[Berlin-wireless] FF-Assistent pberg-221 WAN-Gateway Beschraenkung funktioniert nicht
Martin Treide-Heuser
martin.treideheuser
Di Apr 29 09:33:14 CEST 2014
Moin, nur mal der Vollständigkeit halber
mein Router WDR3500 mit Barrier Braker hat das gleiche Verhalten. Ich habe
das bislang auf mein "krummes" Lan Netzwerk geschoben da ich mir dachte das
die Wan FW Rules nur so Standartnetze abdecken.
Aber dem scheint wohl nicht so zu sein. Mir isses prinzipiell egal denn der
Freifunkrouter ist dediziert angeschlossen.
Gruss Martin
Am 29. April 2014 08:59 schrieb Sven-Ola Tuecke <sven-ola at gmx.de>:
> Hey,
>
> das kommt ein wenig auf die zugrunde liegende OpenWrt-Version an. Ich
> erzähl mal ein bissi was.
>
> Im Prinzip sind Firmware-Entwickler ja immer auf der Suche nach
> überflüssigen Paketen, weil OpenWrt ja ein wenig Speck angesetzt hat.
> IpTables braucht es im Prinzip gar nicht, weil das Paket/Programm "fw3"
> alle Funktionen implementiert. Jow hat mit fw3 mehr oder weniger das ganze
> "iptables" nochmal neu implementiert mit Netlink-Sockets und allen drum und
> dran. Das fw3-Programm übernimmt die Einstellungen von "uci show firewall"
> in das System. Vermutlich kannte Jow damals die Funktion "iptables-restore"
> nicht, sonst hätte er das wohl nicht gemacht. Hauptmotivation wahr wohl
> Ausführungsgeschwindigkeit, weil ja die Regeln aus UCI jede Menge einzelne
> "iptables"-Aufrufe nötig machen.
>
> Naja - fw3 hat dann wieder ganz eigene Bugs - je nach OpenWrt-Version. Und
> dann gibt es noch benutzerdefinierte Scripts, die bei /etc/init.d/firewall
> start mit gestartet werden sollen (firewall. at include[0].path=/etc/firewall.user
> und firewall. at include[1].path=/etc/firewall.freifunk). Die brauchen kann
> tatsächlich das installierte "iptables"-Programm. Ende der Geschichte: das
> Zeugs landet zweimal auf den Routern und verbraucht so extra viel Platz.
> Achso, als Bonus: "ip6tables" bräuchte es wohl auch noch irgenwann...
>
> // Sven-Ola
>
> Am 28.04.2014 20:57, schrieb Arne Zachlod:
>
> also ich bin jetzt nicht gaenzlich sicher was ich vorher genau alles
> gemacht habe, aber woran es dann lag war schlicht und einfach der Fakt,
> dass iptables nicht installiert war. opkg install iptables hat dann
> geholfen, seit dem funktioniert die firewall. Soll das so sein, ist also
> eigentlich ein anderes Paket fuer die Firewall zustaendig, oder wurde
> das schlicht uebersehn?
>
> Bye
> Arne
>
> On 28.04.2014 19:19, Sven-Ola Tuecke wrote:
>
> Hey,
>
> als Sofortmaßname hilft:
>
> uci add firewall rule
> uci set firewall. at rule[-1].src=lan
> uci set firewall. at rule[-1].dest=wan
> uci set firewall. at rule[-1].proto=all
> uci set firewall. at rule[-1].dest_ip=192.168.0.0/16
> uci set firewall. at rule[-1].target=REJECT
> uci commit
> /etc/init.d/firewall restart
>
> HTH // Sven-Ola
>
> Am 27.04.2014 20:54, schrieb Arne Zachlod:
>
> Hallo!
>
> ich bin gerade etwas am rumbasteln und habe festgestellt dass die
> Funktion "WAN-Zugriff auf Gateway beschränken" nichts macht. Zumindest
> komme ich immer noch auf alle meine Geraete im LAN wenn ich im FF-Netz
> angemeldet bin. Das ist natuerlich etwas unschoen, weil ich so meine
> Internetverbindung nicht frei geben kann (habe jetzt das Kabel ins
> eigene Netz gekappt). Hat jemand evtl. einen workaround parat und kann
> mir die noetigen Einstellungen fuer die Firewall so sagen?
>
> Bye
> Arne
>
>
>
> _______________________________________________
> Berlin mailing listBerlin at berlin.freifunk.nethttp://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
>
>
> _______________________________________________
> Berlin mailing listBerlin at berlin.freifunk.nethttp://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
>
>
> _______________________________________________
> Berlin mailing listBerlin at berlin.freifunk.nethttp://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140429/fbe2d630/attachment.html>
Mehr Informationen über die Mailingliste Berlin