Huawei B535-232 externer Zugang & Port Forwarding

[MatEns]

Schönen guten Abend,

 

ich will gerade meinen Raspberry Pi per port forwarding extern verfügbar machen, allerdings stoße ich auf ein paar Probleme.

 

Ich habe bereits ddns eingerichtet, dieses funktioniert auch und will jetzt port 443 weiterleiten. Allerdings komme ich direkt auf das Webinterface des Routers. Da ich in den Einstellungen keine Option finde, dieses abzuschalten ist das zum Einen recht unsicher und zum anderen extrem störend, weil ich weder einen externen Zugang zum Router brauche/will, noch auf einen anderen tls port ausweichen will.

Selbstverständlich ist es möglich, dass ich ganz einfach die entsprechende Option übersehe, falls dies der Fall ist, wäre eh kein Problem an der ganzen Sache.

 

Vielen Dank im Vorhinein und noch einen schönen Abend,

Mat

[MarioM]

6 hours ago, MatEns said:

Ein well-known port ist nicht gleich reserviert.

Habe ich nicht gesagt, nur wenn der Hersteller es vorsieht, was willst du dagegen tun? ...

 

6 hours ago, MatEns said:

Und wenn irgendein Drittanbieter-Gerät von außen erreichbar ist, ohne dass ich irgendwas dagegen machen kann, dann ist das nix anderes als eine Sicherheitsschwachstelle.

Dafür entscheidest du dich aber selbst, wenn du eine öffentliche IP Adresse anforderst und im Zweifelsfall musst du dir halt eine eigenen Hardware kaufen.

[Godi]

Hallo @MatEns! Hast du zufällig schon eine Lösung gefunden? Ich werde auch immer auf die Weboberfläche geleitet.

[MarioM]

Welchen Router hast du denn? Grundsätzlich ist das bei vielen Routern so dass Port 80 & 443 auf das Interface des Routers gehen.

 

Warum verwendest du für deinen Raspberry Pi nicht einen anderen Port?

[MatEns]

vor 2 Stunden schrieb MarioM:

Welchen Router hast du denn? Grundsätzlich ist das bei vielen Routern so dass Port 80 & 443 auf das Interface des Routers gehen.

 

Warum verwendest du für deinen Raspberry Pi nicht einen anderen Port?

Vielen Dank für die Antwort,

 

ich habe aktuell den B535-232

 

Bei meinem alten b593s-22 konnte ich den externen Zugang zumindest deaktivieren. 

Mir geht es hauptsächlich darum, dass ich keine Geräte offen zugänglich machen will,  auf die ich nichtmal per shell Zugang hab.

 

Außerdem will ich einfach einen halbwegs sauberen Zugangspunkt für meinen Reverse Proxy haben - auch wenn es technisch möglich ist einen anderen Port zu verwenden, ist es einfach nicht mehr zeitgemäß von Herstellerseite Zugänge freizulassen.

[MarioM]

1 hour ago, MatEns said:

Vielen Dank für die Antwort,

 

ich habe aktuell den B535-232

 

Bei meinem alten b593s-22 konnte ich den externen Zugang zumindest deaktivieren. 

Mir geht es hauptsächlich darum, dass ich keine Geräte offen zugänglich machen will,  auf die ich nichtmal per shell Zugang hab.

 

Außerdem will ich einfach einen halbwegs sauberen Zugangspunkt für meinen Reverse Proxy haben - auch wenn es technisch möglich ist einen anderen Port zu verwenden, ist es einfach nicht mehr zeitgemäß von Herstellerseite Zugänge freizulassen.

Naja, reservierte Ports wirst du aber nicht einfach ändern können

 

Sobald du einen Port aufmachst, und sei es auch nur 80 oder 443 hast du schon etwas öffentlich zugänglich gemacht Demnach wäre es egal, ob du einen anderen Port nimmst oder nicht.

[MatEns]

vor 12 Stunden schrieb MarioM:

Naja, reservierte Ports wirst du aber nicht einfach ändern können

 

Sobald du einen Port aufmachst, und sei es auch nur 80 oder 443 hast du schon etwas öffentlich zugänglich gemacht Demnach wäre es egal, ob du einen anderen Port nimmst oder nicht.

So funktionieren Ports nicht.

Ein well-known port ist nicht gleich reserviert. Und wenn irgendein Drittanbieter-Gerät von außen erreichbar ist, ohne dass ich irgendwas dagegen machen kann, dann ist das nix anderes als eine Sicherheitsschwachstelle.

Wenn ich selbst irgendwas erreichbar schalte kann ich sichergehen welche SSL Zertifikate verwendet werden sollen und sichergehen, dass immer die neueste Software installiert ist. Wenn mein Router an sich schon eine Blackbox ist, von der ich nur hoffen kann, dass sie nicht in einem botnet landet, dann ist das nicht egal ob ich einen anderen port nehme oder nicht.

 

Da wird nicht nur Kontrolle weggenommen, sondern auch künstlich Schwachstellen erzeugt ohne gutem Grund.

 

Aber ja, war eigentlich eh klar, dass das hier in einer Grundsatzdebatte endet. Ich probiers eif beim technischen support und am Ende werd ich die Firmware selbst umschreiben dürfen.

[helig]

Würd' mich auch interessieren, ob man dem Huawei B535-232 beibringen kann, sein Webinterface (Port 80/443) nicht über die WAN-Seite anzubieten.
Ich werde sicher nie meinen Router von dieser Seite managen wollen (von der LAN-Seite reicht völlig), und wer anders schon gar nicht...