[Berlin-wireless] Loch in der Firewall

Patrick Grimm p.grimm
Sa Dez 31 01:22:49 CET 2005


Robert Schuster schrieb:
> Hi,
> ich habe gerade für eine Bekannte unseren Internetzugang via Freifunk
> freigegeben. Da wir in unserer (Informatiker-)WG eine etwas kompliziertere
> Netzwerktopologie haben, haben wir uns vorher intensiv mit der Absicherung
> unseres lokalen Netzes vor dem Freifunk Netz gemacht. Bei den Untersuchungen
> sind wir auf ein Sicherheitsproblem gestoßen, dass vielleicht auch für andere
> Freifunker wichtig ist.
>
> Es geht darum, dass wir auf unserem Gateway Server bestimmte Dienste nur für das
> interne LAN anbieten und die sollen von aussen (= böses Internet + noch viel
> böseres FF Netz) nicht sichtbar sein. Klemmt man jetzt einen WRT via WAN Port in
> unser LAN und verlässt sich auf die Firewall der Freifunk Firmware, ist
> folgendes möglich:
>
> Jemand aus dem Freifunk Netz ruft den Gateway Rechner mit der externen IP auf
> (zB 85.178.221.194). Das Gateway bekommt die Anfrage und ordnet es erstmal als
> eine normale für das Internet gedachte Anfrage ein (ethX nach ppp0). Bei der
> Bearbeitung des Paketes stellt der Kernel aber fest, dass die Anfrage lokal
> beantwortet werden kann und tut dieses dann auch.
>
> Bei uns bestand die Lösung darin, Anfragen an die externe Adresse immer zu
> verwerfen, wenn sie vom WLAN Router kommen (Wir sind auf außerdem auf Nummer
> sicher gegangen und benutzen eine separate Netzwerkkarte für den WRT.). Leider
> braucht es dazu eine dynamische Firewall-Regel, die bei Herstellung der PPPoE
> Verbindung aktiviert wird.
>
> Ich hoffe ihr konntet meiner Ausführung folgen und eventuelle eure Gateways
> sicherer machen. :) Vielleicht kommt ja jemand auf eine noch bessere Idee als
> wir und kann uns die mitteilen.
>
>   
Ich habe einen Fli4l mit 3 nic der die FW regeln verwaltet und ein olsrd
der gegen die
uClibc (i386) gelinkt ist auf einem pentium drauf gemacht. Die WAP54g's
arbeiten
nur als router ohne FW.
"Leider" kann nur ich und ein par leute aus meinem Haus diesen HA
1024kbit/1024kbit
UP/DOWN nutzen weil ich keine Dachzugang bekomme.


gruss pat

ps: Habe einen WAP54G den ich verkonfiguriert habe. wl0 ist down eth0
ist up hat aber keine IP
glaube ich. Komme ich mit der CONN1 weiter? habe gelesen das es eine
schnitstelle zum Debugen ist.




_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://olsrexperiment.de/cgi-bin/mailman/listinfo/berlin





Mehr Informationen über die Mailingliste Berlin