Will man von außerhalb des lokalen Netzwerks auf den Raspberry Pi zugreifen, muss man die lokale Firewall von raspbmc etwas anpassen. Zu finden sind die Einstellungen unter /etc/network/if-up.d/secure-rmc
$ tail -n 7 /etc/network/if-up.d/secure-rmc logger -t iptables "Configuring ip tables for interface $IFACE" if [ "$IFACE" != "lo" ]; then NETMASK=$(get_subnet $IFACE) iptables -A INPUT -s $NETMASK -i $IFACE -j ACCEPT iptables -A INPUT -i $IFACE -j DROP fi
Das kann man dann nach eigenen Wünschen anpassen. Also z.B. ein
$ iptables -A INPUT -p tcp --dport 22 -j ACCEPT
vor der DROP Regel. Warum droppen eigentlich immer alle Leute!? Ich finde ein REJECT ist viel schicker und sinniger als so ein dämliches DROP ;-).
Am besten vorher mal ein
$ iptables -I INPUT -p tcp --dport 22 -j ACCEPT
eingeben um zu testen ob Portforwarding vom Router usw. überhaupt richtig eingetragen ist und funktioniert. Und nun das wichtigste:
ÄNDERT das Default Passwort
Natürlich kann man die Regeln dementsprechend anpassen und nur bestimmten IPs Zugriff erlauben, iptables ist bekannterweise ein weites Feld.
p.s. raspbmc gefällt mir um einiges besser als openelec
update: Nun kann man auch die Firewall direkt via raspbmc addon im xbmc deaktivieren.
DROP braucht weniger Ressourcen als REJECT beim eignen Host aber mehr beim anderen Host wegen des Wartens auf Timeout.
Eine DOS auf iptables REJECT müsste man mal testen. Ich glaube nicht das es da Auffälligkeiten bei dem Host gegenüber DROP gibt.
neben den genannten ressourcen verrät dir ein drop immerhin schonmal, dass sich an der angegebenen adresse ein gerät befindet. evtl. kann man sogar über fingerprinting des drops mehr über das gerät herausfinden. ein drop sagt gar nichts, ohne antwort kein hinweis…
@kendon du meinst reject im ersten Satz nehme ich an 😉
Danke für den super Tipp. Ich war schon am verzweifeln da ich auf meinem Raspbmc eine Webseite nebenbei laufen lassen wollte und diese nur lokal erreichbar war.