- leonardo
- Medlem ●
- Göteborg
Jag inser att jag delvis kommer att räknas som den som förorsakade det, om det nu inträffar, men jag vet inte om jag borde sova ytligare i forsättningen.
Finns det verkligen inga "skunks-and-indians" i våra led som sitter på sådan kunskap att vi kan få till stånd en vettig konversation med ComHem? Det känns frustrerande att stånga sin panna blodig mot en massa argument som jag, men min ytliga kompetens inom området, avfärdar som total okunskap, fördomar, klåfingrighet, storebrosfasoner och moraliska hänsynstaganden.
De argument som kommit fram hitintills, fyller mig med oro, då man med exakt samma argumentation kan stänga ALL trafik pga. en potentiell säkerhetsrisk som man inte kan/vill nämna vid namn. Börja i så fall med att stänga 20, 21 och 80.
Är inte själva vitsen med www att man ska kunna ansluta till andra datorer - eller har jag missat nå't ?
Björnström: Bor du i ett hus som ursprungligen hade StjärnTV / UPC?
Leonardo: Jag gissar / tolkar svaret som att ComHem har olika konfiguration på olika adresser beroende på att de ibland INTE infört spärr på port 548 på NYA bredbandsinstallationer. Och andra ISP:er har ju inte denna spärr! (*) Detta är väl ett gott argument för ComHem att ta med i sitt kommande "systemarbete"!!
Jag hejar på dig, och följer din kamp med intresse! Kommer själv flytta in i ett ComHem hus under hösten och tänker då inte nappa på deras erbjudanden innan jag får skriftligt på att port 548 fungerar.
(*) Exempel: Gothnet i Gbg som levereras via kabel-tv nät och identiskt Motorola-modem som ComHem-hus här i Gbg. Jag ska vid tillfälle försöka låna en bärbar mac och testa AFP mot min mac.se iDisk från ComHem här i Gbg.
Björnström: Bor du i ett hus som ursprungligen hade StjärnTV / UPC?
Ingen aning faktiskt. Så länge har tjejen inte haft lägenheten (inte min lgh).
Anledningen att tjänsten ändå kan te sig olika i olika delar av nätet beror på att vi efter köpet av UPC ännu inte helt samordnat våra tekniska system för utdelning av IP-adresser. Detta kommer dock att göras under hösten och i samband med detta ser vi också över portfiltreringen. Jag kan alltså inte i detta läge lova att Port 548 kommer att öppnas, utan det kommande systemarbetet får utvisa om det är möjligt med bibehållen rimlig säkerhetsnivå."
Försiktiga sonderingar via andra kanaler in i ComHem ger vid handen att de av politiska skäl aldrig kommer att ompröva blockaden av port 548.
En total gissning från min sida är alltså att ComHem sitter med utrustning i gamla UPC nätverk som sedan tidigare rutin blockar port 548, medan de i nyare installationer av bara farten konfigurerat som de flesta andra ISP:er, dvs med port 548 öppen. Det är väl förhoppningsvis inte politik som styr beslut i ComHem, dock väl marknadsmässiga beslut. Och där blir det en avvägning av hur stor marknadsandel mac-användare utgör kontra kostnaden för att eventuellt behöva investera i ny utrustning i gamla UPC-nät? (återigen, enbart en gissning i ett försök att förstå svaret leonardo fått från "en teknisk direktör" på ComHem. Svaren från första support-linjen får man bara snällt ha överseende med tyvärr...)
Cirka 5% marknadsandel bland mac-användare borde ändå inte vara ointressant, men OM det dessutom bara gäller mac-användare i före detta UPC-nät, och dessutom enbart de som har mac.se eller .Mac iDisk och därmed saknar port 548 så är det ju inte många kunder det gäller, och då ligger vi pyrt till...
Hur som helst så tycker jag att argumentet att INGEN annan ISP i Sverige blockar port 548 borde vara ett argument som biter. (för så är det väl, så vitt vi vet?) Pröva det om du har förnyad kontakt med din kontakt, leonardo!
