[Berlin-wireless] FF-Assistent pberg-221 WAN-Gateway Beschraenkung funktioniert nicht
Martin Treide-Heuser
martin.treideheuser
Di Apr 29 10:51:27 CEST 2014
Hi Arne,
klemm den Router einfach dediziert an und lass nur Zugriffe auf vpn03 durch.
Gruss Martin
Am 29. April 2014 10:36 schrieb Arne Zachlod <arne at nerdkeller.org>:
> Ja, das werde ich wohl auch so machen muessen. Mein Router pustet
> naemlich am Anfang nach einem Neustart mindestens die Pakete aus dem
> normalen AP-Netz (berlin.freifunk.net) einfach mit meiner IP ins Netz.
> Sobald das VPN verbunden ist nimmt er dann das, aber das hilft ja auch
> nicht viel. Das ist natuerlich unschoen, eigentlich sollte das auch
> nicht passieren.
>
> Bye
> Arne
>
> On 29.04.2014 09:33, Martin Treide-Heuser wrote:
> > Moin, nur mal der Vollständigkeit halber
> >
> > mein Router WDR3500 mit Barrier Braker hat das gleiche Verhalten. Ich
> > habe das bislang auf mein "krummes" Lan Netzwerk geschoben da ich mir
> > dachte das die Wan FW Rules nur so Standartnetze abdecken.
> >
> > Aber dem scheint wohl nicht so zu sein. Mir isses prinzipiell egal denn
> > der Freifunkrouter ist dediziert angeschlossen.
> >
> > Gruss Martin
> >
> >
> >
> > Am 29. April 2014 08:59 schrieb Sven-Ola Tuecke <sven-ola at gmx.de
> > <mailto:sven-ola at gmx.de>>:
> >
> > Hey,
> >
> > das kommt ein wenig auf die zugrunde liegende OpenWrt-Version an.
> > Ich erzähl mal ein bissi was.
> >
> > Im Prinzip sind Firmware-Entwickler ja immer auf der Suche nach
> > überflüssigen Paketen, weil OpenWrt ja ein wenig Speck angesetzt
> > hat. IpTables braucht es im Prinzip gar nicht, weil das
> > Paket/Programm "fw3" alle Funktionen implementiert. Jow hat mit fw3
> > mehr oder weniger das ganze "iptables" nochmal neu implementiert mit
> > Netlink-Sockets und allen drum und dran. Das fw3-Programm übernimmt
> > die Einstellungen von "uci show firewall" in das System. Vermutlich
> > kannte Jow damals die Funktion "iptables-restore" nicht, sonst hätte
> > er das wohl nicht gemacht. Hauptmotivation wahr wohl
> > Ausführungsgeschwindigkeit, weil ja die Regeln aus UCI jede Menge
> > einzelne "iptables"-Aufrufe nötig machen.
> >
> > Naja - fw3 hat dann wieder ganz eigene Bugs - je nach
> > OpenWrt-Version. Und dann gibt es noch benutzerdefinierte Scripts,
> > die bei /etc/init.d/firewall start mit gestartet werden sollen
> > (firewall. at include[0].path=/etc/firewall.user und
> > firewall. at include[1].path=/etc/firewall.freifunk). Die brauchen kann
> > tatsächlich das installierte "iptables"-Programm. Ende der
> > Geschichte: das Zeugs landet zweimal auf den Routern und verbraucht
> > so extra viel Platz. Achso, als Bonus: "ip6tables" bräuchte es wohl
> > auch noch irgenwann...
> >
> > // Sven-Ola
> >
> > Am 28.04.2014 20:57, schrieb Arne Zachlod:
> >> also ich bin jetzt nicht gaenzlich sicher was ich vorher genau alles
> >> gemacht habe, aber woran es dann lag war schlicht und einfach der
> Fakt,
> >> dass iptables nicht installiert war. opkg install iptables hat dann
> >> geholfen, seit dem funktioniert die firewall. Soll das so sein, ist
> also
> >> eigentlich ein anderes Paket fuer die Firewall zustaendig, oder
> wurde
> >> das schlicht uebersehn?
> >>
> >> Bye
> >> Arne
> >>
> >> On 28.04.2014 19:19, Sven-Ola Tuecke wrote:
> >>> Hey,
> >>>
> >>> als Sofortmaßname hilft:
> >>>
> >>> uci add firewall rule
> >>> uci set firewall. at rule[-1].src=lan
> >>> uci set firewall. at rule[-1].dest=wan
> >>> uci set firewall. at rule[-1].proto=all
> >>> uci set firewall. at rule[-1].dest_ip=192.168.0.0/16 <
> http://192.168.0.0/16>
> >>> uci set firewall. at rule[-1].target=REJECT
> >>> uci commit
> >>> /etc/init.d/firewall restart
> >>>
> >>> HTH // Sven-Ola
> >>>
> >>> Am 27.04.2014 20:54, schrieb Arne Zachlod:
> >>>> Hallo!
> >>>>
> >>>> ich bin gerade etwas am rumbasteln und habe festgestellt dass die
> >>>> Funktion "WAN-Zugriff auf Gateway beschränken" nichts macht.
> Zumindest
> >>>> komme ich immer noch auf alle meine Geraete im LAN wenn ich im
> FF-Netz
> >>>> angemeldet bin. Das ist natuerlich etwas unschoen, weil ich so
> meine
> >>>> Internetverbindung nicht frei geben kann (habe jetzt das Kabel ins
> >>>> eigene Netz gekappt). Hat jemand evtl. einen workaround parat und
> kann
> >>>> mir die noetigen Einstellungen fuer die Firewall so sagen?
> >>>>
> >>>> Bye
> >>>> Arne
> >>>>
> >>>>
> >>>>
> >>>> _______________________________________________
> >>>> Berlin mailing list
> >>>> Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
> >>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> >>> _______________________________________________
> >>> Berlin mailing list
> >>> Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
> >>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> >>>
> >>
> >>
> >> _______________________________________________
> >> Berlin mailing list
> >> Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
> >> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> >
> >
> > _______________________________________________
> > Berlin mailing list
> > Berlin at berlin.freifunk.net <mailto:Berlin at berlin.freifunk.net>
> > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> >
> >
> >
> >
> > _______________________________________________
> > Berlin mailing list
> > Berlin at berlin.freifunk.net
> > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> >
>
>
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.berlin.freifunk.net/pipermail/berlin/attachments/20140429/3e925f1b/attachment.html>
Mehr Informationen über die Mailingliste Berlin