[Berlin-wireless] VPN03 über mesh

[Philipp Borgers]

Muss ich ja erstmal verstehen ;) Nachher bau ich hier Backdoors ein...

Eigentlich wollen wir doch verhindern, dass aus dem Tunnel heraus (tun-udp auf
dem Server) eine Verbindung zu Port 1194 aufgemacht wird, da wir davon ausgehen,
dass dann ein Tunnel im Tunnel entsteht?

Vielleicht wäre ein Destination unreachable besser als ein DROP?

Gruß Philipp

On Mon, Feb 22, 2016 at 01:46:11AM +0100, Sven Roederer wrote:
> NICDEVICE=eth0
> VPN03_SERVER=`dig +nocmd +multiline +noall +answer vpn03.berlin.freifunk.net A |awk '{ print $5 }'`
> iptables -N DROP_VPN03mesh && iptables -I INPUT -i $NICDEVICE -p udp --dport 1194 -j DROP_VPN03mesh
> iptables -F DROP_VPN03mesh
> for SERVER in VPN03_SERVER; do
>  iptables -I DROP_VPN03mesh -s $SERVER -j DROP
> done
> 
> 
> so, jetzt musst du das einbauen :-)
> 
> 
> 
> Am Monday 22 February 2016, 01:13:35 schrieb Philipp Borgers:
> > Machen sie doch mal einen Vorschlag in Form von Konfiguration.
> > 
> > On Mon, Feb 22, 2016 at 12:45:14AM +0100, Sven Roederer wrote:
> > > Hi,
> > > 
> > > ich hab jetzt auch grad mal in meinem Testsetup den Fall, das ein Router
> > > (der auch VPN03 eingerichtet hat) mangels WAN-link über einen anderen
> > > Knoten, via Mesh, den Tunnel aufbaut.
> > > 
> > > Was spricht gegen die eine Firewall-regel um das zu unterbinden, bis mit
> > > kathleen-0.2 eine schöne Lösung gefunden ist.
> > > Durch die steigende Zahl an VPN-instanzen ist die statische UCI-konfig
> > > ja "etwas" unflexibel. Und ein Kathleen 0.1.3 zu machen ist ja auch
> > > albern.
> > > 
> > > Wenn jetzt auf jedem VPN-Server einfach eingehende Verbindungen auf
> > > UDP/1194 mit der src-ip eines der anderen VPN-Server gedropt werden,
> > > sollte das doch schon helfen.
> > > Leider wird der client es immer weiter probieren, aber das sollte ja
> > > schonmal etwas sinnlosen Traffic vermeiden.
> > > 
> > > GRuss Sven
> > > 
> > > 
> > > 
> > > 
> > > _______________________________________________
> > > Berlin mailing list
> > > Berlin at berlin.freifunk.net
> > > http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> > > Diese Mailingliste besitzt ein ?ffentlich einsehbares Archiv
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160222/62b5ad22/attachment.sig>