[Berlin-wireless] Inbound-Filter vs. PPA

[ff at xayax.de]

Guten Tag,

der Spruch "Freiheit stirbt mit Sicherheit“ funktioniert in beide Richtungen.  

Wir wollen doch ein freies und unmanipuliertes Netz spannen und gleichzeitig die Enduser gegen Manipulation und Überwachung schützen. 
Könnten wir nicht „einfach“ alles, was mesht, was im bbb weiterleitet und redet komplett ungefiltert lassen und die jeweiligen DHCP-Schnittstellen, an denen sich die Clients tummeln, entsprechend filtern und absichern? 

Oder widerspricht sich das? Geht nur das eine oder andere? Ich finde es an öffentlichen Netzen schon sehr sinnvoll, die Client-Isolation einzuschalten. Dort, wo das vielleicht nicht gewollt ist, weil man eine WG ist oder so, kann man ja ein zweites WLAN aufspannen und die dann ausschalten. Aber in der Regel würde ich davon ausgehen, dass die Clients im Freifunknetz sich nicht gegenseitig sehen müssen. Was natürlich schön wäre, wenn die Freifunk-Dienste weiterhin erreichbar wären. 

lg
kaya



> Am 28.07.2021 um 09:34 schrieb Martin Hübner <martin.hubner at web.de>:
> 
> Hallo Matthias,
> 
> ich denke, das Pico Peering Agreement ist da recht eindeutig: Punkt 1.2
> sagt:
> 
> "Der Eigentümer bestätigt, die Daten, die seine freie
> Netzwerkinfrastruktur passieren, weder störend zu beeinträchtigen noch
> zu verändern."
> 
> Ich halte es deshalb für schwierig eingehende Verbindungen zu filtern.
> Das widerspricht meiner Ansicht nach auch dem Gedanken eines offenen
> Netzes etwas.
> 
> Gleichwohl sollten wir auch die Umstände betrachten, die zu dieser
> Filterung geführt haben: Manche Hausprojekte sind durch politische
> Arbeit im Fokus von Behörden und würden von einem offenen Netz nicht nur
> profitieren, sondern könnten evtl leichter überwacht werden.
> 
> Damit hängt auch der WISP-Gedanke zusammen. Auch wenn manche
> Community-Mitglieder das gerne so sehen, ist Freifunk auf keinen Fall
> ein WISP im herkömmlichen Sinne! Das PPA führt hierzu unter Punkt 3
> einen expliziten Garantie und Haftungsausschluss auf:
> 
> - Es wird keinerlei garantierter Dienst (Betrieb, Service) vereinbart.
> (Es gibt keine Garantie für die Verfügbarkeit / Qualität des Dienstes.)
> - Der Dienst (Betrieb, Service) wird ohne Gewähr bereitgestellt, ohne
> Garantie oder Verpflichtung jedweder Art.
> - Der Dienst (Betrieb, Service) kann jeder Zeit ohne weitere Erklärung
> beschränkt oder eingestellt werden.
> 
> Menschen durch inbound-Filterung eine Sicherheit/Garantie zu geben,
> halte ich auf dieser Grundlage eher für fragwürdig.
> 
> 
> Versteht mich bitte nicht falsch. Eingehende Filterung und Maßnahmen
> gegen Überwachung sind wichtig und sinnvoll. Aber die Filterung
> eingehender Verbindung im bbb-config stillschweigend pauschal zum
> Standard zu erheben, halte ich für falsch.
> 
> Das verhindert/verkompliziert, dass die Leute ihre eigenen Dienste im
> Freifunknetz anbieten. Freifunk ist für mich *geben* und nehmen. Und ich
> finde, wir sollten das Geben möglichst einfach machen.
> 
> Gleiches gilt für Client-Isolation. Wenn ich jeden Client in seinen
> eigenen Käfig sperre, muss ich wieder zusatzmaßnahmen unternehem, um
> meine Dienste anzubieten.
> 
> 
> TL;DR:
> =======
> Eine gute Lösung wäre in meinen Augen, den bisherigen Standard
> beizubehalten: Keine Client-Isolation, kein Inbound-Filtering auf
> Standorten innerhalb des Freifunknetzes. Hausprojekte, die dies
> wünschen, sollen inbound-filtering weiterhin bekommen können.
> 
> Der Standard im bbb-configs-repo wäre keine-Isolation und kein
> filtering. Beides kann jedoch durch eine einfache Option aktiviert
> werden (opt-in statt opt-out).
> 
> 
> Viele Grüße
> Martin
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv