) und mich scheinbar selber ausgesperrt habe.
Kann man das irgendwie geradebiegen?Ja, aber nicht via Netzwerk. Router neustarten, normalerweise sollten die iptables-Regeln nicht automatisch gesichert und wiederhergestellt werden.
Ansonsten ueber eine serielle Konsole oae.
-
Neugestartet hab ich ihn schon... und leider wird das Firewallscript beim Start ausgefuerht.
nman schrieb:
Standardmaeszig geht doch eh nix durch. Da musst du ueberhaupt nichts umstellen.
Aber beim ausfuehren von iptables -L meinte er bei INPUT u.a.:
source anywhere dest anywhere prot all ACCEPT(genaue Formatierung kann ich gerade nicht angeben, weil ich ja keinen Zugriff mehr habe)
nman schrieb:
Ansonsten ueber eine serielle Konsole oae.
Geht das dann ueber RS-232? Entsprechende Schnittstelle hab ich am Computer, aber wo soll ich das am Router rankoppeln?
-
Mit dem Shibby-Build hats jetzt geklappt. Die Einstellungen sind unveraendert uebernommen. Scheinbar war das Feature bei Toastman noch im Test... egal, Hauptsache es laeuft.
Uff. Bin ich froh
Neugestartet hab ich ihn schon... und leider wird das Firewallscript beim Start ausgefuerht.
Was immer gehen sollte (auch mit so-gut-wie jedem anderen Router) ist ein "30/30/30 Reset":
http://www.textingthefridge.com/2011/02/30-30-30-reset.html
Der Reset-Button ist beim E3000 neben dem Power-Schalter, auch schön rot umrandet.
Danach sollten *alle* Einstellungen weg (=auf Default) sein. Hoffentlich hast du da noch nicht all zu viel rumgeschraubt was du dann neu machen musst.
Was iptables angeht, da brauchst du nix manuell in irgendwelche Skripte eintragen.
Wie nman schon geschrieben hat: per Default blockiert der Router sowieso alle *eingehenden* Verbindungen - er könnte auch gar nicht wissen an welche IP er sie weiterleiten soll.D.h. man muss für jede eingehende Verbindung die erlaubt sein soll ein Port-Mapping machen. Und das geht recht komfortabel über die Web-Oberfläche.
EDIT: waaaaaah, Edit Unfall ("Editieren" statt "Zitieren" erwischt)! Hab's aber glaub wieder 1:1 (oder fast) hingebracht - Browser History sei Dank.
-
Jonas OSDever schrieb:
dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt)
REJECT ist übrigens angenehmer zu debuggen als DROP, und auch für eventuelle User angenehmer, wenn mal ein Dienst nicht läuft. c-plusplus.net macht zum Beispiel auch REJECT auf allen Ports, wo nichts läuft, was es für mich als Nutzer viel angenehmer macht, https://c-plusplus.net/ auszuprobieren und unverzüglich festzustellen, dass das nicht funktioniert.
