[Berlin-wireless] FF-Assistent pberg-221 WAN-Gateway Beschraenkung funktioniert nicht

Arne Zachlod arne
Di Apr 29 10:36:16 CEST 2014


Ja, das werde ich wohl auch so machen muessen. Mein Router pustet
naemlich am Anfang nach einem Neustart mindestens die Pakete aus dem
normalen AP-Netz (berlin.freifunk.net) einfach mit meiner IP ins Netz.
Sobald das VPN verbunden ist nimmt er dann das, aber das hilft ja auch
nicht viel. Das ist natuerlich unschoen, eigentlich sollte das auch
nicht passieren.

Bye
Arne

On 29.04.2014 09:33, Martin Treide-Heuser wrote:
> Moin, nur mal der Vollständigkeit halber
> 
> mein Router WDR3500 mit Barrier Braker hat das gleiche Verhalten. Ich
> habe das bislang auf mein "krummes" Lan Netzwerk geschoben da ich mir
> dachte das die Wan FW Rules nur so Standartnetze abdecken.
> 
> Aber dem scheint wohl nicht so zu sein. Mir isses prinzipiell egal denn
> der Freifunkrouter ist dediziert angeschlossen.
> 
> Gruss Martin
> 
> 
> 
> Am 29. April 2014 08:59 schrieb Sven-Ola Tuecke <sven-ola at gmx.de
> <mailto:sven-ola at gmx.de>>:
> 
>     Hey,
> 
>     das kommt ein wenig auf die zugrunde liegende OpenWrt-Version an.
>     Ich erzähl mal ein bissi was.
> 
>     Im Prinzip sind Firmware-Entwickler ja immer auf der Suche nach
>     überflüssigen Paketen, weil OpenWrt ja ein wenig Speck angesetzt
>     hat. IpTables braucht es im Prinzip gar nicht, weil das
>     Paket/Programm "fw3" alle Funktionen implementiert. Jow hat mit fw3
>     mehr oder weniger das ganze "iptables" nochmal neu implementiert mit
>     Netlink-Sockets und allen drum und dran. Das fw3-Programm übernimmt
>     die Einstellungen von "uci show firewall" in das System. Vermutlich
>     kannte Jow damals die Funktion "iptables-restore" nicht, sonst hätte
>     er das wohl nicht gemacht. Hauptmotivation wahr wohl
>     Ausführungsgeschwindigkeit, weil ja die Regeln aus UCI jede Menge
>     einzelne "iptables"-Aufrufe nötig machen.
> 
>     Naja - fw3 hat dann wieder ganz eigene Bugs - je nach
>     OpenWrt-Version. Und dann gibt es noch benutzerdefinierte Scripts,
>     die bei /etc/init.d/firewall start mit gestartet werden sollen
>     (firewall. at include[0].path=/etc/firewall.user und
>     firewall. at include[1].path=/etc/firewall.freifunk). Die brauchen kann
>     tatsächlich das installierte "iptables"-Programm. Ende der
>     Geschichte: das Zeugs landet zweimal auf den Routern und verbraucht
>     so extra viel Platz. Achso, als Bonus: "ip6tables" bräuchte es wohl
>     auch noch irgenwann...
> 
>     // Sven-Ola
> 
>     Am 28.04.2014 20:57, schrieb Arne Zachlod:
>>     also ich bin jetzt nicht gaenzlich sicher was ich vorher genau alles
>>     gemacht habe, aber woran es dann lag war schlicht und einfach der Fakt,
>>     dass iptables nicht installiert war. opkg install iptables hat dann
>>     geholfen, seit dem funktioniert die firewall. Soll das so sein, ist also
>>     eigentlich ein anderes Paket fuer die Firewall zustaendig, oder wurde
>>     das schlicht uebersehn?
>>
>>     Bye
>>     Arne
>>
>>     On 28.04.2014 19:19, Sven-Ola Tuecke wrote:
>>>     Hey,
>>>
>>>     als Sofortmaßname hilft:
>>>
>>>     uci add firewall rule 
>>>     uci set firewall. at rule[-1].src=lan 
>>>     uci set firewall. at rule[-1].dest=wan 
>>>     uci set firewall. at rule[-1].proto=all 
>>>     uci set firewall. at rule[-1].dest_ip=192.168.0.0/16 <http://192.168.0.0/16> 
>>>     uci set firewall. at rule[-1].target=REJECT 
>>>     uci commit 
>>>     /etc/init.d/firewall restart
>>>
>>>     HTH // Sven-Ola
>>>
>>>     Am 27.04.2014 20:54, schrieb Arne Zachlod:
>>>>     Hallo!
>>>>
>>>>     ich bin gerade etwas am rumbasteln und habe festgestellt dass die
>>>>     Funktion "WAN-Zugriff auf Gateway beschränken" nichts macht. Zumindest
>>>>     komme ich immer noch auf alle meine Geraete im LAN wenn ich im FF-Netz
>>>>     angemeldet bin. Das ist natuerlich etwas unschoen, weil ich so meine
>>>>     Internetverbindung nicht frei geben kann (habe jetzt das Kabel ins
>>>>     eigene Netz gekappt). Hat jemand evtl. einen workaround parat und kann
>>>>     mir die noetigen Einstellungen fuer die Firewall so sagen?
>>>>
>>>>     Bye
>>>>     Arne
>>>>
>>>>
>>>>
>>>>     _______________________________________________
>>>>     Berlin mailing list
>>>>     Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
>>>>     http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>>     _______________________________________________
>>>     Berlin mailing list
>>>     Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
>>>     http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>>
>>
>>
>>     _______________________________________________
>>     Berlin mailing list
>>     Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
>>     http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> 
> 
>     _______________________________________________
>     Berlin mailing list
>     Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
>     http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> 
> 
> 
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140429/2b87016e/attachment.pgp>



Mehr Informationen über die Mailingliste Berlin