[Freifunk-Bonn] Neuer Node f4ec38e97444
Jan Lühr
ff at stephan.homeunix.net
So Jan 6 18:50:58 CET 2013
Hallo,
sorry für den Telegramm-Stil - mir fehlt leider ein wenig die Zeit für ausführliche Erklärungen.
Btw. Bitte kein ToFu.
Am 06.01.2013 um 18:05 schrieb bjiveT:
> zu Punkt 2:
>
> Das sehe ich auch als sehr problematisch an. Ich habe als (DSL)-Router vor dem Freifunk-TP-Link einen alten Linksys WRT54GL stehen (allerdings mit Stock-Firmware). Dieser bietet keine Möglichkeit einen einzelnen Port (VLAN etc.) ) abzuschotten oder mehrere Subnetze zu konfigurieren.
> Ich kann das noch einigermaßen lösen (OpenWRT auf den Linksys flashen, dann sind VLAN's/iptables möglich).
> Aber die wenigsten (DSL)-Router werden das können bzw. irgendeine Möglichkeit bieten das zu ermöglichen.
> Gerade technisch nicht so versierten Usern oder evtl. später Cafés/Restaurants kann man nicht zumuten eine "DMZ" für den Freifunk-Router zu konfigurieren/bereitzustellen. Das muss meiner Meinung nach auch sicherheitstechnisch Plug&Play für diese User funktionieren.
> Gibts einen temporären Workaround dafür (mit ebtables vielleicht) ?
Kurz Antwort: Das ist konzeptionell nicht möglich. Du darfst dem Freifunk-Router nicht vertrauen. Selbst wenn Du volles Vertrauen in den Code und Deine Fähigkeiten zur Konfiguration hast, darfst Du es nicht, da er Netze mit vers. Vertrauensstellungen kombiniert (vgl. Konzeption von Sicherheitsgateways, BSI, Version 1.0)
Lange Diskussion: Bitte persönlich auf dem Treffen (bspw. am 10.1.) das ufert sonst leider aus.
> zu Punkt 3:
> Ich schaue mir das bei Gelegenheit mal an. Ich denke das würde die Akzeptanz bei neuen Usern auch noch weiter steigern wenn diese eine Bandbreitenbeschränkung konfigurieren könnten.
Einschränkungen auf Basis von tc sind mit der neuen fastd-Firmware möglich. Ich hoffe, das jenkins heute erste Beta-Release-Builds serviert)
Alles Gute
Jan
Mehr Informationen über die Mailingliste Freifunk-Bonn