[PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node
Christian Dresel
fff at chrisi01.de
Do Dez 6 20:17:43 CET 2018
hi Robert
On 06.12.18 20:07, robert wrote:
> Hallo Christian,
>
> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf
> allen Routern drauf ist.
das geht aber auch gar nicht mehr anders, alte Router haben halt das
Problem das können wir nicht mehr ändern.
>
> Anmerkung unten ->
>
> Am 06.12.18 um 14:47 schrieb Christian Dresel:
>> +# Erlaube nur fe80::1 von BATMAN -> CLIENT
>> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY
> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten,
> dass die Beschreibung moeglichst passt.
stimmt geht mir auch so
>
> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT
ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.:
https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/30-client-ra
tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite
des Clients sehen muss kommt durch die "Verneinung" (...--logical-out
br-mesh -o ! bat0...) der Regel hier zustande:
https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/05-setup-chains
Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das
Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger"
benennen.
>> +
>> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT
>> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY
> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas
> verwirrt.
wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja
"Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich
durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output
probiert und mich gewundert warum es nicht geht, bis ich die Richtung
richtig verstanden habe)
> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN
würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will
da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen.
mfg
Christian
>
> Gruesse Robert
>
>> +
Mehr Informationen über die Mailingliste franken-dev