- Anzeige -

KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon Momro » 27.02.2015, 11:13

Hallo zusammen,

ich habe ein KabelBW-Modem (Arris Touchstone TM602B) und dahinter eine FritzBox 3272 für das Netzwerk. Daran hängen mehrere PCs, Notebooks, Konsolen etc. und ein Raspberry Pi. Auf dem Pi läuft unter anderem ProFTPD.

Nun habe ich in der FritzBox Port 321 (FTP im Pi) und 22 (SSH) geöffnet und auf den Raspberry Pi weitergeleitet, weil ich gerne von außen zugreifen möchte.

Hier die Config aus dem Pi/FTP:
Code: Alles auswählen
# Server Information
ServerName                      "Pi-Kodi"
ServerType                      standalone
DeferWelcome                    off
DisplayLogin                    welcome.msg
DisplayChdir                    .message true

# Server Settings
Port                            321
PassivePorts                    49152 65534
MasqueradeAddress               <mypublicIP>
TransferLog                     /var/log/proftpd/xferlog
SystemLog                       /networkshare/log/proftpd.log

# Prevent DoS attacks
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            proftpd
Group                           nogroup

[...]


In der FritzBox habe ich schon einiges rumprobiert. In einer Anleitung von AVM stand, man solle einiges deaktivieren und überprüfen:
  • Änderungen über UPnP nicht zulassen
  • Es ist kein Dual Stack oder IPv6-Anschluss
  • NetBIOS-Filter ist deaktiviert
  • Kindersicherung ist aus :-D
  • Der Pi sollte eigentlich keine Firewall auf den Ports haben. Von allen PCs aus kann ich korrekt zugreifen auf, sowohl auf FTP an Port 321 als auch SSH auf 22.

AVM hat mir bestätigt, dass meine Ports korrekt freigegeben sind, mir aber jeglichen weiteren Support versagt, weil es nicht ihr Problem sei. Im Kabelmodem kann man ja nun nicht wirklich was einstellen, sodass ich jetzt wirklich nicht mehr weiterweiß.

Falls es interessant sein sollte, noch einige Details zum Aufbau:
  • PCs mit Windows 7 und Windows 8
  • Statische Adressen in der FritzBox verteilt
  • Pi lauscht auf 321 -> FTP und 22 -> SSH
  • Pi-OS ist RaspBMC mit aktueller Kodi-Distribution
  • FritzOS 06.20
  • Pi ist über WLAN verbunden

Ich freue mich über jeden Ratschlag und bedanke mich schon im Voraus für eure Tipps!

Beste Grüße,
Achim
Momro
Kabelneuling
 
Beiträge: 10
Registriert: 27.02.2015, 11:07

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon tq1199 » 27.02.2015, 11:20

Momro hat geschrieben:[*]Der Pi sollte eigentlich keine Firewall auf den Ports haben. Von allen PCs aus kann ich korrekt zugreifen auf, sowohl auf FTP an Port 321 als auch SSH auf 22.[/list]

[*]Pi ist über WLAN verbunden[/list]
Achim


Wie greifst Du von außen (d. h. aus dem Internet) auf deinen Pi (Ports 22 und 321) zu? Wie sind auf deinem Pi, die Ausgaben von:
Code: Alles auswählen
ifconfig -a
arp -av
route -n
sudo iptables -nvx -L
sudo netstat -tulpen

?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon Momro » 28.02.2015, 19:42

Hallihallo,

danke für deine Antwort/Nachfrage!

Aus dem Internet habe ich mit WinSCP und PuTTY versucht zuzugreifen, bzw. einen Portscanner verwendet.

Nun zu den Log-Files.

1. arp:
Code: Alles auswählen
Lore.fritz.box (192.168.0.101) at ac:22:0b:2c:9d:36 [ether] on wlan1
Nexus7.fritz.box (192.168.0.43) at 10:bf:48:f3:11:e9 [ether] on wlan1
Nexus9.fritz.box (192.168.0.44) at b4:ce:f6:08:d4:64 [ether] on wlan1
Lore.fritz.box (192.168.0.23) at 24:0a:64:1c:d5:ed [ether] on wlan1
Samsung-TV.fritz.box (192.168.0.62) at 8c:c8:cd:b0:6b:d1 [ether] on wlan1
Nexus5.fritz.box (192.168.0.41) at bc:f5:ac:f5:31:04 [ether] on wlan1
fritz.box (192.168.0.1) at 34:31:c4:33:48:f4 [ether] on wlan1
Jarvis.fritz.box (192.168.0.21) at 38:59:f9:26:79:85 [ether] on wlan1
Skynet.fritz.box (192.168.0.24) at e8:de:27:a6:32:d8 [ether] on wlan1
Entries: 9   Skipped: 0   Found: 9


