DOCSIS Config File auslesen

c.wuensch

Neuer User
Mitglied seit
17 Aug 2006
Beiträge
39
Punkte für Reaktionen
0
Punkte
6
Weiß jemand, wie ich den Inhalt des von Vodafone aufgespielten DOCSIS Config Files auslesen kann?
(Keine Sorge, ich möchte es nur LESEN! Ich habe nicht vor, irgendeinen Schindluder damit zu betreiben und es zu verändern)

Ziel ist es, ggü. Vodafone nachzuweisen, dass ihre netzseitigen Portsperren (z.B. Ports 445, 135, 139) übers Config-File implementiert werden, und ihnen aufzeigen zu können, welche Zeile(n) sie verändern müssten.
 
Hallo @c.wuensch!

Ich versuche zu verstehen, was du mit deiner Absicht, die providerseitige Sperrung dieser drei Ports zu verhindern, bezweckst.
Du möchtest doch nicht etwa dein Netz über diese SMB-Ports der Allgemeinheit zur Verfügung stellen.
Ich frage ja nur...

vy 73 de Peter
 
Es geht um AUSGEHENDE Portsperren!
Das hat nichts damit zu tun, dass ICH mein Netz für irgendjemanden bereitstellen möchte, sondern es bedeutet, dass Vodafone aktiv verhindert, dass man von ihren Kabelanschlüssen aus auf öffentlich nutzbare Cloudspeicher-Anbieter, die z.B. den Port 445 verwenden, zugreifen kann.
Dies stellt einen Verstoß gegen die Netzneutralität (Art. 3 Abs. 3 TSM-VO) dar.
Auch die Bundesnetzagentur hat sich hier meiner Argumentation angeschlossen, und Vodafone hat ggü. der Bundesnetzagentur zugesagt, die ausgehende netzseitige Portsperre für Port 445 aufzuheben.
Allerdings "glauben" sie mir nicht, dass diese sich nicht nur in ihren Routern befinden, sondern auch im DOCSIS Config-File.
 
Zuletzt bearbeitet:
OK, damit ziehe ich meine Frage zurück.
 
Also ich glaube nicht, dass Portsperren über ein Docsis File gemacht werden. DOCSIS ist Physcal layer. Portsperren sind Layer 3 oder 4. Also SEHR weit weg von physical.

Das hat nichts damit zu tun, dass ICH mein Netz für irgendjemanden bereitstellen möchte, sondern es bedeutet, dass Vodafone aktiv verhindert, dass man von ihren Kabelanschlüssen aus auf öffentlich nutzbare Cloudspeicher-Anbieter, die z.B. den Port 445 verwenden, zugreifen kann.
Sowas gibt es nicht wirklich, oder?

Allerdings "glauben" sie mir nicht, dass diese sich nicht nur in ihren Routern befinden, sondern auch im DOCSIS Config-File.
Ich glaube das auch nicht.
 
  • Like
Reaktionen: Peter_Lehmann
Der Menüpunkt

Internet -> Filter -> Listen -> Globale Filtereinstellungen -> NetBIOS-Filter aktiv

ist aber bekannt und auch kontrolliert?
 
Korrekt, der Menüpunkt ist bekannt.
Es sind spezielle Einträge im Config-File vorhanden. Ich weiß das, weil wir es abhängig vom Config-File entweder geht oder nicht geht. Und weil die entsprechende Einstellung bekannt ist.
Aber um das zu überprüfen wäre es einfach super, wenn man das Config-File mal einsehen könnte.
Kommt man da in der FritzBox (z.B. via Telnet) irgendwie dran?
 
Ich weiß das, weil wir es abhängig vom Config-File entweder geht oder nicht geht.
Dann müsste ihr die Config Files ja haben, denn wie wollt ihr sonst diesen Schluss ziehen? Wenn ihr einfach nur unterschiedliche Router oder Boxen habt, und mal geht es, und mal nicht, dann können ja auch noch anderen Dinge anders sein, nicht nur das Config File.


Aber um das zu überprüfen wäre es einfach super, wenn man das Config-File mal einsehen könnte.
Da es ja offenbar unterschiedliche Config Files gibt, müsste es ja dann auch noch das richtige sein.

Es ist meines Erachtens erheblich einfacher für den Provider, die Ports im Router zu sperren.
 
Seht ihr... Vodafone "glaubt" das ja auch nicht.
Und solange ich das ConfigFile nicht HABE, kann ich es nicht nachweisen.

Ich bin aber gerne bereit, mit jedem hier um ein sehr großes Eis zu wetten, dass das Config-File einen sehr bestimmten Eintrag enthält.

Code:
SnmpMibObject docsDevFilterIpDestPortLow.4 Integer 445 ;
SnmpMibObject docsDevFilterIpDestPortHigh.4 Integer 445 ;

Also nochmal die Frage: Angenommen, man kommt per Telnet auf die FritzBox - kann man das DOCSIS Config-File dann lesen?
 
