[Berlin-wireless] Loch in der Firewall

Sven-Ola Tuecke sven-ola
Sa Dez 31 12:59:18 CET 2005 

Robert,

diese Eigenschaft der FFF ist mir bekannt und nicht so ohne weiteres 
loesbar. Es gibt eine "Standardtopologie", die sollte ganz ordentlich 
funktionieren. Alles andere muss man eben selber schrauben. Gerade besagte 
Informatiker-WGs (oder aehnliche Konstellationen) sollten das schon selber 
hinbringen. Der Standard sieht so aus:

WIFI: Hat einen Adressbereich (!= 192.168.0.0/16)
LAN: Hat einen Adressbereich (== 192.168.0.0/16)
WAN: Ist komplett unsicher (von LAN/WIFI aus gesehen)

Generell gibt es keinen Grund, das Internet vor Nutzungszugriffen aus 
Richtung LAN oder WIFI zu schuetzen. Regel daher: Klemmt das Internet an den 
Internet-Anschluss und das LAN an die LAN-Anschluesse. Vom LAN aus kann man 
dann das Internet unsicher machen. Tauscht man das, muss man halt was 
ordentliches in /etc/local.fw hineinschreiben oder "Scheissegal" definieren. 
Auch eine Idee: Den WRT in einer DMZ aufstellen. Der Freifunk-Router sollte 
immer besser *vor* die innere Firewall (wenn man sowas hat).

Beliebter Fehler: Den WAN-Anschluss ans interne LAN anklemmen. Dann bekommt 
der WAN-Anschluss irgendwo eine Internet-Route per DHCP (meist irgendwo ein 
Geraet in 192.168.0.0/16). Das funktioniert von WIFI aus gesehen prima - 
allerdings kann man von WIFI aus natuerlich auch auf alle anderen 
192.168.0.0/16 zugreifen. Auch das funktioniert prima. Und dann kann man 
noch einen Strippe zwischen LAN und WAN stecken. Macht prima Loecher :)

P.S.: Ich betreibe selbst noch eine Variante. Hat man kein "Enduser-Inet", 
sondern z.B. einen SDSL-Router mit einem kleinem offiziellen IP-Bereich, 
dann kann man ja einen oder mehrere Server (z.B. Linux-Rechner) per Ethernet 
an den SDSL-Router klemmen und richtig routen. In dem Fall hat der 
(SDSL-)Router eine offizielle Internet-IP und der/die Server andere 
offizielle Internet-IPs. Jetzt kann man fuer den WRT eine der wertvollen 
offiziellen IPs opfern und ebenfalls routen. Bei mir hat der SDSL-Router 
leider nur einen Ethernet-Anschluss, von daher konfiguriere ich fuer den 
WRT-WAN-Anschluss *zwei* RJ-45-Buchsen (sind also nicht 4*LAN+1*Inet, 
sondern 3*LAN+1*Inet). Genau wie bei LAN gibts zwischen den beiden eine 
Bridge. Aus diesem Grund gibts die Einstellung "Admin/WAN/RJ45 Anschluesse".

Grusz, Sven-Ola

----- Original Message ----- 
From: "Robert Schuster" <theBohemian at gmx.net>
To: "wirelesslan in Berlin" <berlin at olsrexperiment.de>
Sent: Friday, December 30, 2005 9:38 PM
Subject: [Berlin-wireless] Loch in der Firewall
Hi,
ich habe gerade für eine Bekannte unseren Internetzugang via Freifunk
freigegeben. Da wir in unserer (Informatiker-)WG eine etwas kompliziertere
Netzwerktopologie haben, haben wir uns vorher intensiv mit der Absicherung
unseres lokalen Netzes vor dem Freifunk Netz gemacht. Bei den Untersuchungen
sind wir auf ein Sicherheitsproblem gestoßen, dass vielleicht auch für 
andere
Freifunker wichtig ist.

Es geht darum, dass wir auf unserem Gateway Server bestimmte Dienste nur für 
das
interne LAN anbieten und die sollen von aussen (= böses Internet + noch viel
böseres FF Netz) nicht sichtbar sein. Klemmt man jetzt einen WRT via WAN 
Port in
unser LAN und verlässt sich auf die Firewall der Freifunk Firmware, ist
folgendes möglich:

Jemand aus dem Freifunk Netz ruft den Gateway Rechner mit der externen IP 
auf
(zB 85.178.221.194). Das Gateway bekommt die Anfrage und ordnet es erstmal 
als
eine normale für das Internet gedachte Anfrage ein (ethX nach ppp0). Bei der
Bearbeitung des Paketes stellt der Kernel aber fest, dass die Anfrage lokal
beantwortet werden kann und tut dieses dann auch.

Bei uns bestand die Lösung darin, Anfragen an die externe Adresse immer zu
verwerfen, wenn sie vom WLAN Router kommen (Wir sind auf außerdem auf Nummer
sicher gegangen und benutzen eine separate Netzwerkkarte für den WRT.). 
Leider
braucht es dazu eine dynamische Firewall-Regel, die bei Herstellung der 
PPPoE
Verbindung aktiviert wird.

Ich hoffe ihr konntet meiner Ausführung folgen und eventuelle eure Gateways
sicherer machen. :) Vielleicht kommt ja jemand auf eine noch bessere Idee 
als
wir und kann uns die mitteilen.

Auf jeden Fall freue ich mich, dass das aufstellen der beiden Knoten mit den
WRTs und der FFF so hervorragend geklappt hat: Vielen Dank an alle 
Beteiligten. :)

Guten Rutsch
und bis demnächst in der c-base

Robert



-------------- nächster Teil --------------
_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://olsrexperiment.de/cgi-bin/mailman/listinfo/berlin

Mehr Informationen über die Mailingliste Berlin