#501  (Permalink
Alt 05.06.2021, 17:22
user375 user375 ist offline
Mitglied
 
Registriert seit: 07.11.2018
Beiträge: 311
Standard AW: Konfiguration Vigor165

Ja, das schränkt den Zugriff nun deutlich ein, sowohl von der Anzahl der Hosts aus als auch die Anzahl der relevanten Dienste (nur noch https tcp/443).
Man könnte das eingehende Interface auch noch in die Regel mit aufnehmen (das schränkt die Nutzbarkeit der Regel nochmal etwas mehr ein).

Wobei es eine Frage der Übersichtlichkeit sein könnte, ob man was das Thema Einschränkung angeht, diese nicht eher in der FORWARD chain machen würde (weil man da ja dann alles drin hat - auch die Regeln, die nichts mit NAT am Hut haben - so gehe zumindest ich vor).

Man könnte sich auch noch Gedanken machen über den IPFire-Host selbst. Auch von dort ist ja der Zugriff grundsätzlich möglich - auch wenn er wahrscheinlich nicht nötig ist. Je nach vorhandener iptables-Policy müsste dann noch ein freundliches

iptables -I OUTPUT -d ModemNetz/x -j DROP

rein, so dass ein potentieller Angreifer, der es als nicht-root auf den IPFire-Host geschafft hat, von dort nicht weiterkommt.
Mit Zitat antworten
  #502  (Permalink
Alt 05.06.2021, 18:34
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Stimmt, in dem Fall würde dann die FORWARD-Chain ausreichen.
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #503  (Permalink
Alt 05.06.2021, 18:41
user375 user375 ist offline
Mitglied
 
Registriert seit: 07.11.2018
Beiträge: 311
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von user375 Beitrag anzeigen
Wobei es eine Frage der Übersichtlichkeit sein könnte, ob man was das Thema Einschränkung angeht, diese nicht eher in der FORWARD chain machen würde (weil man da ja dann alles drin hat - auch die Regeln, die nichts mit NAT am Hut haben - so gehe zumindest ich vor).
Das ist gelinde gesagt Quatsch. Ich muss mich hier selbst massiv korrigieren.
Warum müssen die Restriktionen in die FORWARD-Chain im gegebenen Fall? Ganz einfach: Mit den Einschränkungen nur in den nat-chains wird zwar nur eingeschränkt genattet, der Datenstrom landet aber trotzdem beim Zieldevice (dann eben ungenattet) und kann trotzdem für Angriffszwecke genutzt werden.
Daher müssen die Einschränkungen in die FORWARD-Chain - dort in Verbindung mit der Policy auf DROP oder REJECT - sonst macht das Ganze nämlich wieder kaum Sinn.
Mit Zitat antworten
  #504  (Permalink
Alt 05.06.2021, 18:58
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Wie müsste die Regel dann in meinem Fall mit der Forward-Chain also aussehen?
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #505  (Permalink
Alt 05.06.2021, 23:13
user375 user375 ist offline
Mitglied
 
Registriert seit: 07.11.2018
Beiträge: 311
Standard AW: Konfiguration Vigor165

# Hinweg
iptables -I FORWARD -p tcp -i localNetIface -o modemIface -d modemIP -s hostIPinLAN --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
# Rueckweg
iptables -I FORWARD -p tcp -o localNetIface -i modemIface -s modemIP -d hostIPinLAN --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# Policy für forward
iptables -P FORWARD DROP
# oder als Regel in FORWARD nach den obigen beiden:
iptables -A FORWARD -o modemIface -j DROP

=> Damit ist der erlaubte / vorgesehene Weg klar beschrieben - was anderes geht nicht mehr Richtung Modem.

Die Regel in den nat Chains kannst Du jetzt entweder so lassen, wie sie zuletzt war, oder wieder vereinfachen wie am Anfang. Tut jetzt nichts mehr zur Sache, weil die FORWARD-Regeln schon vorher alles wegfiltern, was nicht gewollt ist.


Die Vorgehensweise über die gesperrte Policy ist grundsätzlich vorzuziehen, weil sicherer. Falls die derzeit noch nicht vorhanden ist, kannst Du sie aber vermutlich nicht einfach aktivieren, weil es ansonsten wahrscheinlich zu erheblichen Problemen führen könnte, weil dann tatsächlich nur noch das möglich ist, was explizit definiert wurde (je nach dem. wie eng oder freizügig die Regeln geschrieben wurden). Das Beispiel oben ist ein Bsp. für eine eng geschriebene Regel!
Mit Zitat antworten
  #506  (Permalink
Alt 06.06.2021, 21:41
Rennrakete Rennrakete ist offline
Mitglied
 
Registriert seit: 20.02.2015
Beiträge: 192
Provider: Telekom
Bandbreite: SVVDSL 250
Standard AW: Konfiguration Vigor165

Ich danke dir für deine konstruktiven Beiträge!

Ich habe die FORWARD-Chain mal so hinterlegt, doch leider funktioniert das nicht, das Modem kann nicht erreicht werden. Die FORWARD-Policy ist bereits standardmäßig als DROP hinterlegt und damit sicher, aber mit den manuellen Regeln, wie du sie beschrieben hast, funktioniert das nicht.
__________________
Es heißt korrekt: "Die Leitung wurde geschaltet."
Mit Zitat antworten
  #507  (Permalink
Alt 23.06.2021, 19:20
Donald24 Donald24 ist offline
Neues Mitglied
 
Registriert seit: 15.01.2000
Beiträge: 12
Standard AW: Konfiguration Vigor165

In den heissen Tagen sackt nach Monaten der SNR-down ab von 7 auf 6, gibt es dafür eine Erklärung? Verkabelung wurde nicht verändert, und liegt bei ca. 150m laut FB.