Zuletzt bearbeitet:
Ja, wenn man mit telnet auf die Box kommt, kann man das File /var/tmp/docsis_config.bin lesen. Ob man da etwas Sinnvolles herauslesen kann, ist die nächste Frage.
 
  • Like
Reaktionen: c.wuensch
Vermutlich kann man das File damit untersuchen:

oder damit:
 
Gut möglich! Da ich noch nie an ein Config File herangekommen bin, weiß ich nicht, wie die von innen aussehen.
Deine Tools scheinen auf jeden Fall besser geeignet zu sein.
Jetzt müssen wir nur noch drankommen!
 
Das Binärfile wurde ja durch einen Compiler geschickt. Ist der HW unabhängig? Sonst kann man das Decompilieren wohl vergessen.

Die Einträge kannst du übrigens vergessen. Im RFC 2669 von 1999 waren sie noch drin, in dem von 2006 (RFC 4639) sind sie schon deprecated. Selbst wenn die noch in irgendeinem Config File drinstehen sollten, dann kommen sie heute garantiert nicht mehr zur Anwendung, sondern werden ignoriert. Jedenfalls in allen Geräten, die nach 2006 zugelassen wurden.

Darüber werden eure Ports garantiert nicht gesperrt.
 
Die Einträge kannst du übrigens vergessen. Im RFC 2669 von 1999 waren sie noch drin, in dem von 2006 (RFC 4639) sind sie schon deprecated. Selbst wenn die noch in irgendeinem Config File drinstehen sollten, dann kommen sie heute garantiert nicht mehr zur Anwendung, sondern werden ignoriert. Jedenfalls in allen Geräten, die nach 2006 zugelassen wurden.

Da steht aber auf Seite 46 auch das:
Note that some devices are required by other specifications (e.g., the DOCSIS OSSIv1.1 specification) to support the legacy SNMPv1/v2c docsDevFilter mode for backward compatibility.

Bis DOCSIS 3.0 ist die Unterstützung vorgeschrieben (siehe DOCSIS OSSIv3.0 Abschnitt F.1.3):
The CM MUST support the SNMP table docsDevFilterIpTable for all interfaces. The CM MUST support a minimum of 64 IP filter rules.

Bei DOCSIS 3.1 ist die Unterstützung tatsächlich nicht mehr zwingend (DOCSIS OSSIv3.1 Annex B), aber es gibt mit Upstream Drop Classifiers einen Ersatz, der auch schon bei DOCSIS 3.0 unterstützt wird:
DOCSIS 3.0 CMs supported two packet filtering/classification methods consisting of the legacy IP filtering
mechanism specified in [RFC 4639] and Upstream Drop Classifiers (UDCs). A DOCSIS 3.1 CM is only required to
support UDCs and is no longer required to support legacy [RFC 4639] IP and LLC filtering mechanisms.
 
  • Like
Reaktionen: c.wuensch
Sag ich ja. Sind die neuen Einträge denn auch drin in eurem Config File?
 
@frank_m24 Nein, du hast das Gegenteil gesagt:
Darüber werden eure Ports garantiert nicht gesperrt.

Wie @_jan_ mit seinen hervorragenden Quellenangaben nachgewiesen hat, sind
(a) diese entsprechende Portfilter-Zeilen TATSÄCHLICH in dem von VF verwendeten Config-File enthalten, und
(b) mein DOCSIS 3.0 Router MUSS diese gemäß Spezifikation auch umsetzen, und
(c) selbst ein DOCSIS 3.1 Router kann diese ebenfalls umsetzen - oder die entsprechenden Nachfolge-Kommandos, die evtl. inzwischen zusätzlich im Config-File enthalten sind.

M.M. ist es damit fast als gesichert zu betrachten, dass die Ports über genau diesen Weg gesperrt werden,
 
Zuletzt bearbeitet:
Ich bin aber gerne bereit, mit jedem hier um ein sehr großes Eis zu wetten, dass das Config-File einen sehr bestimmten Eintrag enthält.

Code:
SnmpMibObject docsDevFilterIpDestPortLow.4 Integer 445 ;
SnmpMibObject docsDevFilterIpDestPortHigh.4 Integer 445 ;
Das Eis nehme ich gerne ;) Port 445 ist ausgerechnet nicht gesperrt ;) Aber ja, für die anderen gibt's entsprechende Einträge (135 und 137-139). Bringt man das Modem dazu diese Einträge zu ignorieren funktionieren die Ports auch, das ist also der einzige Schutz.

Wobei ich den Vorgang sowieso etwas seltsam finde: Vodafone hat diese Sperren (angeblich) mit Erlaubnis der BNetzA eingerichtet (siehe https://www.vodafone.de/business/hilfe-support/eu-transparenz-verordnung.html), also warum sollte dieselbe BNetzA nun die Sperre für illegal erachten? Das ergibt irgendwie keinen Sinn.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,195
Beiträge
2,247,818
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.