[PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node

Adrian Schmutzler mail at adrianschmutzler.de
Fr Dez 7 12:28:40 CET 2018 

Hallo,

 

zwecks fe80::fff:1:

 

Das haben jetzt ja schon überraschend viele eingerichtet. (Ich war echt überrascht…) Ich würde da mit dem zurückrufen erstmal warten, ob wir es vll. doch noch brauchen können. Im Moment tun die zusätzlichen Adressen ja keinem weh, also werde ich erstmal keinen Aufruf zum „aktiv zurückändern“ starten.

Ansonsten ist die Firewall-Lösung natürlich besser.

 

Grüße

 

Adrian

 

From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of robert
Sent: Donnerstag, 6. Dezember 2018 21:58
To: franken-dev at freifunk.net
Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node

 

Hallo, 

hab noch mal etwas getestet. Scheint wirklich zu tun, was es soll. 

Die Kommentare anpassen, sollten wir  uns auf die to-do-Liste schreiben. 

Tested-by: Robert Langhammer <rlanghammer at web.de <mailto:rlanghammer at web.de> > 

Reviewed-by: Robert Langhammer <rlanghammer at web.de <mailto:rlanghammer at web.de> > 

 

@Adrian, falls wir uns fuer diesen Weg entscheiden (ich bin dafuer), 
solltest du auf der GW-Liste die fe80::fff:1 Diskussion wieder killen. 

Robert 

Am 06.12.18 um 20:23 schrieb Adrian Schmutzler: 
> Hallo, 
> 
> inhaltlich gab es ja keine Probleme? 
> 
> Dann würde ich tatsächlich die jetzige Beschreibung beibehalten und dann zeitnah ALLE Regeln klarer machen und ins Englische übersetzen.

> 
> Da kann man dann auch sowas aufräumen wie /usr/sbin/iptables oder nur iptables. 
> 
> Grüße 
> 
> Adrian 
> 
>> -----Original Message----- 
>> From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of 
>> Christian Dresel 
>> Sent: Donnerstag, 6. Dezember 2018 20:18 
>> To: robert <rlanghammer at web.de <mailto:rlanghammer at web.de> >; franken-dev at freifunk.net <mailto:franken-dev at freifunk.net>  
>> Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node 
>> 
>> hi Robert 
>> 
>> On 06.12.18 20:07, robert wrote: 
>>> Hallo Christian, 
>>> 
>>> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf 
>>> allen Routern drauf ist. 
>> das geht aber auch gar nicht mehr anders, alte Router haben halt das 
>> Problem das können wir nicht mehr ändern. 
>> 
>>> Anmerkung unten -> 
>>> 
>>> Am 06.12.18 um 14:47 schrieb Christian Dresel: 
>>>> +# Erlaube nur fe80::1 von BATMAN -> CLIENT 
>>>> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY 
>>> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, 
>>> dass die Beschreibung moeglichst passt. 
>> stimmt geht mir auch so 
>>> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT 
>> ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.: 
>> 
>> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f 
>> ff-firewall/files/usr/lib/firewall.d/30-client-ra 
>> 
>> tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite 
>> des Clients sehen muss kommt durch die "Verneinung" (...--logical-out 
>> br-mesh -o ! bat0...) der Regel hier zustande: 
>> 
>> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f 
>> ff-firewall/files/usr/lib/firewall.d/05-setup-chains 
>> 
>> Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das 
>> Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger" 
>> benennen. 
>> 
>>>> + 
>>>> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT 
>>>> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY 
>>> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas 
>>> verwirrt. 
>> wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja 
>> "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich 
>> durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output 
>> probiert und mich gewundert warum es nicht geht, bis ich die Richtung 
>> richtig verstanden habe) 
>>> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN 
>> würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will 
>> da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen. 
>> 
>> mfg 
>> 
>> Christian 
>> 
>>> Gruesse Robert 
>>> 
>>>> + 

 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181207/ee6a5784/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 834 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181207/ee6a5784/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev