[Berlin-wireless] Inbound-Filter vs. PPA

Martin Hübner martin.hubner at web.de
Mi Jul 28 09:34:03 CEST 2021


Hallo Matthias,

ich denke, das Pico Peering Agreement ist da recht eindeutig: Punkt 1.2
sagt:

"Der Eigentümer bestätigt, die Daten, die seine freie
Netzwerkinfrastruktur passieren, weder störend zu beeinträchtigen noch
zu verändern."

Ich halte es deshalb für schwierig eingehende Verbindungen zu filtern.
Das widerspricht meiner Ansicht nach auch dem Gedanken eines offenen
Netzes etwas.

Gleichwohl sollten wir auch die Umstände betrachten, die zu dieser
Filterung geführt haben: Manche Hausprojekte sind durch politische
Arbeit im Fokus von Behörden und würden von einem offenen Netz nicht nur
profitieren, sondern könnten evtl leichter überwacht werden.

Damit hängt auch der WISP-Gedanke zusammen. Auch wenn manche
Community-Mitglieder das gerne so sehen, ist Freifunk auf keinen Fall
ein WISP im herkömmlichen Sinne! Das PPA führt hierzu unter Punkt 3
einen expliziten Garantie und Haftungsausschluss auf:

- Es wird keinerlei garantierter Dienst (Betrieb, Service) vereinbart.
(Es gibt keine Garantie für die Verfügbarkeit / Qualität des Dienstes.)
- Der Dienst (Betrieb, Service) wird ohne Gewähr bereitgestellt, ohne
Garantie oder Verpflichtung jedweder Art.
- Der Dienst (Betrieb, Service) kann jeder Zeit ohne weitere Erklärung
beschränkt oder eingestellt werden.

Menschen durch inbound-Filterung eine Sicherheit/Garantie zu geben,
halte ich auf dieser Grundlage eher für fragwürdig.


Versteht mich bitte nicht falsch. Eingehende Filterung und Maßnahmen
gegen Überwachung sind wichtig und sinnvoll. Aber die Filterung
eingehender Verbindung im bbb-config stillschweigend pauschal zum
Standard zu erheben, halte ich für falsch.

Das verhindert/verkompliziert, dass die Leute ihre eigenen Dienste im
Freifunknetz anbieten. Freifunk ist für mich *geben* und nehmen. Und ich
finde, wir sollten das Geben möglichst einfach machen.

Gleiches gilt für Client-Isolation. Wenn ich jeden Client in seinen
eigenen Käfig sperre, muss ich wieder zusatzmaßnahmen unternehem, um
meine Dienste anzubieten.


TL;DR:
=======
Eine gute Lösung wäre in meinen Augen, den bisherigen Standard
beizubehalten: Keine Client-Isolation, kein Inbound-Filtering auf
Standorten innerhalb des Freifunknetzes. Hausprojekte, die dies
wünschen, sollen inbound-filtering weiterhin bekommen können.

Der Standard im bbb-configs-repo wäre keine-Isolation und kein
filtering. Beides kann jedoch durch eine einfache Option aktiviert
werden (opt-in statt opt-out).


Viele Grüße
Martin



Mehr Informationen über die Mailingliste Berlin