[Berlin-wireless] Verständnisfrage zum Kathleen PolicyRouting

Smilie smilie at posteo.de
Mo Jan 9 09:29:47 CET 2017


Vielen Dank,

das hätte ich jetzt im Nachhinein intuitiv natürlich auch gedacht.
Ist die Frage, ob wir das im FAQ besser unterscheiden könnten und
damit auch auf die lokalen Dienste etwas stärker eingehen könnten.

Will sagen:
Für Rechner aus dem FF-Netz wirkt das Masquerading wie eine FW gegen
ein Lokales Netz.
Jedoch für lokale Dienste eben nicht. Dienste sind:
SSH
Webserver
DNS
OLSR
VPN
Batman
usw.

Diese Dienste sind also ein mögliches Sicherheitsrisiko.
Nur wegen einer geeigneten Programmierung und mittels ihrer
Einfachheit im Aufbau sind die Dienste weitgehend sicher.
Die Diente müssen eben eine Ausnutzung von Außen verhindern.

Für mich wäre jetzt noch die Frage offen, wie wirkt sich Batman hier
aus?


Am Sun, 8 Jan 2017 19:27:58 +0100
schrieb Sven Roederer <freifunk at it-solutions.geroedel.de>:

> Smilie,
> 
> du musst im hinterkopf behalten, dass es quasi 2 "default-Routen"
> gibt. Eine für Traffic vom Router aus, die Andere für Clients aus'm
> FF-Lan.
> 
> Sven
> 
> Am 08.01.2017 um 00:12 schrieb Smilie:
> >>> Um was es mir auch geht ist die Abgrenzung eines privaten LAN  
> >>> > > (WAN-Port) vom Freifunk. Ist das schon automatisch durch ein
> >>> > > masquerading gelöst? Ich hatte gehofft, dass ich die Antwort
> >>> > > auch im FAQ finden kann.    
> >> > 
> >> > https://wiki.freifunk.net/Berlin:Firmware#Ist_mein_privates_Netz_sicher_vom_Freifunk-Netz_abgetrennt.3F
> >> > 
> >> > Schon im ersten Satz da findet sich eine Erklärung inkl. Link auf
> >> > https://wiki.freifunk.net/Policy_Routing
> >> > 
> >> > Nebenbei ist Masquerading keine Technik zum Trennen von
> >> > Netzwerken; alles Masquerading der Welt hielte ja niemanden
> >> > davon ab, von einem Freifunk-Client aus ein "ping 192.168.0.1"
> >> > zu machen.  
> > ???
> > Das kann doch nur geroutet werden, wenn die Route zu 192.168.0.1
> > bekannt ist bzw. annonciert wird. Ich dachte, dass sich bei
> > Masquerading der 192.168.0.1er für eine globale Adresse ausgibt,
> > weil die Route zu privaten Adressen sogar nicht bekannt sein darf.
> > 
> >   
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv




Mehr Informationen über die Mailingliste Berlin