Yesss Firewall in Kombination mit Public IP / eingehende ICMP Packets blocken

gst

30 Juli 2015
232
109
Weiss jemand was die "Yesss" Firewall genau macht und welche Protokolle / Packets diese blocken sollte?

Hintergrund ist, dass ich bei Yesss schon seit längerem Public IP aktiviert habe, allerdings einen extrem hohen idle Battery Drain bemerke wenn LTE aktiviert ist (welcher komplett verschwindet wenn ich den Flugmodus aktiviere und nur Wifi verwende). Ich vermute (was auch teilweise durch Postings die ich gefunden habe bestätigt wird), dass dies mit der Public IP zusammenhängen könnte, da laufend zufällige IP Packets aus dem Internet am Handy eintreffen und damit fast im Sekundentakt Daten via LTE übertragen werden (und das Modem damit laufend aktiv ist).

Ich habe nach lesen einiger Postings hier im Forum bei Yesss die "Firewall" aktivieren lassen, da ich angenommen hatte, dass dies eine Art Stateful Firewall ist die ähnlich wie NAT keine einkommenden Packets erlaubt wenn nicht zuvor eine "Verbindung" mit einem ausgehenden Packet aufgebaut wurde. Allerdings dürfte diese Firewall zumindest einige Packets weiterhin durchlassen: Via ICMP Pings ist mein Handy trotz Firewall weiterhin erreichbar und die Ping Replies dürften direkt vom Handy kommen (und nicht von irgendeiner anderen Komponente von A1) da sie die typischen LTE Latencies aufweisen und die Latency stark ansteigt wenn ich einen Speedtest (oder anderen Datentransfer) am Handy laufen habe.

Hat hier jemand Erfahrung damit bzw. weiss was diese Firewall genau macht bzw. machen sollte? Gibt es da irgendein Firewall Setting mit dem ich eingehende Connection-Versuche und random ICMP Pings usw. komplett unterbinden kann, oder müsste ich für so etwas wieder NAT aktivieren?

Zusatzfrage: Was sind da eigentlich die Default Settings? Die Firewall wird ja offenbar automatisch deaktiviert wenn man NAT deaktiviert, aber ist diese davor immer automatisch aktiviert?
 

gst

30 Juli 2015
232
109
Kurzes Update: Support hat heute noch einmal bestätigt, dass die Firewall und die öffentliche IP aktiviert ist.

Allerdings werden alle eingehenden Netzwerkpakete weiterhin ungefiltert auf meinem iPhone empfangen, auch wenn es dazu keine ausgehende dazu Verbindung gibt (jetzt auch mittels rvictl und tcpdump getestet).

Also entweder die Firewall funktioniert nicht in Kombination mit einer öffentlichen IP oder sie macht was anderes als ich erwartet habe. Der Support hat dann noch eine Firewall Einstellung "600" und "700" erwähnt, aber mir nicht erklären können was der Unterschied ist.

Nächster Schritt für mich ist die öffentliche IP wieder deaktivieren zu lassen (leider nicht über Telefon möglich). Oder hat jemand noch andere Vorschläge?
 
8 August 2014
1.964
1.067
Normalerweise blockiert die Firewall Zugriffe über das selbe Gateway und über IPv6 (wenn es angeboten wird).

Wenn du keine Zugriffe von extern willst musst du denke ich wieder auf eine private IPv4 Adresse wechseln.
 
27 Juni 2019
4.770
2.643
Die Kombination eines Smartphones mit einem "sicheren" Betriebssystem und einer vollkommen ungeschützten Anbindung ans Internet ist ja sowieso genial ..., vor allem, da diese Geräte mit dem "sicheren" Betriebssystem ohnedies mit einer genial langen Akkulaufzeit glänzen ...
 

gst

30 Juli 2015
232
109
Die Kombination eines Smartphones mit einem "sicheren" Betriebssystem und einer vollkommen ungeschützten Anbindung ans Internet ist ja sowieso genial ..., vor allem, da diese Geräte mit dem "sicheren" Betriebssystem ohnedies mit einer genial langen Akkulaufzeit glänzen ...

Falls du das iPhone meinst: Dort ist beim iPhone 12 Pro mit diesem Problem die Akkulaufzeit leider alles andere als gut. Ich verlier allein an 20% Akku über Nacht (wenn ich das Handy nicht lade). Insgesamt muss ich das Handy mehrmals am Tag nachladen (wenn ich die Yesss SIM verwende) und der Standby-Drain durch LTE kostet vermutlich so an die Hälfte der Batterie.

Ich nehme an, dass es eine Kombination ist aus einem Handy das normalerweise im Standby Modus wenig Strom brauchen sollte, einem LTE Chip (Snapdragon X55) der vermutlich nicht der energieeffizienteste ist, und einer eher kleinen Batterie die zwar für das normalerweise eher energiesparende Handy vollkommen ausreichend ist, die aber nicht so glücklich darüber ist wenn der LTE Chip pausenlos Daten überträgt (da im Sekundentakt Pakete von Portscans oder anderem eintreffen).

Ich nehme an, dass Android Handies sogar weniger von diesem LTE Issue betroffen sind, da sie generell weniger energiesparend sind, und mit einem größeren Akku auch die Zusatzbelastung vom Modem weniger auffällt.

Ich verwende die Yesss SIM Karte eher selten, deswegen ist es mir nicht früher aufgefallen. Prinzipiell würde ich eine öffentliche zugängliche IP ohne unnötiger Firewall bevorzugen. Aber die Akkulaufzeit ist dann doch ein Riesenargument sich für NAT zu entscheiden.
 
27 Juni 2019
4.770
2.643
Kannst Du uns eigentlich einmal erzählen wozu Du am Smartphone eine öffentlich erreichbare IP benötigst? Noch dazu bei einem iPhone? Außer einem PC der am Hotspot des iPhones hängt fällt mir nämlich beim besten Willen keine "Anwendung" ein.
 
  • Gefällt mir
Reaktionen: killerbees19 und eigs

gst

30 Juli 2015
232
109
Kannst Du uns eigentlich einmal erzählen wozu Du am Smartphone eine öffentlich erreichbare IP benötigst? Noch dazu bei einem iPhone? Außer einem PC der am Hotspot des iPhones hängt fällt mir nämlich beim besten Willen keine "Anwendung" ein.

Mein Gedankengang ist eher der Umgekehrte: Ich sehe eine ungefilterte Verbindung als meinen "persönlichen Default" und habe ursprünglich keinen Grund für NAT bzw. Firewall gesehen. Da die Public IP sowieso auch für eine Daten-SIM aktiviert habe, habe ich es bei der normalen SIM-Karte eben gleich mitaktiviert (und damals war die SIM auch noch in einem Android Handy).

Hätte zwar damit gerechnet, dass der Batterieverbrauch mit ungefiltertem Internet etwas höher sein könnte, so einen extremem Effekt habe ich aber nicht erwartet. Nachdem was ich bisher online gefunden habe, dürfte da besonders das iPhone 12 so stark betroffen sein.
 
  • Gefällt mir
Reaktionen: email.filtering

opb

2 April 2015
469
247
ja die FW wird schon alles zumachen wenn sie dicht ist bis auf ICMP und ICMP ist halt auch anstrengend für die Batterie
 

Aktuelle Themen

Wie zufrieden bist du mit yesss?