[Berlin-wireless] kleines nat problem mit ff-firmware

[Sven-Ola Tuecke]

Stefan,

bin noch nocht ueberzeugt, ob das so 'raus soll. Es kostet 12kb mehr (Module 
brauchen mehr Platz als im Kernel einkompiliertes) - und unerwartete 
Nebeneffekte sind moeglich. Jedenfalls gibts ein Test-Build mit "insmod 
conntrack" hier:

http://download.berlin.freifunk.net/sven-ola/binaries/openwrt-freifunk-1.6.31-0xff.trx

// Sven-Ola

----- Original Message ----- 
From: "Sven-Ola Tücke" <sven-ola at gmx.de>
To: "wirelesslan in Berlin" <berlin at berlin.freifunk.net>
Sent: Friday, August 15, 2008 8:35 AM
Subject: Re: [Berlin-wireless] kleines nat problem mit ff-firmware


Moins Stefan,

das ist doch ein anstaendiger Report mit dem man was anfangen kann. Im 
Prinzip
wirst du recht haben - man muesste "iptables -J MASQ" wohl setzen, bevor die
die Interfaces eine IP-Adresse bekommen. Oder bereits vorhandene (UDP-)
Conntrack-Eintraege irgendwie loeschen. Eine Google-Suche nach "flush
ip_conntrack" bringt keine einfachen Antworten. Evnt. muss das umgebaut
werden, z.B. das Connection-Tracking als Kernel-Modul, um mit "rmmod/insmod"
einfach alles neu zu initialisieren.

Achso. Ein Test mit "mv /etc/init.d/S45firewall /etc/init.d/S35firewall" hat
nicht funktioniert. Jetzt muss ich hingehen und im Failsafe reparieren...

// Sven-Ola

Am Donnerstag 14 August 2008 11:13:19 schrieben Sie:
> Hallo Sven-Ola und andere,
>
> dies ist kein Bugreport mit fix, sondern nur eine kurze
> Beschreibung eines Problem,
[---schnipp---]
> Meine Vermutung: Der Router lässt schon Pakete zu einem
> Zeitpunkt durch, wo NAT noch nicht aktiv ist. Dadurch kriegen
> die UDP Pakete einen "state" in iptables, und behalten den state
> solange bis ich mein openvpn davon abhalte, Pakete zu senden,
> so dass der state sein timeout erreicht.
[---schnapp---]
_______________________________________________
Berlin mailing list
Berlin at berlin.freifunk.net
http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin