[Berlin-wireless] Kleine Fragen zwischendurch - war:Komische Fehlermeldung

Jo-Philipp Wich xm
Fr Sep 10 12:15:37 CEST 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Das natfix ist ein Hack für eine alte Firewall-Limitierung.

Das Freifunk Meshnetz (104.0.0.0/8) ist zusammen mit dem
Splash-Client-Netz (10.x.y.z) in der Zone Freifunk, diese hat
Masquerading aktiviert damit Client->Freifunk Verkehr genatted wird.

Das Problem ist, dass damit auch Verkehr genatted wird der von 104.x
nach 104.x durch die Zone durchwandert. Dafür war der natfix gedacht, er
hat einfach eine Rule reingebastelt die aus der Nat-Chain rausspringt
wenn Src-Subnet = Dest-Subnet ist. Das scheint jetzt allerdings kaputt
zu sein.

Inzwischen hab ich die Firewall in Backfire und Trunk allerdings um
einen "masq_src" und "masq_dest" Parameter erweitert, damit lässt sich
das Problem eleganter lösen:

config zone
	option 'name' 'freifunk'
	option 'network' 'wifi0 wifi0dhcp'
	option 'input' 'ACCEPT'
	option 'forward' 'ACCEPT'
	option 'output' 'ACCEPT'
	option 'masq' '1'
        option 'masq_src' '10.x.y.z/24'
        option 'masq_dest' '!104.0.0.0/8'

Ist allerdings noch nicht in den FF-Paketen verbaut.


Der Forward FF<->FF war afaik dafür da um Cross-Forwarding-Rules für
Wifi<->Wifi, Wifi<->Splash, Splash<->Wifi und Splash-Splash zu bauen,
genau weiß ich allerdingsn icht mehr ausm Kopf, müsste nochmal in den
Code schauen.

Da du anscheinend gar keinen Client-Splash am Start hast und das natfix
kaputt zu sein scheint empfehle ich dir unbedingt das .masq in der Zone
abzuschalten, sonst natted es jeden durchgehenden FF-Traffic.

~ Jow
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkyKBUgACgkQdputYINPTPOpOgCeJDVWuZCSHRJ6OFJSqiMlMv8l
3ocAn0v2jQ170XQEhRptIlgJHdcFxQtF
=1tsJ
-----END PGP SIGNATURE-----





Mehr Informationen über die Mailingliste Berlin