[fli4l] fli4l und Erreichbarkeit vom Draytek Vigor130
Hans Bachner
hans at bachner.priv.at
Do Apr 5 22:24:48 CEST 2018
Hallo Peter,
du reißt hier ein ganzes Scheunentor auf.
Peter Schiefer schrieb am 05.04.2018 um 17:54:
> Hallo Helmut,,
>
> [...]
>
> Auszüge aus meiner config/base.txt
>
> [...]
>
> PF_INPUT[]='@dsl-modem ACCEPT'
> {
> COMMENT='DSL-Modem'
> }
> hierdurch kann das DSL-Modem auf alle Dienste auf dem fli4l zugreifen -
> nutze ich damit z.B. das Modem sich die Zeit via NTP vom fli4l holt - im
> vigor ist also als NTP-Server die 192.168.1.10 konfiguriert.
Dann würde ich auch nur Zugang auf NTP erlauben, z.B. mit 'tmpl:ntp'
> PF_FORWARD[]='IP_NET_1 @dsl-modem ACCEPT BIDIRECTIONAL'
> [...]
>
> PF_FORWARD[]='IP_NET_5 @dsl-modem ACCEPT BIDIRECTIONAL'
> [...]
etc.
Warum BIDIRECTIONAL? Du willst aus deinen Netzen auf den Router
zugreifen. Du erlaubstst hier (in PF_INPUT und PF_FORWARD)
unbeschränkten Zugriff für das Modem auf deinen Router und das gesamte
Netzwerk. Wird der Vigor von außen gehacked, steht dem Angreifer dein
ganzes Netz offen - noch dazu, wo du auf NAT verzichtest.
Schöne Grüße,
Hans.
Mehr Informationen über die Mailingliste Fli4L