Offtopic: Liknande fenomen som för många år sedan orsakade att Stjärn-TV "panikblockade" port 548 diskuteras i denna tråd:iTunes hittar utdelad musik trots ensam dator i nätverket. Men det är som sagt ingen bug utan en feature. Sådant som man väljer att dela ut SKA ju liksom kunna hittas av andra. Förhoppningsvis är det allmänna säkerhetskunnandet hos både användare, IT-journalister och support-personal större idag så att det inte orsakar någon hysteri.
... Det är väl förhoppningsvis inte politik som styr beslut i ComHem, dock väl marknadsmässiga beslut. ...
...
Det är politiskt omöjligt för dem att öppna 548 enligt en annan "vanligtvis välunderrättad källa". De har tagit på sig rollen av Storebror och agerat kraftfullt för att freda den "lille mannen" på precis samma sätt som ett visst politiskt parti beter sig när vi "röstar fel".
För mig är det ganska enkelt; Vill jag dela ut filer, ex.vis via en web-server, men inte vill riskera intrång i min dator, sätter jag upp en brandvägg och filtrerar inkommande trafik. Är jag så till den grad okunnig att jag inte kan det, frågar jag någon, eller låter bli att dela ut. Det kan inte vara allas vårt ansvar att det finns dumdristiga okunniga människor i samhället - vi ska inte behöva begränsa vår frihet, för att några få inte kan/vill/orkar skydda sig.
Den något haltande logiken i beslutet att fortsäta blockera 548 är intressant; Varje gång som en synskadad går utanför sin lägenhet, stoppas all biltrafik, med motiveringen att bilarna utgör en säkerhetsrisk för den synskadade.
Hmm...
Det verkar inte som att ComHem vill ändra på sig!
Jag är också grymt intresserad av hur detta kommer at sluta.
Det måste väl finnas något man kan göra för att lösa detta. Om ComHem skulle förstå vidden av detta problem så kanske dom skulle vara beredda att ändra på sig.
Björnström kanske kan ändra porten för iDisken så att vi som har mac.se kan ansluta via AFP?
Rätta mig om jag har fel - ComHem har runt en tredjedel av marknaden för bredband, oaktat teknik? För mig är det då rimligt att anta, att den största aktören också besitter den största kunskapen, men så är tydligen inte fallet. Det jag ser är total okunskap, fördomar, klåfingrighet, storebrosfasoner och moraliska hänsynstaganden. Jag vet att jag upprepar mig, men jag ser ingen anledning att ändra min yppfattning.
Jag efterlyser fortfarande "skunks-and-indians" inom detta teknikområde. Är ni rädda för att exponera i offentligheten genom att posta i tråden, finns alltid alternativet att maila direkt till mig.
Jag kan leva ett gott liv utan tillgång till iDisk på mac.se över SFP, men varför ska jag falla undan för Gluff-gluffs fasoner? I min släkt finns handfast erfarenhet av vad dumhet och undfallenhet kan spela för spratt och jag tänker inte falla i samma grop som mina släktingar som stod bakom Bollhus-manifestet. I förlängningen är detta en demokrati-fråga och den får inte tillåtas viftas bort som "a Pirate Bay derivative".
Björnström kanske kan ändra porten för iDisken så att vi som har mac.se kan ansluta via AFP?
Jag kan testa och se om det lirar!
För övrigt tror jag det blir tufft att få Comhem att öppna nätet när det finns okunniga människor som detta: http://macworld.idg.se/2.1038/1.79294
Ni inser säkert vad som hänt i "säkerhetsluckan" ovan. Datorerna ligger på samma subnät och port 548 är öppen. En dator hittar alla andra datorer i samma subnät. Några kör med direktanslutna maskiner med fildelning påslaget och tänker inte på att alla kan nå deras datorer även via subnätet.
It's not a bug - it's a feature...
Jag kan testa och se om det lirar!
För övrigt tror jag det blir tufft att få Comhem att öppna nätet när det finns okunniga människor som detta: Säkerhetslucka hos Com Hem - grannen kommer åt din dator! - MacWorld
Ni inser säkert vad som hänt i "säkerhetsluckan" ovan. Datorerna ligger på samma subnät och port 548 är öppen. En dator hittar alla andra datorer i samma subnät. Några kör med direktanslutna maskiner med fildelning påslaget och tänker inte på att alla kan nå deras datorer även via subnätet.
