dsld, Kindersicherung und Co

[Gero013]

Hallo,

ich möchte demnächst die Firewall umpolen auf whitelist, weiß aber nicht, wie sich das auf andere Dienste auswirkt. Z.B. habe ich die Kindersicherung derart aktiv, dass ein Rechner ohne aktivierte Kindersicherung nicht ins Internet kommt. Erst wenn ich diesem eine Freigabe erteile ist eine Verbindung möglich.

Jetzt meine Frage:
Inwie weit hängt die Kindersicherung mit dsld zusammen, bzw. wer ist verantwortlich für die Sperren?
Wenn ich mir /var/flash/user.cfg anschaue, dann dürften das die Rechner sein, denen ich eine Freigabe erteilt habe.

Kann mir jemand erklären, was die Einträge internet_policy_id oder internet_ruleset_id bedeuten?

tr069 ist doch die Möglichkeit, die Box von außen zu manipulieren?!?
- kann ich den Dienst gefahrlos abschalten, oder hat das Auswirkungen auf die Stabilität der Box?

Gruß Gero

 

[linuxkasten]

AFAIK ist tr069 für die Konfiguration (nur!) durch den Provider zuständig, hab ich permanent deaktiviert/nicht im Image.

 

[hermann72pb]

@Gero013: tr069 kannst du natürlich abschalten, es können jedoch Probleme mit 1und1 auftreten, die tr069 gerne sehen wollen. Es gab hier vereinzelt Meldungen, dass 1und1 seine Kunden bombardiert hat, die tr069 abgestellt hatten. Passiert aber nicht bei allen Kunden.
Auf Stabilität kann es insoweit Auswirkung haben, dass du z.B. tr069 rausgepatcht hast, in den Configs (ar7.cfg, tr069.cfg) steht aber tr069 auf "enabled". Dann versucht natürlich die Box tr069-Sachen zu starten und verrennt sich unter Umständen. Verrennen kann sich in einer Rebootschleife äußern. Deswegen bitte erst in Configs deaktivieren und dann (wenn wirklich nötig) rauspatchen.
Kindersicherung ist wiederum ein Thema von AVM. Ich weiß nicht, ob hier unter uns überhaupt welche gibt, die ihre Funktion verstehen, bzw. die Kindersicherung überhaupt einsetzen.

MfG

 

[Gero013]

Es gab hier vereinzelt Meldungen, dass 1und1 seine Kunden bombardiert hat, die tr069 abgestellt hatten.

1und1 ist schon jetzt mein größter Spammer - sowohl per email, als auch in Papierform - wäre also nicht wirklich eine Änderung/Überraschung.

Als ich las, dass tr069 verwendet werden kann, um in die Firewall einzubrechen sind bei mir natürlich alle Alarmglocken angesprungen. Deshalb wäre es mir wichtig, die Funktion abzuschalten. Rauspatchen muss nicht unbedingt sein.

Kindersicherung ist wiederum ein Thema von AVM. Ich weiß nicht, ob hier unter uns überhaupt welche gibt, die ihre Funktion verstehen, bzw. die Kindersicherung überhaupt einsetzen.

Huch? - Gibt es eine angenehmere Art, sein internes Netz zu schützen?
Gut, meine Verwendung der Kindersicherung hat nix mit Jugendschutz zu tun, aber das Wissen, dass ein neuer Rechner über meine FB erst dann ins Internet kann, wenn ich ihn freigegeben habe, ist schon sehr beruhigend (insbesondere wenn ich an jugendlichen Besuch denke ).

Ich experimentiere auch viel mit Installationen und virtuellen Maschinen, sodass ich das Fietscher richtig lieb gewonnen habe.

Deshalb wüsste ich schon gerne, welches Proggy dafür verantwortlich ist und in wie weit das mit dsld zusammen hängt.

... oder anders gefragt:
Hat jemand schon mal ähnliches mit iptables realisiert?

Gruß Gero

 

[sf3978]

... aber das Wissen, dass ein neuer Rechner über meine FB erst dann ins Internet kann, wenn ich ihn freigegeben habe, ist schon sehr beruhigend (insbesondere wenn ich an jugendlichen Besuch denke ).
[...]
... oder anders gefragt:
Hat jemand schon mal ähnliches mit iptables realisiert?

Ja, das geht auch mit iptables.

 

[Gero013]

Ja, das geht auch mit iptables.

Ja Super!

Kennst Du Dich an der Ecke aus und kannst mir etwas unter die Arme greifen?!?

Inzwischen habe ich dsld umgestellt und die Box tut noch
Allerdings habe ich inadyn ins Knie genagelt. Die Mitteilung der neuen Adresse klappt nimmer.
Kann mir jemand nen Tip geben, welche Regeln ich brauche um das wieder ans Laufen zu bekommen?

Gruß Gero

 

[sf3978]

[...]
Kennst Du Dich an der Ecke aus und kannst mir etwas unter die Arme greifen?!?
[...]

Der Internetverkehr geht über die Forward chain. Die default Policy ist dort auf ACCEPT. D. h. Du musst blocken. Du kannst diese auch auf DROP stellen, dann können nur explizit erlaubte IP-Adressen durch.

 

[Gero013]

... dann können nur explizit erlaubte IP-Adressen durch.

Ok, danke! Muss ich mir in einer ruhigen Minute mal reinziehen.

Aktuell habe ich noch ein Problem mit inadyn:

Jun 19 18:20:09 fritz user.warn INADYN[1864]: Sat Jun 19 18:20:09 2010: W:DYNDNS: Error 'RC_IP_CONNECT_FAILED' (0x13) when talking to IP server
Jun 19 18:20:09 fritz user.warn INADYN[1864]: Sat Jun 19 18:20:09 2010: W:'RC_IP_CONNECT_FAILED' (0x13) updating the IPs. (it 0)

Jemand ne Idee, welchen Port ich noch freigeben muss (8245 habe ich inzwischen freigegeben)?

Gruß Gero

 

[sf3978]

..., aber das Wissen, dass ein neuer Rechner über meine FB erst dann ins Internet kann, ...

Evtl. wäre auch cutter etwas für dich. Siehe hier: klick & klick

 

[Gero013]

Klingt vom Ansatz her interessant.
Leider fehlt mir der whitelist-Modus (sperre alles bis auf Adresse xxx).
Sieht auch so aus, als würde das Proggy nimmer weiter entwickelt.
Ansonsten wäre das genau das, was mir vorschwebt.

Vielleicht hat AVM dies ja als Vorlage für die Kindersicherung genommen.

Also die Idee, die Internetverbindung nur zu bestimmten Zeiträumen zu zulassen und die Onlinezeit zu budgetieren ist für mich ein sehr guter Ansatz für "Kindersicherung".
Sind schon mehrere Eltern aus dem Bekanntenkreis zu mir gekommen, ob ich ihnen nicht sowas schnitzen könne.

Fehlt nur noch die Möglichkeit, das Budget über Tickets zu erhöhen

Gruß Gero