<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style></head><body lang=DE link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Hallo,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>zwecks fe80::fff:1:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Das haben jetzt ja schon überraschend viele eingerichtet. (Ich war echt überrascht…) Ich würde da mit dem zurückrufen erstmal warten, ob wir es vll. doch noch brauchen können. Im Moment tun die zusätzlichen Adressen ja keinem weh, also werde ich erstmal keinen Aufruf zum „aktiv zurückändern“ starten.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Ansonsten ist die Firewall-Lösung natürlich besser.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Grüße<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'>Adrian<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri",sans-serif'> franken-dev [mailto:franken-dev-bounces@freifunk.net] <b>On Behalf Of </b>robert<br><b>Sent:</b> Donnerstag, 6. Dez</span><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri",sans-serif'>ember 2018 21:58<br><b>To:</b> franken-dev@freifunk.net<br><b>Subject:</b> Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p><span style='font-family:"Calibri",sans-serif'>Hallo,</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>hab noch mal etwas getestet. Scheint wirklich zu tun, was es soll.</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Die Kommentare anpassen, sollten wir  uns auf die to-do-Liste schreiben.</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Tested-by: Robert Langhammer <<a href="mailto:rlanghammer@web.de">rlanghammer@web.de</a>></span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Reviewed-by: Robert Langhammer <<a href="mailto:rlanghammer@web.de">rlanghammer@web.de</a>></span> <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p><span style='font-family:"Calibri",sans-serif'>@Adrian, falls wir uns fuer diesen Weg entscheiden (ich bin dafuer),</span> <br><span style='font-family:"Calibri",sans-serif'>solltest du auf der GW-Liste die fe80::fff:1 Diskussion wieder killen.</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Robert</span> <o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>Am 06.12.18 um 20:23 schrieb Adrian Schmutzler:</span> <br><span style='font-family:"Calibri",sans-serif'>> Hallo,</span> <br><span style='font-family:"Calibri",sans-serif'>></span> <br><span style='font-family:"Calibri",sans-serif'>> inhaltlich gab es ja keine Probleme?</span> <br><span style='font-family:"Calibri",sans-serif'>></span> <br><span style='font-family:"Calibri",sans-serif'>> Dann würde ich tatsächlich die jetzige Beschreibung beibehalten und dann zeitnah ALLE Regeln klarer machen und ins Englische übersetzen.</span><o:p></o:p></p><p><span style='font-family:"Calibri",sans-serif'>></span> <br><span style='font-family:"Calibri",sans-serif'>> Da kann man dann auch sowas aufräumen wie /usr/sbin/iptables oder nur iptables.</span> <br><span style='font-family:"Calibri",sans-serif'>></span> <br><span style='font-family:"Calibri",sans-serif'>> Grüße</span> <br><span style='font-family:"Calibri",sans-serif'>></span> <br><span style='font-family:"Calibri",sans-serif'>> Adrian</span> <br><span style='font-family:"Calibri",sans-serif'>></span> <br><span style='font-family:"Calibri",sans-serif'>>> -----Original Message-----</span> <br><span style='font-family:"Calibri",sans-serif'>>> From: franken-dev [<a href="mailto:franken-dev-bounces@freifunk.net">mailto:franken-dev-bounces@freifunk.net</a>] On Behalf Of</span> <br><span style='font-family:"Calibri",sans-serif'>>> Christian Dresel</span> <br><span style='font-family:"Calibri",sans-serif'>>> Sent: Donnerstag, 6. Dezember 2018 20:18</span> <br><span style='font-family:"Calibri",sans-serif'>>> To: robert <<a href="mailto:rlanghammer@web.de">rlanghammer@web.de</a>>; <a href="mailto:franken-dev@freifunk.net">franken-dev@freifunk.net</a></span> <br><span style='font-family:"Calibri",sans-serif'>>> Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> hi Robert</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> On 06.12.18 20:07, robert wrote:</span> <br><span style='font-family:"Calibri",sans-serif'>>>> Hallo Christian,</span> <br><span style='font-family:"Calibri",sans-serif'>>>></span> <br><span style='font-family:"Calibri",sans-serif'>>>> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf</span> <br><span style='font-family:"Calibri",sans-serif'>>>> allen Routern drauf ist.</span> <br><span style='font-family:"Calibri",sans-serif'>>> das geht aber auch gar nicht mehr anders, alte Router haben halt das</span> <br><span style='font-family:"Calibri",sans-serif'>>> Problem das können wir nicht mehr ändern.</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>>> Anmerkung unten -></span> <br><span style='font-family:"Calibri",sans-serif'>>>></span> <br><span style='font-family:"Calibri",sans-serif'>>>> Am 06.12.18 um 14:47 schrieb Christian Dresel:</span> <br><span style='font-family:"Calibri",sans-serif'>>>>> +# Erlaube nur fe80::1 von BATMAN -> CLIENT</span> <br><span style='font-family:"Calibri",sans-serif'>>>>> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY</span> <br><span style='font-family:"Calibri",sans-serif'>>>> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten,</span> <br><span style='font-family:"Calibri",sans-serif'>>>> dass die Beschreibung moeglichst passt.</span> <br><span style='font-family:"Calibri",sans-serif'>>> stimmt geht mir auch so</span> <br><span style='font-family:"Calibri",sans-serif'>>>> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT</span> <br><span style='font-family:"Calibri",sans-serif'>>> ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.:</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> <a href="https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f">https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f</a></span> <br><span style='font-family:"Calibri",sans-serif'>>> ff-firewall/files/usr/lib/firewall.d/30-client-ra</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite</span> <br><span style='font-family:"Calibri",sans-serif'>>> des Clients sehen muss kommt durch die "Verneinung" (...--logical-out</span> <br><span style='font-family:"Calibri",sans-serif'>>> br-mesh -o ! bat0...) der Regel hier zustande:</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> <a href="https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f">https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f</a></span> <br><span style='font-family:"Calibri",sans-serif'>>> ff-firewall/files/usr/lib/firewall.d/05-setup-chains</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das</span> <br><span style='font-family:"Calibri",sans-serif'>>> Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger"</span> <br><span style='font-family:"Calibri",sans-serif'>>> benennen.</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>>>> +</span> <br><span style='font-family:"Calibri",sans-serif'>>>>> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT</span> <br><span style='font-family:"Calibri",sans-serif'>>>>> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY</span> <br><span style='font-family:"Calibri",sans-serif'>>>> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas</span> <br><span style='font-family:"Calibri",sans-serif'>>>> verwirrt.</span> <br><span style='font-family:"Calibri",sans-serif'>>> wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja</span> <br><span style='font-family:"Calibri",sans-serif'>>> "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich</span> <br><span style='font-family:"Calibri",sans-serif'>>> durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output</span> <br><span style='font-family:"Calibri",sans-serif'>>> probiert und mich gewundert warum es nicht geht, bis ich die Richtung</span> <br><span style='font-family:"Calibri",sans-serif'>>> richtig verstanden habe)</span> <br><span style='font-family:"Calibri",sans-serif'>>>> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN</span> <br><span style='font-family:"Calibri",sans-serif'>>> würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will</span> <br><span style='font-family:"Calibri",sans-serif'>>> da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen.</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> mfg</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>> Christian</span> <br><span style='font-family:"Calibri",sans-serif'>>></span> <br><span style='font-family:"Calibri",sans-serif'>>>> Gruesse Robert</span> <br><span style='font-family:"Calibri",sans-serif'>>>></span> <br><span style='font-family:"Calibri",sans-serif'>>>>> +</span> <o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p></div></div></body></html>