09.05.2012 Fritzbox 7270v2 Firmware: FRITZ!OS 05.21 (54.05.21)
Nervender Port. Zur Konfiguration von Providerdaten muss doch kein Port offen sein. Wenn die Fritzbox sich die Konfiguration vom Provider holen will soll sie doch! Aber ohne den Port 8089 nach Außen offen stehen zu lassen.
UPDATE: am Ende des Artikels
Telnet login:
Foo@Bar:~$ telnet fritz.box
Trying 10.0.0.1...
Connected to fritz.box.
Escape character is '^]'.
Fritz!Box web password:
BusyBox v1.18.5 (2012-03-27 14:03:03 CEST) built-in shell (ash)
Enter ‚help‘ for a list of built-in commands.
ermittle die aktuelle TTY
tty is „/dev/pts/0“
Console Ausgaben auf dieses Terminal umgelenkt
# netstat -lp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 :::8089 ::: * LISTEN 847/ctlmgr
(Ausgabe von netstat auf das Wesentliche beschränkt)
Meine Idee dazu war die folgende:
1. Mittels des Webinterface eine Sicherung der Konfiguration durchführen: System -> Einstellungen sichern
2. Öffnen der Datei FooBar.export mit einem Texteditor und ein paar Modifikationen vornehmen.
a) Zeile 8: NoChecks=yes in den Header
**** FRITZ!Box Fon WLAN 7270 v2 CONFIGURATION EXPORT
..
FirmwareVersion=54.05.21
..
NoChecks=yes
**** CFGFILE:ar7.cfg
b) Zeile 211:
# tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
Mittels ‚#‘ auskommentieren oder gleich ganz löschen
c) Zeile 733:
# tr069discover_active = yes;
tr069discover_active = no;
d) Zeile 2306:
**** CFGFILE:tr069.cfg
/*
* /var/flash/tr069.cfg
* Wed May 9 19:29:58 2012
*/
tr069cfg {
# enabled = yes;
enabled = no;
3. Danach die Configuration wieder mittels des Webinterfaces herstellen. Die Option NoChecks deaktiviert dabei die Überprüfung der Checksum, sonst würde die Fritzbox die Änderungen verwerfen.
Diese Aktion hat für ca. 5 Minuten die gewünschte Wirkung. Nach dem Neustart Portscan durchgeführt und der Port ist geschlossen. Nach einiger Zeit funktioniert die Verbindung zu Webseiten nicht mehr. Ein paar Minuten später hängt sich die Box scheinbar auf. Alle Verbindungen werden getrennt. Sie startet neu. Nach einigen Minuten ist sie wieder oben. Die Einstellungen sind aber zurückgesetzt. Der Port 8089 ist wieder offen .. FU!!!
UPDATE
Es scheint jetzt doch geklappt zu haben. Ich bin noch ein wenig mißtrauisch. Ich habe das Gefühl die Internetverbindung ist noch ein wenig instabil/langsam ich behalte das im Auge.
Aber ich bin jetzt mit einer anderen Taktik herangegangen. Ich habe in der exportierten Konfig nur:
1) Zeile 8: NoChecks=yes gesetzt.
2) Zeile 267: "deny tcp any any eq 8089"; in der Kategorie „lowinput“ hinzugefügt (dabei darauf peinlich genau geachtet, dass nach dem Komma ein Leerzeichen kommt, nach dem Semilkolon jedoch nicht, sowie auf „Tabs“ verzichtet und gegen Spaces ausgetauscht)
3) Zeile 281: "deny tcp any any eq 8089"; gleiches wie oben nur in der Kategorie „highoutput“.
Konfiguration zurückgespielt, fertig!
Yasokuhl's Blog 
Hi Yasokuhl,
konntest du das Problem wie im Update beschrieben dauerhaft beseitigen?
Bin seit ein paar Tagen KabelBW-Kunde und einigermassen verschnupft über diese Port-8089-Geschichte. Zumal ich auf meine KabelBW customized Fritze nicht mal mehr per telnet draufkomme!
Ich kann ja verstehen, dass ein ISP ein Interesse daran hat, seinen DAUs möglichst „transparent“ helfen zu können, aber ein öffentlich zugänglicher Port ist ganz klar ein Schritt zu weit.
Cheers,
tuxmin
Hi Tuxmin, ja der Port ist durch das Blockieren mit IPTables dauerhaft zu (mit Nmap getestet). Die Instabilität der Internetverbindung lag wohl an der Verbindung von dem neuen DSL-Treiber bei FritzOS 5.2.1 und einem Wackelkontakt im „Amt“. Habe dann auf den alten Treiber umgestellt und das Amt-Kabel gefixt seitdem läuft es stabil und es sind nur Ports offen die offen sein sollen. Viele Grüße,
yasokuhl.
Pingback: [Frage] Wie bekommt initiative-netzqualitaet.de mein FritzBox-Modell und meine Firmware raus? | RSS Deutschland
Hallo, haben Sie den Port über IPTables geschlossen? Ich habe die Erfahrung gemacht das die Fritzbox es tatsächlich oft nicht mag, dass man das TR69 ausschaltet. Normalerweise bootet Sie dann aber nur mit den vorherigen Einstellungen neu. Meine Empfehlung den Port in IPTables schliessen und sonst den Dienst nicht beenden. Ich werde das in dem Beitrag deutlicher machen.
Bei meiner FritzBox hat es leider nicht geklappt. Da ist ein customized OS für KabelBW drauf. Unter anderem kommt man per telnet nicht mehr auf die FritzBox, auch fehlen die Menupunkte zum einspielen anderer Firmware — das wird von KabelBW ferngesteuert.
Ich bin mittlerweile bei KabelBW auf die Barrikaden gegangen, und man hat mir ein Kabelmodem im Tausch angeboten. Da ich ohnehin meinen eigenen Router hinter der FB betreiben wollte ist mir das grad recht.
Trotzdem habe ich noch zuletzt versucht, die Ports wie oben beschrieben zu blocken. Leider Fehlanzeige. Beim Zurückspielen meckert die FB, dass das kein gültiges Konfig-File sei. Da steckt irgendwo eine Prüfsumme drin, vermute ich…
Ich kann jedenfalls nur jedem KabelBW-Kunden raten, seine FB zu scannen und sofort Radau zu schlagen. Man hat dort beim Kundendienst wenig Verständnis für das Problem. Das mag sich ändern, wenn die Anzahl der Beschwerden zunimmt.
Ziemlich cool. Danke für die rules und die Sektion, wo es hinkommt.
Warum nicht einfach die „Anbieterdienste“ also tr-069 nach erfolgter Erstprovisionierung einfach ausschalten? Das geht in der WebGUI der Fritzbox doch problemlos…
Mit Kanonen hast Du da auf Spatzen geschossen…