2. ifconfig:
Code: Alles auswählen
eth0      Link encap:Ethernet  HWaddr b8:27:eb:5e:04:26 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:7878 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7878 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:571082 (557.6 KiB)  TX bytes:571082 (557.6 KiB)

wlan1     Link encap:Ethernet  HWaddr e8:de:27:15:2c:a2 
          inet addr:192.168.0.52  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::eade:27ff:fe15:2ca2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:253319 errors:0 dropped:643 overruns:0 frame:0
          TX packets:64849 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:60489012 (57.6 MiB)  TX bytes:17673765 (16.8 MiB)


3. iptables
Code: Alles auswählen
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
  813660 813078716 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  468606 52274650 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
    1640   385168 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 61020 packets, 14882838 bytes)
    pkts      bytes target     prot opt in     out     source               destination         


4. netstat:
Code: Alles auswählen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:4713            0.0.0.0:*               LISTEN      0          1726        473/pulseaudio 
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          5403        1645/xinetd     
tcp        0      0 0.0.0.0:1420            0.0.0.0:*               LISTEN      1000       3640        760/kodi.bin   
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      1000       3587        760/kodi.bin   
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      0          2362        720/cupsd       
tcp        0      0 0.0.0.0:1978            0.0.0.0:*               LISTEN      1000       3597        760/kodi.bin   
tcp6       0      0 :::321                  :::*                    LISTEN      104        367068      10004/proftpd: (acc
tcp6       0      0 ::1:9090                :::*                    LISTEN      1000       3800        760/kodi.bin   
tcp6       0      0 :::80                   :::*                    LISTEN      1000       3586        760/kodi.bin   
tcp6       0      0 :::22                   :::*                    LISTEN      0          5404        1645/xinetd     
tcp6       0      0 :::631                  :::*                    LISTEN      0          2363        720/cupsd       
udp        0      0 0.0.0.0:9777            0.0.0.0:*                           1000       3803        760/kodi.bin   
udp        0      0 0.0.0.0:68              0.0.0.0:*                           0          395778      30792/dhclient 
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           1000       3592        760/kodi.bin   
udp        0      0 0.0.0.0:631             0.0.0.0:*                           0          2366        720/cupsd       
udp        0      0 192.168.0.52:123        0.0.0.0:*                           105        395900      6592/ntpd       
udp        0      0 127.0.0.1:123           0.0.0.0:*                           0          258866      6592/ntpd       
udp        0      0 0.0.0.0:123             0.0.0.0:*                           0          258859      6592/ntpd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           0          5402        1645/xinetd     
udp        0      0 192.168.0.255:137       0.0.0.0:*                           0          2804        1020/nmbd       
udp        0      0 192.168.0.52:137        0.0.0.0:*                           0          2803        1020/nmbd       
udp        0      0 0.0.0.0:137             0.0.0.0:*                           0          2784        1020/nmbd       
udp        0      0 192.168.0.255:138       0.0.0.0:*                           0          2806        1020/nmbd       
udp        0      0 192.168.0.52:138        0.0.0.0:*                           0          2805        1020/nmbd       
udp        0      0 0.0.0.0:138             0.0.0.0:*                           0          2801        1020/nmbd       
udp        0      0 0.0.0.0:41877           0.0.0.0:*                           102        4095        1541/avahi-daemon:
udp        0      0 0.0.0.0:44444           0.0.0.0:*                           0          395765      30792/dhclient 
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           102        4093        1541/avahi-daemon:
udp6       0      0 :::41987                :::*                                0          395766      30792/dhclient 
udp6       0      0 :::33293                :::*                                102        4096        1541/avahi-daemon:
udp6       0      0 fe80::eade:27ff:fe1:123 :::*                                105        395901      6592/ntpd       
udp6       0      0 ::1:123                 :::*                                0          258868      6592/ntpd       
udp6       0      0 :::123                  :::*                                0          258860      6592/ntpd       
udp6       0      0 :::5353                 :::*                                102        4094        1541/avahi-daemon:


5. route:
Code: Alles auswählen
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan1


Danke, dass du dir das alles durchliest :-) Bin gespannt, ob dir etwas davon was sagt!
Momro
Kabelneuling
 
Beiträge: 10
Registriert: 27.02.2015, 11:07

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon tq1199 » 28.02.2015, 23:16

Momro hat geschrieben:Der Pi sollte eigentlich keine Firewall auf den Ports haben. Von allen PCs aus kann ich korrekt zugreifen auf, sowohl auf FTP an Port 321 als auch SSH auf 22


Momro hat geschrieben:3. iptables
Code: Alles auswählen
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
  813660 813078716 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  468606 52274650 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
    1640   385168 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
     


Bin gespannt, ob dir etwas davon was sagt!


