Fritz!Box - Unterdrücken von P2P-Ports

[Deleted member 10028]

Hallo Zusammen,


In meinem Netzwerk befinden sich einige Computer, die ich selbst nicht überwachen möchte.
(zB. Software-Firewall auf den lokalen Systemen installieren).
Damit diese keine P2P-Software oder Ähnliches benutzen können, möchte ich es unterbinden,
dass nicht-freigegebene Ports auch nicht genutzt werden können.

Als Router nutze ich eine Fritz!Box Fon WLAN 7170.

Ich habe in der Fritz!Box lediglich Möglichkeiten gefunden, bei denen ich Ports Weiterleiten, jedoch nicht sperren kann.
Es gibt folgende Option in der FB:

Änderungen der Sicherheitseinstellungen über UPnP gestatten

Programme mit UPnP-Unterstützung können Sicherheitseinstellungen wie die Portfreigaberegeln der FRITZ!Box automatisch verändern. Aktivieren Sie diese Option aus Sicherheitsgründen nur, wenn Sie tatsächlich eingehende Verbindungen aus dem Internet gestatten möchten.

Diese Funktion habe ich DEAKTIVIERT.

Nun habe ich mir utorrent installiert und das aktuelle Ubuntu-Image gezogen, problemlos ...
Wie schaffe ich es, dass ich genau das verhindern kann?


Gruß
Julian

 

[danton]

Wenn du deine Fritzbox nicht modifizieren willst, geht es nicht, da AVM für seine Firewall keine Konfigurationsmöglichkeiten ins Webinterface eingebaut hat. Ansonsten kannst du versuchen, eine angepaßte Firmware einzuspielen - habe ich mit Hilfe von http://freetz.org/ gemacht und mir da u.a. ein Interface zur Erstellung von Regeln für die AVM-Firewall reingebastelt.
Das Abschalten von uPnP sorgt nur dafür, daß Programme keine dynamischen Portforwardings einrichten können, die meisten P2P-Programme laufen aber weiterhin zumindest mit gebremster Leistung. Auch das Sperren von Ports hilft da nur eingeschränkt und erschwert das ganze nur, da man relativ einfach auf andere Ports ausweichen kann.

 

[traced]

Im Prinzip hilft da nur eine "alles Blocken" Strategie, und nur die Ports aufmachen die wirklich gebraucht werden. Allerdings weiss ich nicht wie weit Du da mit einer FritzBox kommst.

Grüsse
Basti

 

[Deleted member 10028]

Danke danton.
Ich werde mir jetzt erstmal Debian in einer virtuellen Umgebung installieren und mich dann mit freetz vertraut machen.

Gruß
Julian

 

[danton]

Auf der Freetz-Seite gibt es auch einen Verweiß auf eine fertige virtuelle Maschine, um eine neue Firmware zu bauen, ich meine, die hätte ich über Bittorrent gezogen.

 

[d4f]

Beachte dass auch zB Skype ueber ein massives Peer2Peer Netz funktioniert und somit mehr als nur die "boese Filesharing"-Software gesperrt wird wenn du P2P effektiv unterbinden koennen solltest.

Ausser der bereits erwaehnten Block-all-Allow-few Portbegrenzung gibts noch Deep Packet Inspection (Layer 7) und statistische Paketanalyse zur Erkennung von P2P-Verbindungen was jedoch zumindest im ersteren Fall eine starke CPU und im 2. Fall viel RAM bedarf. Beide sind jedoch bei verschluesselter Datenuebertragung wie sie u.A. von Bittorrent-Clients angeboten wird nicht mehr vollstaendig effektiv.