It's not a bug - it's a feature...
Har vi någon lösning på detta "problem"
Jag ska göra ett nytt försök och öppna en alternativ port. Har inte lyckats få det att fungera tidigare.
Jag funderade lite till och kom på en lösning!
- Problemet enligt UPC är att användare kan ansluta till varandra inom samma subnät.
- Problemet enligt oss är att användare inte kan ansluta till servrar på andra subnät.
Om man tittar på ovanstående är ju lösningen enkel! UPC blockerar trafik på port 548 mellan datorer i subnäten men tillåter anslutningar till och från andra nät. Enkelt?
Jag funderade lite till och kom på en lösning!
- Problemet enligt UPC är att användare kan ansluta till varandra inom samma subnät.
- Problemet enligt oss är att användare inte kan ansluta till servrar på andra subnät.
Om man tittar på ovanstående är ju lösningen enkel! UPC blockerar trafik på port 548 mellan datorer i subnäten men tillåter anslutningar till och från andra nät. Enkelt?
enkelt nej, det betyder elak MAC-spoofing som BBB sysslar med på sina stadsnät, så det är lite av en pest eller kolera fråga egentligen
Vi har ett nyinstallerat Kabel-tv nät i vårt villaområde (maj -07), ComHem är leverantör, så diskussionen att det bara rör sig om gamla installationer är "bulls**t".
Om det nu är så att de har spärrat 548 i modemet så borde vi som vill släppa in trafik på 548, få modemet "upplåst" på egen risk etc. etc.
Eller så får vi lära oss hur man låser upp det själva, det borde inte vara så svårt att hacka det. Någon som är sugen?
Jag kommer, som jag skrev tidigare, ut till andra via port 548 men man kan inte komma in till min server. Jag har tack vare ComHem lärt mig lite om min brandvägg och löst detta på ett annat sätt, Tack för det ComHem.
Jag har nu flera olika servrar som man kan kontakta via AFP, dvs jag har nu ökat min exponering i ComHems nät.
Enligt några kunniga vänner så borde det räcka om de spärrar port 5353 för UDP, det är enligt, citat:
"Publiceringen av en filserver sker i Mac OS X med mdns (bonjour på Apple-språk) och det är på port 5353 UDP"
Troligen är det så som Telia mfl. har löst det.
Jag har, som ni ser löst detta för mitt eget bruk så att jag och mina vänner kan komma åt mina servrar. Problemet kvarstår dock att de som leverantör borde underlätta för oss som kunder att komma åt information på Internet, det är väl därför som dom skall finnas på marknaden. Alternativt så borde ComHem vara TYDLIGA med informationen om vad som är tillåtet på deras nät och vad som är spärrat/filtrerat.
//Niklas (Irriterad!)
Såpan fortsätter - jag blir mer och mer irriterad över detta. Följande har landat hos X på ComHem;
"X
Jag är mycket tveksam till Er ståndpunkt. Är det verkligen Er uppgift att "skydda" Era kunder, när de är okunniga/klumpiga?
Det sätt Ni valt att tackla "problemet" på är analogt med med följande, något bisarra, situation; Så fort en synskadad lämnar sin lägenhet ( = försöker ta sig ut genom dörren ) stängs ALL fondontrafik av, då den är potentiellt farlig för den synskadade. Jag ser det lovvärda i omtanken, men tycker att valet av metod är mer tveksamt. Ett rimligare sätt vore att ledsaga den synskadade, att minimera risken för just henne - inte stänga ner allt som är potentiellt farligt.
I så fall skulle Ni ju analogt också stänga ner portarna TCP20&21 ( .ftp ) och TCP80
( http ) och därmed på allvar inskränka den service Ni åtagit Er att tillhandhålla enligt "Villkor för privat abonnemang på Com Hems tjänster och tillhörande utrustning". Punkten C1.5 är särskilt läsvärd och jag undrar stilla om det räcker med att hänvisa till okunnighet hos användarna och/eller media, för att kunna hävda att rekvisitet "... krävs av tekniska, säkerhets eller rättsliga skäl ..." är uppfyllt i juridisk mening och därmed kunna blockera port TCP548.
