[Berlin-wireless] FF-Gateway - aber nicht direkt am Internetanschluss

Fabian Schonack freifunk
Fr Mai 16 22:02:01 CEST 2008 

Hab's mal ausprobiert und es geht nicht...
1. vom Freifunk aus ein Ping auf den router.... funzt erwartungsgemaess.
2. Ping auf irgendwas im Internet ...sollte auch gehen
3. Ping auf die default route von der Statusseite...geht nicht
4. Traceroute auf irgendwas im internet....nanu da steht der router wieder 
drin...Wenn man bedenkt das eine Traceroute auch nur eine Reihe von Ping ist 
gibt's es ja doch eine Antwort vom Router-Fritzbox o.Ae. :-O 
Der Hund liegt im ttl und dem IP-Header begraben. Die Iptables Filtern alles 
anhand der IP Header fields aus. Gibt es eine Regel die verbietet das 
irgendwas ins 192.168.178.1/24 netz geht wird geschaut ob 
im "IP-Header-->Destination" was aus dem Netz drin steht und wenn ja gibt's 
ein DROP. Funktioniert auch mit Pings wenn alle Protokolle inklusive ICMP 
begrubbert werden. Warum nun die Traceroute geht und auch alles andere ins 
Internet? Das liegt daran das im Dest field was anderes drin steht. Bei der 
Traceroute wo scheinbar eine antwort von der Fritzbox kommt kommt sie nur 
weil die lebenszeit (ttl anzahl der Hops) erreicht wurde im Dest. steht 
weiterhin eine IP aus'm Internet Filter ist also nicht getroffen.

Erklaerung des Tails zum Status Quo Gateway Plugin installiert sonst keine 
Aenderungen
DROP ---und weg damit
all--- Protkoll TCP, UDP, ICMP.... egal welches
eth2 ---alles was aus dem wifi kommt
eth1 ----alles was in das netz am WAN port will
0.0.0.0/0----Quell IP absolut egal alle inklusive
0.0.0.0/0----Ziel IP absolut egal alle inklusive


root at se505v1_II:~# nvram get wan_ifname
eth1
root at se505v1_II:~# nvram get wifi_ifname
eth2

iptables -L FORWARD -n -v
target     prot opt in ou source destination
........
DROP       all  --  eth2 eth1 0.0.0.0/0  0.0.0.0/0 state INVALID
ACCEPT     all  --  eth2 eth1 104.0.0.0/8  !104.0.0.0/8  state 
NEW,RELATED,ESTABLISHED
LOG        all  --  eth2 eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix 
`WAN:'
DROP       all  --  eth2  eth1 0.0.0.0/0 0.0.0.0/0


-- 
104.198.0.16

Mehr Informationen über die Mailingliste Berlin