[Berlin-wireless] FF-Assistent pberg-221 WAN-Gateway Beschraenkung funktioniert nicht
Sven-Ola Tuecke
sven-ola
Di Apr 29 08:59:49 CEST 2014
Hey,
das kommt ein wenig auf die zugrunde liegende OpenWrt-Version an. Ich
erzähl mal ein bissi was.
Im Prinzip sind Firmware-Entwickler ja immer auf der Suche nach
überflüssigen Paketen, weil OpenWrt ja ein wenig Speck angesetzt hat.
IpTables braucht es im Prinzip gar nicht, weil das Paket/Programm "fw3"
alle Funktionen implementiert. Jow hat mit fw3 mehr oder weniger das
ganze "iptables" nochmal neu implementiert mit Netlink-Sockets und allen
drum und dran. Das fw3-Programm übernimmt die Einstellungen von "uci
show firewall" in das System. Vermutlich kannte Jow damals die Funktion
"iptables-restore" nicht, sonst hätte er das wohl nicht gemacht.
Hauptmotivation wahr wohl Ausführungsgeschwindigkeit, weil ja die Regeln
aus UCI jede Menge einzelne "iptables"-Aufrufe nötig machen.
Naja - fw3 hat dann wieder ganz eigene Bugs - je nach OpenWrt-Version.
Und dann gibt es noch benutzerdefinierte Scripts, die bei
/etc/init.d/firewall start mit gestartet werden sollen
(firewall. at include[0].path=/etc/firewall.user und
firewall. at include[1].path=/etc/firewall.freifunk). Die brauchen kann
tatsächlich das installierte "iptables"-Programm. Ende der Geschichte:
das Zeugs landet zweimal auf den Routern und verbraucht so extra viel
Platz. Achso, als Bonus: "ip6tables" bräuchte es wohl auch noch irgenwann...
// Sven-Ola
Am 28.04.2014 20:57, schrieb Arne Zachlod:
> also ich bin jetzt nicht gaenzlich sicher was ich vorher genau alles
> gemacht habe, aber woran es dann lag war schlicht und einfach der Fakt,
> dass iptables nicht installiert war. opkg install iptables hat dann
> geholfen, seit dem funktioniert die firewall. Soll das so sein, ist also
> eigentlich ein anderes Paket fuer die Firewall zustaendig, oder wurde
> das schlicht uebersehn?
>
> Bye
> Arne
>
> On 28.04.2014 19:19, Sven-Ola Tuecke wrote:
>> Hey,
>>
>> als Sofortmaßname hilft:
>>
>> uci add firewall rule
>> uci set firewall. at rule[-1].src=lan
>> uci set firewall. at rule[-1].dest=wan
>> uci set firewall. at rule[-1].proto=all
>> uci set firewall. at rule[-1].dest_ip=192.168.0.0/16
>> uci set firewall. at rule[-1].target=REJECT
>> uci commit
>> /etc/init.d/firewall restart
>>
>> HTH // Sven-Ola
>>
>> Am 27.04.2014 20:54, schrieb Arne Zachlod:
>>> Hallo!
>>>
>>> ich bin gerade etwas am rumbasteln und habe festgestellt dass die
>>> Funktion "WAN-Zugriff auf Gateway beschränken" nichts macht. Zumindest
>>> komme ich immer noch auf alle meine Geraete im LAN wenn ich im FF-Netz
>>> angemeldet bin. Das ist natuerlich etwas unschoen, weil ich so meine
>>> Internetverbindung nicht frei geben kann (habe jetzt das Kabel ins
>>> eigene Netz gekappt). Hat jemand evtl. einen workaround parat und kann
>>> mir die noetigen Einstellungen fuer die Firewall so sagen?
>>>
>>> Bye
>>> Arne
>>>
>>>
>>>
>>> _______________________________________________
>>> Berlin mailing list
>>> Berlin at berlin.freifunk.net
>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>
>>
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140429/cd664bd3/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 263 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140429/cd664bd3/attachment.pgp>
Mehr Informationen über die Mailingliste Berlin