[PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node

robert rlanghammer at web.de
Do Dez 6 21:57:48 CET 2018 

Hallo,

hab noch mal etwas getestet. Scheint wirklich zu tun, was es soll.

Die Kommentare anpassen, sollten wir  uns auf die to-do-Liste schreiben.

Tested-by: Robert Langhammer <rlanghammer at web.de>

Reviewed-by: Robert Langhammer <rlanghammer at web.de>


@Adrian, falls wir uns fuer diesen Weg entscheiden (ich bin dafuer),
solltest du auf der GW-Liste die fe80::fff:1 Diskussion wieder killen.

Robert

Am 06.12.18 um 20:23 schrieb Adrian Schmutzler:
> Hallo,
>
> inhaltlich gab es ja keine Probleme?
>
> Dann würde ich tatsächlich die jetzige Beschreibung beibehalten und dann zeitnah ALLE Regeln klarer machen und ins Englische übersetzen.
>
> Da kann man dann auch sowas aufräumen wie /usr/sbin/iptables oder nur iptables.
>
> Grüße
>
> Adrian
>
>> -----Original Message-----
>> From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of
>> Christian Dresel
>> Sent: Donnerstag, 6. Dezember 2018 20:18
>> To: robert <rlanghammer at web.de>; franken-dev at freifunk.net
>> Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node
>>
>> hi Robert
>>
>> On 06.12.18 20:07, robert wrote:
>>> Hallo Christian,
>>>
>>> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf
>>> allen Routern drauf ist.
>> das geht aber auch gar nicht mehr anders, alte Router haben halt das
>> Problem das können wir nicht mehr ändern.
>>
>>> Anmerkung unten ->
>>>
>>> Am 06.12.18 um 14:47 schrieb Christian Dresel:
>>>> +# Erlaube nur fe80::1 von BATMAN -> CLIENT
>>>> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY
>>> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten,
>>> dass die Beschreibung moeglichst passt.
>> stimmt geht mir auch so
>>> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT
>> ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.:
>>
>> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f
>> ff-firewall/files/usr/lib/firewall.d/30-client-ra
>>
>> tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite
>> des Clients sehen muss kommt durch die "Verneinung" (...--logical-out
>> br-mesh -o ! bat0...) der Regel hier zustande:
>>
>> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f
>> ff-firewall/files/usr/lib/firewall.d/05-setup-chains
>>
>> Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das
>> Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger"
>> benennen.
>>
>>>> +
>>>> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT
>>>> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY
>>> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas
>>> verwirrt.
>> wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja
>> "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich
>> durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output
>> probiert und mich gewundert warum es nicht geht, bis ich die Richtung
>> richtig verstanden habe)
>>> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN
>> würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will
>> da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen.
>>
>> mfg
>>
>> Christian
>>
>>> Gruesse Robert
>>>
>>>> +

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181206/256af95d/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev