[Freifunk Franken] Aufsetzen eines -

Tom Green koe_fue at gmx.de
So Sep 13 14:56:17 CEST 2015


Hi,

interessante Idee. Der Mac-Adressen filter scheint keine Wildcards zu
kennen, was die Sache unhandlich macht. Oder hast du da eine anderes
iptables Modul im Sinn oder kennst eine Syntaxbeschreibung des iptables
MAC-Filters?

Letzten Endes könnte man so auch regelmäßig die Existenz seines Peer's
überprüfen, z.B. ob der DHCP Server, der für die MAC-Endungen "9"-"F" 
zuständig ist, überhaupt läuft und die Regeln entsprechend anpassen.

P.S.: Ich denke immer noch, wir sollten es erst mal mit batman GW
selection probieren..

VG
Torben

Link:
http://www.unix.com/security/160564-configure-iptables-allows-list-mac-address.html

On 13.09.2015 13:32, Michael Fritscher wrote:
> Hi,
>
> notfalls lässt sich das Problem mit der linux-Firewall lösen - einfach
> alle Pakete, die an den dhcp-Server gehen und deren Mac-Endziffer nicht
> passt verwerfen. Damit würde auch die bisher schon statfindende
> Überlappung (mehrere DHCP-Server im gleichen Netz) weiter möglich sein,
> nur wäre die dann feiner steuerbar.
>
> Viele Grüße,
> Michael
>
>> ich hab in eine ähnliche richtung gedacht:
>>
>> (1) entweder mit dhcp hausmitteln (schwierig, weil nicht so mächtig):
>>
>>   * Die letzte Ziffer der Client: MAC auswerten (Annahme: statisch
>> verteilt
>>   * Endziffern 1,2,3,4 -> fff-nue
>>   * Endziffern 6,7 -> ro1
>>   * Endziffern 8,9 -> klee
>>
>> nur als beispiel. die MAC kann man in dhcpd auslesen, und auch classes
>> bilden. Problem: Was ist wenn der designated gw down ist?
>>
>> In normaler Programmiersprache kein "großes" Problem. In das was dhcp
>> kann ... örgs.
>>
>> (2) Den DHCP Server zeitlich rotieren lassen
>>
>> Er weißt 5 Minuten lang allen Clients fff-nue1 zu -> Kill
>> Er weißt 3 Minuten lang allen Clients ro1 zu -> Kill
>> Er weißt 2 Minuten lang allen Clients kill zu -> Kill
>>
>> Problem: Nach 10 Minuten steht ein Refresh des DHCP Requests an. D.h.
>> mit dem refresh alle 10 Minuten würden ein Teil der Clients das GW
>> wechseln, und mit die externe IP.
>>
>>
>> On 11.09.2015 17:06, delphiN wrote:
>>> Am 11.09.2015 16:54, schrieb Tim Niemeyer:
>>>> Wer in der Netztopologie am schnellsten den DHCP Request
>>>> beantwortet,
>>>>> wird zum GW. Das ist in der Regel fff-nue. Wer am weitesten weg
>>>>> ist, bekommt fast keine Clients, das ist in der Regel meiner ;)
>>> Ich hab da auch schon öfters mal drüber nachgedacht.
>>>
>>> Ein Ansatz wäre es auf den Gateways einen speziellen DHCP-Server zu
>>> verwenden, der eine gewisse Zeit abwartet, bis er antwortet.
>>> Diese kleine Verzögerung könnte man z.B. von der Anzahl der
>>> VPN-Verbindungen, oder dem aktuellen Netzwerkdurchsatz abhängig
>>> machen. So könnte man die Last dynamischer verteilen ohne eine
>>> zentrale Steuerung zu schaffen.
>>> Wenn Ihr die Idee gut findet würde ich mir das man anschauen.
>>> Eingelesen hab ich mich schon und halte es für einen gangbaren Weg.
>>>
>>> delphiN
>>>
>




Mehr Informationen über die Mailingliste franken-dev