[Berlin-wireless] nanostation2 openwrt dhcp uplink und firewall

Lutz gruhlke lutz.gruhlke
Do Okt 22 12:46:26 CEST 2009 

Hallo,

nachdem ich vor einiger Zeit meine Loco irgendwie dazu bewegen konnte  
mit folgender Konfiguration,

DHCP-Splash
uplink ins wan per dhcp vom router meines lan
olsr freifunk

zu Freifunken war ich richtig froh :-)

mit Hilfe von JoW habe ich auch eine Firewallregel etabliert die das  
Lan vor Besuchen aus dem Freifunk schütze.

Leider hing sich die Loco von Zeit zu Zeit auf und ich folgte dem  
Ratschlag der Gemeinde die FW auf den neusten Stand zu bringen.

Das schlug leider fehl... Nachdem alles schön aussah mit dem Freifunk  
Remote update und ich ganz mutig zu einem reboot ausholte ging nichts  
mehr...
Egal: Ich habe jetzt das neuste Image geflasht http://luci.subsignal.org/~jow/atheros-trunk-build/openwrt-atheros-ubnt2-pico2-squashfs.bin 
.
Dann habe ich mit dem neuen Freifunkassistenten olsr und dhcp-splash  
und so eingerichtet.
Richtig schick geworden (*dankeslob*) und alles hat auf Anhieb  
funktioniert.

Dann kam wieder das Dilemma mit dem uplink ins wan über dhcp aus dem  
Lan.
Mir fiel wieder nichts Besseres ein als über die Gui unter Netzwerk- 
Schnittstellen die lan Schnittstelle zu löschen, eine neue  
Schnittstelle hinzuzufügen. Diese habe ich dann der firewallzone wan  
zugeordnet und auf dhcp gesetzt. Was dann nach zwei Versuchen auch  
funktioniert hat.

Jetzt kann ich mit der loco wieder:

DHCP-Splash
uplink ins wan per dhcp vom router meines lan
olsr freifunk

Aber leider:

Kann sich wieder jeder aus dem Freifunk in mein Lan verlaufen... Was  
ich ja nicht so schick finde

Meine Versuche mit /etc/firewall.user waren diesmal leider nicht von  
Erfolg gekrönt.
Kann  mir jemand auf die Sprünge helfen?

############# Firewall ##################

_______                     ________        __
|       |.-----.-----.-----.|  |  |  |.----.|  |_
|   -   ||  _  |  -__|     ||  |  |  ||   _||   _|
|_______||   __|_____|__|__||________||__|  |____|
         |__| W I R E L E S S   F R E E D O M
KAMIKAZE (bleeding edge, r18082) ------------------
* 10 oz Vodka       Shake well with ice and strain
* 10 oz Triple sec  mixture into 10 shot glasses.
* 10 oz lime juice  Salute!
---------------------------------------------------
root at 104-78-0-1:~# cat /etc/firewall.user
# Erstmal alles im LAN-Subnetz verbieten:
iptables -I zone_wan_ACCEPT -i ath0 -o eth0 -d 192.168.5.0/24 -j REJECT
# Gateway freigeben (durch -I landet das _vor_ der anderen Rule):
iptables -I zone_wan_ACCEPT -i ath0 -o eth0 -d 192.168.5.1 -j ACCEPT

root at 104-78-0-1:~# /etc/init.d/firewall restart
Loading defaults
Loading synflood protection
Adding custom chains
Loading zones
Loading forwarding
Loading redirects
Loading rules
Loading includes
sysctl: error: 'net.ipv4.tcp_westwood' is an unknown key
sysctl: error: 'net.ipv4.ip_conntrack_max' is an unknown key
Using intrapositioned negation (`--option ! this`) is deprecated in  
favor of extrapositioned (`! --option this`).
iptables: No chain/target/match by that name.
Using intrapositioned negation (`--option ! this`) is deprecated in  
favor of extrapositioned (`! --option this`).
iptables: No chain/target/match by that name.
Loading zone defaults

########## ifconfig ################

root at 104-78-0-1:~# ifconfig
ath0      Link encap:Ethernet  HWaddr 00:15:6D:D8:21:C4
         inet addr:104.78.0.1  Bcast:104.255.255.255  Mask:255.0.0.0
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:916 errors:0 dropped:43 overruns:0 frame:0
         TX packets:352 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:127778 (124.7 KiB)  TX bytes:93062 (90.8 KiB)

ath0:1    Link encap:Ethernet  HWaddr 00:15:6D:D8:21:C4
         inet addr:10.104.215.33  Bcast:10.104.215.63  Mask: 
255.255.255.224
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth0      Link encap:Ethernet  HWaddr 00:15:6D:D9:21:C4
         inet addr:192.168.5.218  Bcast:192.168.5.255  Mask: 
255.255.255.0
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:194 errors:0 dropped:0 overruns:0 frame:0
         TX packets:171 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:77100 (75.2 KiB)  TX bytes:42458 (41.4 KiB)
         Interrupt:4 Base address:0x1000

lo        Link encap:Local Loopback
         inet addr:127.0.0.1  Mask:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:8 errors:0 dropped:0 overruns:0 frame:0
         TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:596 (596.0 B)  TX bytes:596 (596.0 B)

wifi0     Link encap:UNSPEC  HWaddr 00-15-6D-D8-21- 
C4-00-00-00-00-00-00-00-00-00-00
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:5322 errors:0 dropped:0 overruns:0 frame:93
         TX packets:374 errors:17 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:195
         RX bytes:726438 (709.4 KiB)  TX bytes:103165 (100.7 KiB)
         Interrupt:3 Memory:b0000000-b000ffff


Gruß gruhlstein

Mehr Informationen über die Mailingliste Berlin