[Berlin-wireless] qos tc iptables firewall beleuchten

Philipp Borgers borgers at mi.fu-berlin.de
So Jul 3 13:30:47 CEST 2016 

On Sat, Jul 02, 2016 at 06:14:28PM +0200, smilie at posteo.de wrote:
> 
> Ich bin mit dem ganzen qos/firewall-Konzept noch nicht richtig zufrieden.
> Mir schwirren da noch diverse Dinge im Kopf herum, die ich mal klären
> wollte.
> 
> 
> 1.
> qos könnte durch eine trafik-priorität mittels tc ausgetauscht werden.

Quality of Service (QoS) wird durch eine Kombination aus tc und iptables
implementiert.

Man könnte überlegen, ob man auf Smart Queue Management umsteigt:

https://wiki.openwrt.org/doc/howto/sqm

> 2.
> Die Begriffe: Freifunk-BB, WAN, LAN, könnten weitgehend fest in der Firewall
> integriert werden, so dass man nur noch die Interfaces den Zonen zuordnen
> muss.

Wenn du konkrete Vorschläge für verständlichere Standard-Konfiguration hast,
wäre es super, wenn du die in einem Ticket festhalten könntest.

> 3.
> lasst sich iptables ersetzen, bzw. ist iptables unbedingt nötig, bzw. wozu
> ist iptables nötig?

Unter anderem scheinen wir iptables für die Implementierung von QoS zu brauchen.

> 4.
> lässt sich eine Firewall nicht auch durch maskerading zwischen verschiedenen
> Zonen in einem Router realisieren?

Masquerading übersetzt öffentliche Adressen zu privaten und umgekehrt. Es
verhindert nicht das z.B. von außen Daten in dein Netzwerk gelangen. Eine
ordentliche Firewall hat z.B. konkrete Regel um unerwünschten Datenverkehr zu
verwerfen.

> 5.
> müssen Ports überhaupt gesperrt werden? (Annahme: Ich glaube die
> Hauptaufgabe von iptables ist es Ports zu sperren.)

Wenn du Verbindungen zu bestimmten Anwendungen unterbinden willst, musst du
Ports blocken. In unserer Firmeware haben wir z.B. Verbindungen über das Mesh zu
den VPN03-Server über eine Kombination aus IP und Port geblockt.

> Was habe ich dabei nicht beachtet?
> Könnte mir jemand auf die Sprünge helfen?
> 
> lg
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20160703/18e4d076/attachment.sig>

Mehr Informationen über die Mailingliste Berlin