Det finns ett elegant sätt att lösa detta "problem", som egentligen inte är ett problem för ComHem, eller någon annan ISP, utan för den enskilde datorägaren. Det är inte rimligt att begära att ISP "ledsagar" alla mindre kunniga datorägare, men man kan med enkla medel underlätta för dem att inte "göra bort sig", ex.vis genom att hindra att deras IP-adress sänds över nätet ( sk. broadcasting ). I fallet med AFP används följande portar; trafik:TCP548, handskak TCP/UDC427 & broadcast UDC5353
( Multicast DNS (MDNS) ).
Om man stänger UDC5353 kommer det att innebära att man måste veta till vilket IP-nummer man vill ansluta, för att kunna ansluta, men man får inga ledtrådar av att lyssna på oavsiktliga utskick av "lockrop". Det är ju bl.a. så användare av IEEE802.11- nät ( Wi-Fi ) instrueras att minimera riskerna för intrång; "Stäng av SSID-broadcast, starta kryptering och filtrera MAC.adresserna, så får Du maximal säkerhet". Ingen skulle väl komma på idéen att förbjuda tekniken Wi-Fi som sådan, bara för att det innebär en säkerhetsrisk om man inte konfigurerar sin accesspunkt på rätt sätt.
Det är inte svårare att skriva in afp://12.123.123.123 i stället för afp://big.server.se, eller dess kortform, big.server.se. Efter den första lyckade anslutningen lagras anslutningadressen lokalt, om datorn och anslutningprogrammet konfigurerats rätt.
Så vitt jag kunnat utröna är det genom filtrering av broadcast ( = blockering av UDC5353 ) som TDC, Telia och Vattenfall löst "problemet". Tyvärr har jag inte bekanta hos andra ISP, annars hade jag frågat där också.
Mvh etc. etc."
För mig är det inte fråga om missriktad omtänksamhet utan urskiljningslös maktutövning, och det är alltid ett kärt ämne för debatt. Klåfingrighet, storebrosfasoner och moraliska hänsynstaganden, har inte i ett demokratiskt samhälle att göra. Skulle vi tillåta det, reducerar vi oss till ett samhälle med samma toleransnivå som vilken religiös fundamentalistisk sekt som helst. Jag ryser vid tanken.
Då skulle jag rekommendera TDC alt. Vattenfall (som använder TDC).
Alla portar öppna (vad jag kan testa), även port 25.
Den bästa ISP som jag har haft, allt har fungerat bra förutom hastigheten där jag bor. Det har varit ojämn prestanda på min 8/1 förbindelse, ofta har hastigheten varit runt 4/5 Mbit ner, men ibland även ner till 1 Mbit. Upp-hastigheten är en katastrof, av 0,8-1 utlovade har det oftast varit max 400 kbit.
Nu har troligen hastighetsproblem att göra med min telefonkabel, som även i vissa fall kan brusa något när man talat i telefon.
När jag har påtalat problemen med Telia som trots allt är kabelleverantör så hävisar de mig till min nuvarande bredbandsleverantör eller till min förvalsleverantör. Snacka om att slå sig fri.
Jag kan tycka att TDC borde ha jobbat hårdare mot Telia med min svajiga förbindelse.
Trots mina bekymmer med TDC så har de haft bra tillgänglighet till internet även om hastigheten varit låg i vissa fall. De är ofta snabba på att återkoppla om jag har anmält något problem och framför allt, allt är öppet, det finns några korta kommentarer i avtalen som tillåter egna servrar.
Enda anledningen att jag har bytt till ComHem är att de erbjuder 8/8 och de levererar 7,8/7,7
//Niklas
Har ingen mac att testa på för tillfället men om man kör:
ipfw add fwd localhost,548 tcp from any to any 549 via en0
Tror det gör en lokal portforward från 549 till 548.
Och kopplar upp sig till servern med afp://idisk.mac.se:549/.
notera /. på slutet.
Fungerar detta?