Wer hat diese (3.) DROP-Regel (... siehe den counter dieser Regel) in der INPUT chain konfiguriert?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon Momro » 05.03.2015, 08:08

Öh, also ich war's nicht. Ich weiß nichtmal, was eine DROP-Regel sein soll :-/

Warum, was ist das? Muss ich die entfernen?
Momro
Kabelneuling
 
Beiträge: 10
Registriert: 27.02.2015, 11:07

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon tq1199 » 05.03.2015, 09:34

Momro hat geschrieben:Öh, also ich war's nicht.

War es dann evtl. dein kleiner Buder oder ist dein Pi gehackt worden? :zwinker: Wer hat dir den Pi eingerichtet/konfiguriert?

Momro hat geschrieben:Ich weiß nicht mal, was eine DROP-Regel sein soll :-/

Dann solltest Du evtl. noch warten und deinen Pi noch nicht, als Server ins Internet stellen.
Momro hat geschrieben:Warum, was ist das?

Das kann ein Script (oder gleichwertig) sein, denn aus der Ausgabe sieht man, dass die Regeln (... aber nicht die 1. state-Regel für RELATED- und ESTABLISHED-Verbindungen) acht mal aufgerufen worden sind ohne vorher die gerade noch aktiven Regeln (2 und 3) zu löschen (flush):
Code: Alles auswählen
813660 813078716 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  468606 52274650 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
    1640   385168 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0           
       0        0 ACCEPT     all  --  wlan1  *       192.168.0.0/24       0.0.0.0/0           
       0        0 DROP       all  --  wlan1  *       0.0.0.0/0            0.0.0.0/0
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon Momro » 06.03.2015, 09:18

Na sowas. Außer mir hat niemand Zugriff auf den Pi, und die Einrichtung habe auch ich vorgenommen. Ich denke, ich werde am Wochenende mal die DROP-Regeln recherchieren.

Ansonsten ... Pi neu aufsetzen und nochmal versuchen? Oder hast du eine konkrete Idee, was ich machen sollte?
Momro
Kabelneuling
 
Beiträge: 10
Registriert: 27.02.2015, 11:07

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon tq1199 » 06.03.2015, 09:26

Momro hat geschrieben:Ansonsten ... Pi neu aufsetzen und nochmal versuchen? Oder hast du eine konkrete Idee, was ich machen sollte?

Wegen 2 iptables-Regeln muss man den Pi nicht neu aufsetzen. Welches Betriebssystem hast Du auf deinem Pi?
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon Momro » 06.03.2015, 14:01

RaspBMC :-)

Wegen Auto-Aktualisieren wahrscheinlich in der aktuellen Version.
"cat /scripts/upd_hist/build_info" sagt:
Code: Alles auswählen
raspbmc-rls-1.0-hardfp-b20130208-u20150125
Momro
Kabelneuling
 
Beiträge: 10
Registriert: 27.02.2015, 11:07

Re: KabelBW-Modem + FritzBox: Ports werden nicht geöffnet

Beitragvon tq1199 » 06.03.2015, 15:16

Momro hat geschrieben:RaspBMC :-)
Wegen Auto-Aktualisieren wahrscheinlich in der aktuellen Version.


Nein, ... Du hast "den Knopf noch nicht gefunden", mit dem die Firewall deaktiviert wird. :zwinker: Poste mal die Ausgaben von:
Code: Alles auswählen
ls -la /etc/network/if-up.d/secure-rmc
sudo chmod 644 /etc/network/if-up.d/secure-rmc
ls -la /etc/network/if-up.d/secure-rmc

Evtl. ausführbar lassen und mit:
Code: Alles auswählen
sudo nano /etc/network/if-up.d/secure-rmc

vor einem evtl. "exit 0",
Code: Alles auswählen
/sbin/iptables --flush

eintragen und speichern. Ist aber erst nach einem reboot (oder gleichwertig wirksam), oder "sudo iptables --flush" manuell ausführen.

Oder wenn Du weiß was Du machst, kannst Du auch:
Code: Alles auswählen
service iptables status && sudo service iptables stop
sudo update-rc.d iptables disable
sudo iptables -nvx -L

probieren. Oder m. E. noch besser, dich einlesen und diese Firewall für deine speziellen Bedürfnisse anpassen/konfigurieren.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 27 Gäste