
<p dir="ltr"><br>

Den 15 jul 2013 14:55 skrev "Nick Daly" <<a href="mailto:nick.m.daly@gmail.com">nick.m.daly@gmail.com</a>>:<br>

><br>

> > Quoting Timur Mehrvarz (2013-07-15 07:05:29)<br>

> >> Hi, is there an agreed upon best practice on how to separate public<br>

> >> http services from those that shall only be accessible on the private<br>

> >> network? Private only services could be offered on a separate port and<br>

> >> the firewall would ensure that access to this port is shielded. One<br>

> >> could also offer public + private services on the same port, but make<br>

> >> sure - within the code - that private services will only respond to<br>

> >> requests coming from the internal network. Any other options? How do<br>

> >> you prefer to handle this? Thanks.<br>

><br>

> Which private network do you mean?  I can think of two:<br>

><br>

> 1. The internal network (intranet) that my FreedomBox runs on (the<br>

> home network, with IPs usually in the range of 192.168...).</p>

<p dir="ltr">In my LAN I got 2000::/3 or fe80::/10. We should not ignore IPv6, as that is just a way of building infrastructure that's not old even before we start</p>

<p dir="ltr">> 2. The private network produced by my authenticated friends connecting<br>

> to my FreedomBox to use services I provide.</p>

<p dir="ltr"> IpSec is part of IPv6, so that should be a possible solution. We "just" need to distribute keys.</p>

<p dir="ltr">> 1 is easy: we're serving services on the internal network, so we can<br>

> ignore the larger Internet all together.<br>

><br>

> 2 is more difficult but can be accomplished through a number of tools<br>

> like SSH forwarding, Tor Hidden Services, or GNUnet applications.  In<br>

> that case, you're looking to authenticate the user before providing<br>

> the service.  In case 1, authentication was assumed by the fact that<br>

> the user was on your network (assuming your network is secure...).<br>

><br>

> Different use cases could require different methods, and we'd better<br>

> make sure we plan for supporting at least one of the common methods<br>

> for v2, at least.  Jonas, could you put up a wiki page detailing your<br>

> thoughts on the goals of first few releases?  I think they're pretty<br>

> much what I was thinking, but they might be a little more developed.<br>

><br>

> On Mon, Jul 15, 2013 at 5:31 AM, Jonas Smedegaard <<a href="mailto:dr@jones.dk">dr@jones.dk</a>> wrote:<br>

> > Good idea to try map out what are best practices for different contexts.<br>

><br>

> Jonas, I concur!  I think the mailing list might be a good place for<br>

> discussing the ideas though, a more permanent wiki page seems<br>

> appropriate when we have more solid solutions.<br>

><br>

> Nick ___________________________________________<br>

> Freedombox-discuss mailing list<br>

> <a href="mailto:Freedombox-discuss@lists.alioth.debian.org">Freedombox-discuss@lists.alioth.debian.org</a><br>

> <a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss">http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/freedombox-discuss</a><br>

</p>