Wenn ich das richtig sehe hat das Firmwareupdate nen Dienst eingerichtet mit dem die I-Net-Telefonie via Skype erleichtert werden soll.

Zitat:

Original von deoroller "Ping" Sehr gut, Ihr System antwortet nicht auf Ping Requests Was soll ich davon halten?

Nichts. Der übliche Blödsinn. Einen Ping zu filtern, ist absolut sinnlos. Im Gegenteil, im Rahmen einer Netzwerkdiagnose kann man sich damit ganz gewaltig in die Füße schießen.

Es gibt bestimmte ICMP-Typen, die man nicht unbedingt durchlassen möchte (ich bin aber nach mehr als einem halben Liter hervorragender Riesling Spätlese zu faul, das rauszusuchen), aber so pauschal ist das Filtern von Pings Blödsinn und zeigt nur, daß der Betreiber der Seite

a) keine Ahnung hat oder
b) auf der allgemeinen Welle mitschwimmt.

MfG
Vimes

netstat zeigt keine Veränderungen.
Eine Einstellung für Ping Requests scheint es nicht zu geben.
Meinen Router kann ich aber anpingen.

Auf dem PC ist der Port nicht vorhanden. Im Router ist er offen.



Ich habe den Port mal in die Filterliste eingetragen. Er wurde aber weiterhin offen gemeldet.

5060 TCP http://isc.sans.org/port.html?port=5060

Ich benutze aber kein VOIP.

Die Telekomiker wollen damit wohl ihren Support entlasten. Das geht aber meistens nach hinten los.
Hoffentlich gibt es da keine Schwachstelle, wie beim W700V.
Zyniker sagen, dass die Telekom nur noch 65535 Möglichkeiten hat, das Problem endgültig zu lösen.
http://www.heise.de/foren/go.shtml?read=...9&forum_id=7305
http://www.heise.de/newsticker/meldung/91975

Das gehört auch so. Was soll dieser Rotz, ICMP-Pakete zu verwerfen? Es gibt tatsächlich ICMP-Pakete, die man nicht reinlassen bzw. durchreichen möchte, aber der simple Ping (der hier gemeint sein dürfte) gehört definitiv nicht dazu. Der ist absolut harmlos, für eine erste Analyse bei Netzwerkproblemen nützlich und nur Leute, die keine Ahnung haben, bauen eine Firmware, die per Default so etwas einfach schluckt.

MfG
Vimes

Humor haben sie ja wenigstens ...

MfG
Vimes

TCP 5060 ist jetzt zu.



Ich habe den Speedport mit der Fritzbox Firmware modifiziert und da ist der Port zu, wenn IP-Telefonie nicht genutzt wird.
Jetzt merke ich erst, was mit der Firmware alles möglich ist.
Die Telekom lässt das Potential der AVM-Hardware zum großen Teil brach liegen. Im Moment sieht die Oberfläche so aus:



Neben der Laborversion habe ich auch ein Image mit der "normalen" Fritzbox-Firmware erstellt. Wenn ich mal am "Fritzen" bin, mache gleich mehrere Versionen zum Testen. Die kann man dann über die Router-Oberfläche bei Bedarf laden.

Ich lasse es aber nicht dabei. Beim "Freetz-Projekt" können weitere Pakete hinzugefügt werden, womit dann auch die AVM-Firewall konfigurierbar wird
http://www.freetz.org/wiki/packages/avm-firewall-cgi



und es gibt dann auch eine zusätzliche "richtige" Firewall zum konfigurieren.
http://www.freetz.org/wiki/packages/iptables-cgi
iptables ist ja bereits im Kernel und daran kann sich keine Verbindung vorbei mogeln aber nur die Profis trauen sich daran.

Hier wird beschrieben, wie AVM-Firewall und iptables zusammen arbeiten, (bzw. nicht zusammen arbeiten).
http://www.freetz.org/wiki/packages/iptables

Trotz Euphorie darf man aber nicht vergessen, dass nur benötigte Dienste auf der Box laufen sollen, um die Angriffsfläche nicht zu vergrößern.

Weitere imposante Bilders
http://images.google.de/images?hl=de&q=i...zDoXt-AadgpHJDQ

Zitat:

Original von deoroller iptables ist ja bereits im Kernel

Der Fritz!Box? Prinzipiell gibt es das im Linux-Kernel, ja ...

Zitat:

und daran kann sich keine Verbindung vorbei mogeln

Wenn die Regeln vernünftig sind, ist es zumindest schwierig. Wenn man connection tracking betreiben möchte, das ist ziemlich leicht DOS-bar. Für Heimanwender ist das kein Problem, für Firmenanwender kann das eklig werden.

Zitat:

aber nur die Profis trauen sich daran.

Paketfilter sollten generell nur Leute mit Ahnung konfigurieren.

Im übrigen verstehe ich die Aussage "der SIP-Port war offen" nicht. Lauscht bei Dir auf dem Port ein Dienst? Nein? Dann ist da auch kein "Port" offen. Falls Du das mit einem Portscanner geprüft hast, die liefern häufig kuriose Ergebnisse.

Nochmal: ein Port ist genau dann "offen", wenn ein Dienst läuft, der unter dieser Adressnummer einen Dienst anbietet und dieser Dienst von außen, d.h. WAN-seitig, erreichbar ist. Ansonsten gibt es diese Adressnummer nicht und der Port ist daher "zu", d.h. non-existent.

Da wird leider häufig (auch von Firewall-Anbietern) viel Mist erzählt. Und die Scanner, die häufig etwas von "offenen Ports" faseln, machen es auch nicht besser.

Selbst wenn (und das ist ein großes "wenn") die Fritz!Box Pakete an den SIP-Port (z.B. 5060) einfach routet (wohin eigentlich!), dann verwirft spätestens das Ziel des Routings die Pakete kommentarlos, wenn dort kein SIP läuft. Aus die Maus. Das können IP-Stacks schon ganz, ganz lange, dafür brauchen sie keine Paketfilter.

MfG
Vimes

Ich habe jetzt mal meinen PC scannen lassen. Dazu habe ich ihn als Exposed Host freigegeben.

Zitat:

Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert. Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden.

Obwohl in Windows keine Firewall läuft und die Routerfirewall für den PC aus sein soll, werden Ports als gefiltert gemeldet.
Die Dienste, die die Ports öffnen, sind aber tatsächlich deaktiviert, was netstat bestätigt.
Meine Vermutung: Die AVM-Firewall filtert die von AVM voreingestellten Ports immer.