Zitat:
vdsl status
---------------------- ATU-R Info (hw: annex B, f/w: annex A/B/C) -----------
Running Mode : 35B State : SHOWTIME
DS Actual Rate :292004000 bps US Actual Rate : 46719000 bps
DS Attainable Rate :298285696 bps US Attainable Rate : 50758000 bps
DS Path Mode : Fast US Path Mode : Fast
DS Interleave Depth : 1 US Interleave Depth : 1
NE Current Attenuation : 11 dB Cur SNR Margin : 6 dB
DS actual PSD : 14. 4 dB US actual PSD : -4.-7 dB
NE CRC Count : 0 FE CRC Count : 34
NE ES Count : 0 FE ES Count : 9
Xdsl Reset Times : 0 Xdsl Link Times : 1
ITU Version[0] : fe004452 ITU Version[1] : 41590000
VDSL Firmware Version : 08-0D-01-09-01-07 [with Vectoring support]
Power Management Mode : DSL_G997_PMS_L0
Test Mode : DISABLE
-------------------------------- ATU-C Info ---------------------------------
Far Current Attenuation : 6 dB Far SNR Margin : 9 dB
CO ITU Version[0] : b5004244 CO ITU Version[1] : 434dc250
DSLAM CHIPSET VENDOR : < BDCM >
Mit Zitat antworten
  #508  (Permalink
Alt 23.06.2021, 20:31
netmax netmax ist offline
Mitglied
 
Registriert seit: 07.08.2008
Ort: Kerpen Manheim-neu
Beiträge: 268
Provider: Telekom
Bandbreite: SV 256/46
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von Donald24 Beitrag anzeigen
In den heissen Tagen sackt nach Monaten der SNR-down ab von 7 auf 6, gibt es dafür eine Erklärung? Verkabelung wurde nicht verändert, und liegt bei ca. 150m laut FB.
Die Frage habe ich auch schon gestellt, siehe hier: https://www.onlinekosten.de/forum/sh...d.php?t=154286
__________________
DeutschlandLAN Sip-Trunk @SVVDSL 256/46 (BDCM 194.25, 490m@100x2x0.5-Kabel) bei der T, aber FTTH von Westnetz ungenutzt im Keller liegen
Equipment: Draytek Vigor 165 -> pfSense 2.5.1 @ESXi 6.7 on Dell R210ii -> Auerswald COMpact 5500R / COMtrexx.
Mit Zitat antworten
  #509  (Permalink
Alt 24.06.2021, 09:44
Eifelyeti Eifelyeti ist offline
Mitglied
 
Registriert seit: 23.01.2005
Ort: Eifel
Beiträge: 207
Bandbreite: Telekom VDSL 100/40
Standard AW: Konfiguration Vigor165

Zitat:
Zitat von netmax Beitrag anzeigen
Die Frage habe ich auch schon gestellt, siehe hier: https://www.onlinekosten.de/forum/sh...d.php?t=154286
Meine Vermutung:


Steigende Temperatur = größerer Widerstand im Kabel = schlechterer SNR.
Ggf. noch eine Reduktion der Performance im DSLAM aufgrund höherer Umgebungstemperaturen im Gehäuse, also evtl. Absenkung der Sendeleistung.


Ich kann das selbe bei mir ebenfalls beobachten, letzte Neusyncronisation vor 84 Tagen, am Anfang SNR von 6, jetzt auf 5 gefallen. Läuft aber dennoch stabil, ab und an mal ein paar CRC und sonstige Fehler aber kein Resync.
Mit Zitat antworten
  #510  (Permalink
Alt 09.07.2021, 21:49
Dark Blue Dark Blue ist offline
Mitglied
 
Registriert seit: 08.07.2020
Beiträge: 56
Provider: Telekom
Bandbreite: 250/40
Standard AW: Konfiguration Vigor165

Hallo,


wie ich es rauslese, ist der Nachfolger 167 doch nicht so gut.
Der Vigor165 läuft Super bei mir.
Auch die Techniker waren noch mal hier, jetzt endlich eine Recht Saubere Leitung. Es wurde der Port & die Zuleitung/Adernpaar (Vom DSLAM bis Patchp. der Telekom unten im Keller bei mir) gewechselt. XDSL Link Time 4, weil Modem auch wärend des Wechsel inkl. Test in Betrieb war, sind also gewolte Resync.
hier mal Daten:





Für eine Leitungslänge von 274m ganz Ordendlich.

NG Sven
Mit Zitat antworten
 
Anzeige
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Optimale DSL-Konfiguration Robbia Internet via Telefonkabel (ADSL, ADSL2+, VDSL2, SVDSL, G.FAST und SDSL) 6 10.04.2001 22:34
Was haltet ihr von dieser Konfiguration? da.force Hardware 9 19.03.2001 18:24
Konfiguration Zugriffberechtigung mit htaccess Miwe Sonstiges 0 14.02.2001 15:21
Hilfe bei Konfiguration von Squid? dahool Linux, BSD, *NIX 1 09.02.2001 12:13
PC Konfiguration kläuschen Hardware 5 03.02.2001 19:22


Alle Zeitangaben in WEZ +2. Es ist jetzt 02:47 Uhr.


Basiert auf vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.