Som lite kuriosa kan man i senaste numret av MacWorldSE läsa hur enkelt det är att koppla upp sig via afp ( port 548 ) till iDisk på 99.se. Mannaminnet är sedvanligt kort på den radaktionen. Det var de som ställde till det med sin mycket tendensiösa artikel om "säkerhetsbrister" och fick ComHem att "täppa till hålet". Undrar just om Hr Leijon är medveten om vilken skada unge Simon Grabic egentligen ställt till med.
Det finns alltså ingen lösning för oss med Comhem än sålänge?
Jag gillar verkligen inte ComHem. Jag lider av samma problem. Det var först när jag hittade den här tråden som jag insåg att dom med flit spärrar AFP-porten.
ÖPPET BREV TILL COMHEM:
Hej!
Jag har efter en del surfande på diverse internetforum fått klart för mig att ni faktiskt spärrar TCP-port 548, vilket är AFP (Apples fildelningsprotokoll). Jag tycker dock att det låter så osannolikt att ni finner just port 548 så skrämmande att ni måste stänga den.
Är det verkligen så illa att ni inte låter mig som kund utnyttja min egen internetuppkoppling till att dela filer via det mycket smidiga gränssnittet AFP?
Om de nu är så, vilket allt tyder på, undrar ju vän av ordning varför just 548 är en så farlig port att ha öppen?
Ni har ju en rad andra portar vidöppna för diverse angrepp, om det nu skulle vara några obskyra säkerhetsskäl som ligger bakom ert godtyckliga beslut.
TCP 548 är i sig ingen farlig port att ha öppen för trafik.
Det som däremot kan göra det hela lite känsligare är ju om man har UDP-port 5353 öppen, vilket Apples fildelning använder som en anslagstavla för att per automatik visa sig på nätverket. Det är i dom fallen grannar inom samma subnät kan se varandras uppkopplade datorer på nätverket och såldes försöka ansluta till varandras datorer med allehanda standardlösenord mm.
Alltså, med UDP 5353 spärrad, men TCP 548 öppen kan grannar inte se varandra per automatik, utan måste känna till grannens exakta IP-adress för att kunna ansluta. Då blir AFP på port 548 lika spännande som port 21 (FTP), vilket idag är en vidöppen port hos er (och ska så förbli om ni frågar mig).
Den konkreta frågan jag ställer är om det ens finns på världskartan om ni kan tänka er att ompröva denna tydligen politiskt känsliga fråga, eller om jag som kund måste se mig om efter en annan ISP som faktiskt tillåter TCP-trafik på port 548?
----------
Vänliga hälsningar
Fredrik Dolk
Mycket väl rutet Fredrik!
Tyvärr tror jag Comhem skiter i vad folk tycker i frågan. När jag drev det här fick jag bara goddag-yxskaft-svar från dem, eller direkta lögner om att de minsann inte alls spärrar någon port för mig.
Nu har jag för alltid dumpat Comhem, har fiber rakt i lägenheten och 100 härliga MBit/s från Bahnhof, utan portspärrar och sånt tjafs.
Använd webDAV istället, går över port:80 eller:443 för krypterad trafik.
Har en kännsla av att det kommer dröjja länge innan ISP´s stänger dessa portar.
Och för oss som har skaffat en TimeCapsule och vill nå den över WAN när man är ute och flänger... vad skall vi ta oss till om vi är strandade med ComHem.
Jag är inte så insatt i det, men funktionen "back to my mac" t ex tror jag inte använder en afp-share. Rätta mig om jag har fel.
Jag är inte så insatt i det, men funktionen "back to my mac" t ex tror jag inte använder en afp-share. Rätta mig om jag har fel.
Jo. Eftersom porten öppnas "inifrån" på begäran utifrån (typ port triggering) är det samma visa med Back-to-my-Mac.
Back-to-my-Mac är bara ett sätt att leta rätt på just din maskin oavsett vilken plats du kommer ifrån.
Jo. Eftersom porten öppnas "inifrån" på begäran utifrån (typ port triggering) är det samma visa med Back-to-my-Mac.
Back-to-my-Mac är bara ett sätt att leta rätt på just din maskin oavsett vilken plats du kommer ifrån.
Men det borde ju gå att använda vilken port som helst? Det är väl ett p2p-protokoll?