[fli4l] fli4l und Erreichbarkeit vom Draytek Vigor130

[Peter Schiefer]

Hallo Hans,

Am Thu, 5 Apr 2018 22:24:48 +0200 schrieb Hans Bachner:

> du reißt hier ein ganzes Scheunentor auf.

OK ich könnte das schon etwas mehr einschränken ;)

>> hierdurch kann das DSL-Modem auf alle Dienste auf dem fli4l zugreifen -
>> nutze ich damit z.B. das Modem sich die Zeit via NTP vom fli4l holt - im
>> vigor ist also als NTP-Server die 192.168.1.10 konfiguriert.
> 
> Dann würde ich auch nur Zugang auf NTP erlauben, z.B. mit 'tmpl:ntp'

ich habe das bewusst nicht weiter eingeschränkt um auch DHCP, DNS, SYSLOG
zu ermöglichen.

> Warum BIDIRECTIONAL? Du willst aus deinen Netzen auf den Router 
> zugreifen. Du erlaubstst hier (in PF_INPUT und PF_FORWARD) 
> unbeschränkten Zugriff für das Modem auf deinen Router und das gesamte 
> Netzwerk. Wird der Vigor von außen gehacked, steht dem Angreifer dein 
> ganzes Netz offen - noch dazu, wo du auf NAT verzichtest.

ich habe das so gewählt, das z.B. auch das Vigor eine Mail beim SMTP-Server
abliefern kann und auch die Kommunikation via dsltool von meinen weiteren
Test-fli4l funktioniert.

Da das Vigor seine Dienste jedoch nur auf dem IP-Netz und nicht auf PPPOE
anbietet ist die Möglichkeit das dieses von Aussen gehackt wird eher sehr
gering.

Gruß Peter