[Berlin-wireless] Inbound-Filter vs. PPA

Christian Hammel hammel at gmx.de
Do Jul 29 17:38:38 CEST 2021


Rückmeldung als Otto Normalrouterbetreiber mit zu wenig Ahnung,
Feineinstellungen selbst so vorzunehmen, dass sie besser würden:


> Verstößt das mit Sicherheitsbedenken begründete Filtern eingehender
> Verbindungen an Freifunk-Clients gegen das PPA 1.0?

Meinst du die Standard-Firewall-Einstellungen?
Seit die jetzt drei Zonen hat, verstehe ich die Einstellungen ohnehin
nicht mehr ganz und bin nicht mal sicher, ob ich meinen usern, damit
dass die braune Zone auf eingehend zurückweisen steht, eigentlich eine
wirksame (!) FW vor die Nase setze. Wenn das so ist, wären die Daten
aber zumindest in der Tat nicht ungefiltert. Das würde ich vor dem
Hintergrund des PPA nicht machen oder so einrichten, dass der
Routerbetreiber es einschalten muss.

Oder meinst du das Policyrouting, das Zugriffe in das Netz verhindert,
an dem der Router hängt?
Das scheint mir PPA-kompatibel, da es vorrangig nicht ums Durchleiten
geht und das PPA nicht verlangt, dass Routerbetreiber ihr eigenes Netz
nicht schützen dürfen.


> [...] wie handhabt ihr das?
So wie es die Firmwaregötter voreingestellt haben.
Meine Kompetenz reicht gar nicht aus, etwas so zu ändern, dass ich
sicher bin, dass ich das, was ich wollte, auch wirksam erreiche, ohne
weitere Baustellen aufzureißen.
Für Clients eingehende Daten wegzufiltern, würde ich, wenn ich es mir
per Kreuzchen aussuchen könnte, nicht machen, zumindest nicht wenn
zwischen Router und Internet noch NAT passiert.



> Ferner: Wie verhält es sich mit Client Isolation?
Das mag vor dem PPA-Hintergrund grenzwertig sein. Da das PPA aber
Endnutzer nicht verpflichtet, ihre Rechner für alle erreichbar zu
machen, die zufällig im selben Funknetz unterwegs sind und viele sich
darüber auch nicht im Klaren sind, erlaube ich mir diese kleine
Bevormundung und habe Client Isolation eingeschaltet.
Wenn es für Workshops o.ä. ausnahmsweise nötig ist, ein Netz zu haben,
in dem sich die Clients der Teilnehmer direkt erreichen können (alle 3
Jahre mal), stöpsle ich anlassbezogen einen billigen GLINet per Kabel an
den Freifunkrouter, der noisolation.berlin.freifunk.net aufspannt.


Grüße

Christian



Mehr Informationen über die Mailingliste Berlin