Home of the Squeezebox™ & Transporter® network music players.
Results 1 to 7 of 7
  1. #1
    Junior Member
    Join Date
    Nov 2013
    Location
    Hamburg
    Posts
    4

    SOLVED:blocking IP addresses fails

    Hi there!
    I've opened port forwarding in my router to listen to my music from my mobile device.
    Works great so far, yeah!

    When I try to harden my server with blocking unknown IP adresses, _everything_ from "outside" is blocked.
    I don't understand why. Find my settings and some log output below.

    Any ideas?


    ---------------
    (Settings->Advanced->Security)

    #PASSWORD PROTECTION#
    no

    #BLOCK INCOMING CONNECTIONS#
    Block

    #ALLOWED IP ADDRESSES#
    87.253.*,192.168.*,2.204.*,127.0.0.1,80.85.196.24

    #Logfile#
    Slim::Web::HTTP::acceptHTTP (291) Did not accept HTTP connection from 87.253.171.202, unauthorized source
    Slim::Web::HTTP::acceptHTTP (291) Did not accept HTTP connection from 80.85.196.24, unauthorized source

    #LOGITECH MEDIA SERVER-STATUS#
    Logitech Media Server Version: 7.8.1 - 1398786621 @ Sat May 3 03:04:40 UTC 2014
    Hostname: odroidu2
    IP-Adresse des Servers: 192.168.0.24
    Server-HTTP-Portnummer: 9000
    Betriebssystem: Debian - DE - utf8
    Plattformarchitektur: armv7l-linux
    Perl-Version: 5.14.2 - arm-linux-gnueabihf-thread-multi-64int
    Datenbankversion: DBD::SQLite 1.34_01 (sqlite 3.7.7.1)
    Last edited by Skram; 2014-09-03 at 11:11.

  2. #2
    Senior Member pippin's Avatar
    Join Date
    Oct 2007
    Location
    Berlin
    Posts
    14,793
    If this is your server the incoming communication will be from the router, does it have an address from outside the range?
    ---
    learn more about iPeng, the iPhone and iPad remote for the Squeezebox and
    Logitech UE Smart Radio as well as iPeng Party, the free Party-App,
    at penguinlovesmusic.com
    New: iPeng 9, the Universal App for iPhone, iPad and Apple Watch

  3. #3
    Junior Member
    Join Date
    Nov 2013
    Location
    Hamburg
    Posts
    4
    No. Router is 192.168.0.1
    Even my local LAN players won't connect anymore:

    #log#
    Slim::Web::HTTP::acceptHTTP (291) Did not accept HTTP connection from 192.168.0.36, unauthorized source


    [edit]
    Well, hmmmmm, now I got it.
    The problem is the joker!
    192.168.*.* works, 192.168.* not (but is accepted as "allowed host").

    Maybe it would be a good idea to refuse IP without 3 dots.
    Last edited by Skram; 2014-09-03 at 11:11. Reason: SOLVED

  4. #4
    Senior Member
    Join Date
    Sep 2005
    Posts
    2,856
    Quote Originally Posted by Skram View Post
    [edit]
    Well, hmmmmm, now I got it.
    The problem is the joker!
    192.168.*.* works, 192.168.* not (but is accepted as "allowed host").

    Maybe it would be a good idea to refuse IP without 3 dots.
    Hi,
    (servus)
    The net 192.168.0/24 as base net is also not a good idea (if you ever use a vpn your in big trouble)
    If you allow 192.168.0.0/16 means 2hoch16 also 65.536 addressen......

    Dann hast du NAT wohl nicht verstanden - pippin schreibt dir ja was da tatsächlich passiert.
    Was du ha gehärtest hast - ist ein ganz fauler feuchter, denn dein router tauscht die quellip gegen eine interne aus.

    Summa summarum - intern an deiner Kiste kommt durch das nat immer eine lokale Adresse an - nat <>DMZ und Router mit einem std. Netz von 192.168.0/24 sind auch eher welche vom Grabbeltisch ohne "echte" Firewall.

    Google mal nach fritzbox oder synology angriff - nach lektüre /(heise.de) wirst du dein Nat ganz schnell wieder deaktivieren (möglicher- sinnvollerweise)

    Gruß

    edit
    http://www.heise.de/security/meldung...e-2282625.html
    http://www.heise.de/security/meldung...n-2296040.html
    Der Consultant Peter Hämmerlein hatte die Anfälligkeit bereits im November vergangenen Jahres entdeckt und dokumentiert.
    Und das ist jetzt "sogar" ein Marktführer im deutschen Bereich - denkt dir bitte deinen Teil dazu.
    /edit
    Last edited by DJanGo; 2014-09-03 at 11:37.

  5. #5
    Junior Member
    Join Date
    Nov 2013
    Location
    Hamburg
    Posts
    4
    Dass ich Dinge nicht verstehe, ist an der Tagesordnung.
    Dass NAT den Header umschreibt ist auch klar.

    Wie kommt es im Log eines Servers in 192.168.0/24 aber zum Eintrag:
    Slim::Web::HTTP::acceptHTTP (291) Did not accept HTTP connection from 111.47.194.72 (mein Handy), unauthorized source

    ???


    Wenn ich als accepted Host (in meinem Beispiel) 111.47.* setze, geht's nicht.
    Nehme ich 111.47.*.* (also mit 3 Punkten!), geht's.
    Und das ist auch das, was ich will.

    Das habe ich verstanden.

  6. #6
    Senior Member
    Join Date
    Sep 2005
    Posts
    2,856
    Quote Originally Posted by Skram View Post
    Dass ich Dinge nicht verstehe, ist an der Tagesordnung.
    Dass NAT den Header umschreibt ist auch klar.

    Wie kommt es im Log eines Servers in 192.168.0/24 aber zum Eintrag:
    Slim::Web::HTTP::acceptHTTP (291) Did not accept HTTP connection from 111.47.194.72 (mein Handy), unauthorized source

    ???


    Wenn ich als accepted Host (in meinem Beispiel) 111.47.* setze, geht's nicht.
    Nehme ich 111.47.*.* (also mit 3 Punkten!), geht's.
    Und das ist auch das, was ich will.

    Das habe ich verstanden.
    ? Du hast einen chinesischen Handy Vertrag?
    IPv4 kennt das kürzen wie es Ipv6 beherscht nicht - daher sind die 4 byte (in der gepunkteten schreibweise) auch mit 3 Punkten.

  7. #7
    Junior Member
    Join Date
    Nov 2013
    Location
    Hamburg
    Posts
    4
    Ja, alles gut. Nur missverständlich!

    Die LMS-Hilfe spricht davon, dass man den Sternchen-Joker in IP-Adressen verwenden kann.
    In meinem Kopf ist dieser Joker ein Repräsentant von beliebig vielen, beliebigen Zeichen.
    Das trifft leider nicht die Interpretation vom LMS.

    Weiterhin akzeptiert die Eingabemaske des LMS dort IP-Adressen á la "111.12.*"
    Das funktioniert nur eben nicht.

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •