Ich wollte jetzt nicht in dem Thread wieder abdriften und auch nicht @jmaus ungefragt eine PM schicken, außerdem möchte ich Feedback von anderen ermöglichen.inidona hat geschrieben: ↑18.01.2023, 20:16ich glaube wenn man Portweiterleitungen verhindern möchte reicht das Pop up nicht aus.
Wie wäre es die komplette Programmabarbeitung zu stoppen und ein fettes Overlay über die Oberfläche zu legen bis die Weiterleitung deaktievert wurde ?
Ich denke man muss die User die sowas nicht bedenken oder verstehen maximal behindern.
ciao
Andreas
Was spricht dagegen, dass die CCU Firmware (also erstmal RM bis eq3 das vielleicht übernimmt) standardmäßig eine iptables rule mitbringt, die alle eingehenden Verbindungen blockiert die von außerhalb des LAN (Edit: bzw außerhalb des non-routable address space, dann ist S2S auch kein Problem) kommen, sodass eine Portweiterleitung unwirksam wird?
VPN-Nutzer haben eine lokale IP und alles andere (Mediola etc) baut ja die Verbindung nach außen auf, nicht umgekehrt.
Das könnte man dann nur mit Wissen über iptables wieder raus bauen und wer das rausfindet, ist hoffentlich so versiert, dass er keine Portweiterleitung macht, sondern nur für Site2Site VPN oder ähnliches braucht. (Für diese User muss man das natürlich dokumentieren und kommunizieren, bevor das Update ihm das zerbricht, bzw siehe Edit, nur wenn er Adressen außerhalb des non routable address space nutzt)
Den Portweiterleitungs-DAU sollte das aber aufhalten.
Habe ich etwas übersehen oder müsste das funktionieren?
Noch ein Edit: Im Prinzip müsste das ja dann der Firewall Einstellung in der webui "eingeschränkt" entsprechen und nur mit privaten Subnetzen erlaubt. Das Menü müsste also den Vollzugriff rausgepatcht bekommen und keine Eingabe von Adressen außerhalb des privaten Bereichs zulassen. Wer dann immernoch zwingend einen direkten Zugriff von routable adresses braucht, sollte in der Lage sein, diese selbst per iptables zu erlauben. (Aber warum?)