[PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node
mail at adrianschmutzler.de
mail at adrianschmutzler.de
So Dez 9 14:36:22 CET 2018
Applied.
Removed empty line at the end and fixed some typos/grammar in the commit message.
Grüße
Adrian
> -----Original Message-----
> From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf
> Of robert
> Sent: Donnerstag, 6. Dezember 2018 20:08
> To: franken-dev at freifunk.net
> Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and
> Node
>
> Hallo Christian,
>
> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf allen
> Routern drauf ist.
>
> Anmerkung unten ->
>
> Am 06.12.18 um 14:47 schrieb Christian Dresel:
> > This firewall block all communication with fe80::1 from a Client to
> > Batman and to the Node.
> >
> > We need this because some crap devices (e.g. some wrong connectet
> > router on a clientport) have the fe80::1 as address and break our
> > setup.
> >
> > This is an alternative Patch to
> > https://pw.freifunk-franken.de/patch/967/
> >
> > Signed-off-by: Christian Dresel <fff at chrisi01.de>
> > ---
> > src/packages/fff/fff-hoods/Makefile | 2 +-
> > .../fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 | 6 ++++++
> > 2 files changed, 7 insertions(+), 1 deletion(-) create mode 100644
> > src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801
> >
> > diff --git a/src/packages/fff/fff-hoods/Makefile
> > b/src/packages/fff/fff-hoods/Makefile
> > index 264d28a..fb1ae18 100644
> > --- a/src/packages/fff/fff-hoods/Makefile
> > +++ b/src/packages/fff/fff-hoods/Makefile
> > @@ -13,7 +13,7 @@ define Package/$(PKG_NAME)
> > CATEGORY:=Freifunk
> > TITLE:= Freifunk-Franken hoods
> > URL:=http://www.freifunk-franken.de
> > - DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select
> > + DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select
> > + +fff-firewall
> > endef
> >
> > define Package/$(PKG_NAME)/description diff --git
> > a/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801
> > b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801
> > new file mode 100644
> > index 0000000..754e070
> > --- /dev/null
> > +++ b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-f
> > +++ e801
> > @@ -0,0 +1,6 @@
> > +# Erlaube nur fe80::1 von BATMAN -> CLIENT ebtables -A FORWARD -p
> > +IPv6 --ip6-source fe80::1 -j IN_ONLY
>
> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten,
> dass die Beschreibung moeglichst passt.
>
> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT
>
> > +
> > +# Erlaube nur fe80::1 von KNOTEN -> CLIENT ebtables -A INPUT -p IPv6
> > +--ip6-source fe80::1 -j IN_ONLY
>
> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas
> verwirrt.
>
> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN
>
> Gruesse Robert
>
> > +
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 834 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20181209/f3a3b7b2/attachment.sig>
Mehr Informationen über die Mailingliste franken-dev