×
Bis auf weiteres keine Downloads möglich (05 Mai 2020)

Aus den Erfahrungen der letzten Wochen und dem überstandenen Backdoor-Angriff habe ich eines gelernt: Nämlich ganz sicher keine veralteten Komponenten in der Forensoftware einzusetzen, die keine Sicherheitsupdates mehr erhalten. Daher gibt es bis auf weiters keine Downloadkomponente mehr, und manche Links in manchen älteren Threads gehen ins Leere.

Ich bitte dafür um Verständnis !

Euer Andi

× Hier geht es um die Modelle ST 510, ST 546, ST 585, ST 608, TG 585v7 und TG 787. Fragen zu moderneren Geräten von Thomson/Technicolor bzw. zu Pirelli/ADB bitte in der entsprechenden Sektion stellen.

normal Frage Thomson TG585 v7 > Firewall, NAT deaktivieren


Mehr
17 Jan 2010 15:39 - 28 Feb 2010 11:11 #13462 von zid
hallo martin,

neue levels erstellt man besten übers cli, da kann man sie auch ohne weiteres editieren, z.b.
=>firewall level add name my_level index 3 udptrackmode loose service
enabled proxy enabled policy drop text "da schreibst halt irgendeinen sinnigen text rein"

jetzt kannst deine regeln hinzufügen:
=>firewall rule add chain forward_level_my_level name FromLAN srcintf lan
action accept state enabled
...
...

aktiviert wird das neue level mit:
=>firewall level set name my_level
ein paar grundsätzliche bemerkungen zum aufbau und zur funktion der firewall:

- die firewall funkt wie netfilter/iptables (nicht sehr überraschend, am st/tg werkelt ja ein linux)

- sie hat 3 hauptketten sink (input bei iptables), source (output bei iptables) und forward (forward bei iptables).

- sink und source regeln den zugriff auf lokale dienste/prozesse, forward ist für den traffic zuständig, der weitergeleitet wird. das level steuert *nur* eine unterkette der forward chain.

- die hauptketten enthalten wie üblich unterketten, die teilweise dynamisch konfiguriert werden (systemdienste, servicemgr usw.). dynamisch erstellte regeln kann man nicht direkt ändern, sondern nur über die konfiguration von z.b. systemdiensten oder weiterleitungen über den host-servicemgr.

- die "verarbeitung" eines pakets ist wie bei netfilter schnittstellenorientiert (und nicht flußorientiert wie etwa bei den ciscos), d.h. ein paket wird
1. ggf. genattet (d-nat).
2. dann kommt die routing entscheidung.
3. dann wird gemäß der routing entscheidung die entsprechende chain durchlaufen.
4. ggf. wieder genattet (s-nat).
diese prozeßkette wird von jedem paket durchlaufen, *egal* von wo es herkommt.

- ja, und dann gibt es noch das konzept der expressions (ähnlich wie die tables/lists von pf bei unix). diese expressions sind so eine art umgebungsvariablen, die eine sehr schlanke strukturierung der rules erlauben.
normalerweise geht man dabei so vor:
man erstellt mit den expressions einen satz von regeln so, daß nachträgliche änderungen (freischalten von neuen diensten z.b.) nicht mehr direkt bei den regeln vorgenommen werden, sondern bei den expressions. dadurch bleibt die struktur des regelsatzes gleich! das ist sehr angenehm und erhöht die betriebssicherheit, weil man nicht umdenken muß.

>"...Mir geht es nicht hauptsächlich darum die Firewall händisch zu konfigurieren sondern ob da etwas „Faul“ ist..."
bei den default.inis der ta sind einige systemdienste des tgs für die wartungsrechner der ta geöffnet.
www.dieschmids.at/Fragen-zur-Konfiguration/2551-THOMSON-TG585-v7-DYNDSN-Kofiguration-fehlerhaft/Page-3/Page-3.html#2582
bei den clean.inis ist alles zu.

lg
zid
Letzte Änderung: 28 Feb 2010 11:11 von zid. Begründung: link aktualisiert

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
17 Jan 2010 17:08 #13526 von Martin__37
Hallo zid.

Danke erstmal für Deine Antwort.:)

Hab mir das ganze jetzt zweimal durchgelesen und jetzt raucht das Hirn :blink:
Beschäftige mich schon seit Jahren mit Pc und co. aber jetzt erst fange ich langsam mit den wirklich interessanten Dingen an, und da kratzte ich mal an der Oberfläche.
Über graphische Oberflächen Dinge einzustellen (und Fehler zu machen) ist eben einfacher als sich intensiv mit der Materie zu beschäftigen.
Aber mit Übung wird hoffentlich langsam was draus.

Vielen Dank nochmals.

Lg Martin

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
17 Jan 2010 17:19 #13534 von zid
hallo martin,

>"...aber jetzt erst fange ich langsam mit den wirklich interessanten Dingen an,..."
sehr schön. aber vorsicht, das macht süchtig. :) hat bei mir auch ganz "harmlos" begonnen, und heute kann ich nicht genug davon kriegen...

lg & viel spaß bei den interessanten dingen
zid

ach ja, und bei fragen einfach fragen, fragen, fragen...:)

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
18 Jan 2010 17:29 #13611 von Martin__37
Hallo zid.

Dank deiner Anleitung hat die Erstellung eines neuen Levels (Testconfig) funktioniert.
Nur bei der rule Vergabe hakt es noch ein wenig.:(
Das CLI-PDF fürs 585v7 hab ich mir schon runtergeladen. ( auf Deutsch wär’s noch besser *gg* )

Hab es mal so versucht.
Bitte nachschauen ob ich da komplett auf dem Holzweg bin.

=>:firewall rule add chain forward_level_Testconfig srcintf=lan dstintf=wan ser
v=http action=accept state=enabled

srcintf ins die Quelle und dstintf das Ziel, wenn ich das ziel nicht angebe übernimmt er die Regel für alle Zielschnittstellen?

serv=http ( das wäre das Protokoll aber das nimmt er mir nicht ) da kommt immer die Fehlermeldung Bad value for parameter 'serv'

Danke schon im Vorhinein.

lg Martin

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
18 Jan 2010 19:31 #13621 von zid
hallo martin,

>"...Das CLI-PDF fürs 585v7 hab ich mir schon runtergeladen..."
der beste cli-guide ist die online help des modem selbst. da gibts diese netten hints, die überaus praktisch sind, falls man sich mal nicht auskennt.
www.dieschmids.at/Fragen-zur-Konfiguration/3019-TG585-v7-8.2.1.5-und-manuelle-Konfiguration/Page-2.html#3062
und die wichtigste taste ist die tabulatortaste <TAB>, gibt ebenfalls hints und machmal auch gar nix, was auch ein hint ist :):
www.dieschmids.at/Fragen-zur-Konfiguration/13407-ich-bin-wahrscheinlich-zu-bloed/Page-5/Page-4.html#13455

>"...serv=http ( das wäre das Protokoll aber das nimmt er mir nicht ) da kommt immer die Fehlermeldung Bad value for parameter 'serv'..."
hm, wundert mich. grundsätzlich: bevor du einen ausdruck verwenden kannst, muß du ihn erst definieren, schau nach mit
=>expr list
ob "http" überhaupt da ist. wenn nein:
=>expr add name http type serv proto tcp dstport 80
und wenns dann noch immer nicht haut, dann schau dir mit der tabulatortaste die hints an, also:
=>firewall rule add chain forward_level_Testconfig srcintf=lan dstintf=wan serv <TAB>
ich krieg damit:

icmp                    igmp                    ftp
telnet                  http                    httpproxy
https                   RPC                     NBT
SMB                     imap                    imap3
imap4-ssl               imaps                   pop2
pop3                    pop3s                   smtp
ssh                     dns                     ...

=>firewall rule add chain forward_level_Testconfig srcintf=lan dstintf=wan serv

http ist bei mir also dabei und somit zulässig

>"...wenn ich das ziel nicht angebe übernimmt er die Regel für alle Zielschnittstellen?..."
ja, geroutete schnittstellen natürlich.

lg
zid

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
18 Jan 2010 20:59 #13637 von Martin__37
Hallo zid

Sorry fürs Lästigsein.:unsure:
Geniale Sache das mit der Tab-Taste.

Unter =>expr list kommt bei mir.

wan intf 0 1. intfgroup=0
local intf 0 1. intfgroup=1
lan intf 1 1. intfgroup=2
HSI intf 0 1. intf=INTERNET
LAN intf 0 1. intf=LocalNetwork
LOCAL intf 0 1. intf=loop
private ip 0 1. addr=10.0.0.0/8
2. addr=172.[16-31].*.*
3. addr=192.168.0.0/16
ssdp_ip ip 0 1. addr=239.255.255.250
mdap_ip ip 0 1. addr=224.0.0.103
broadcast ip 0 1. addr=0.0.0.0
2. addr=255.255.255.255

Und bei =>firewall rule add chain forward_level_Testconfig srcintf=lan dstintf=wan serv (+Tabulator zeigt er nix an, sondern wiederholt nur die Eingabe)

Aber kein Problem dann füge ich halt die Protokolle nachträglich ein.

Theoretisch könnte man damit ja auch gezielte Ports sperren?
Z.B expr add name vnc type serv proto tcp dstport 5800-5900 und dann eine rule erstellen wo > serv=vnc action=deny < ist.

Und zu guter letzt noch eine blöde frage (dann gebe ich mal Ruhe) mit dem einstellen kann ich das Modem eh nicht Ruinieren?

Vielen Dank

lg Martin

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.374 Sekunden
Powered by Kunena Forum