[Freifunk Franken Firmware 0000103]: Firewall funktioniert auf CPE210 nicht richtig

Mantis Bug Tracker mbt at chrisi01.de
Fr Jun 22 08:56:51 CEST 2018


Der folgende Eintrag wurde erfasst. 
====================================================================== 
https://mantis.freifunk-franken.de/view.php?id=103 
====================================================================== 
Berichtet von:              ChristianD
Zugewiesen an:              
====================================================================== 
Projekt:                    Freifunk Franken Firmware
Eintrag-ID:                 103
Kategorie:                  Freifunk Franken Firmware
Reproduzierbarkeit:         N/A
Auswirkung:                 kleinerer Fehler
Priorität:                  normal
Status:                     neu
====================================================================== 
Erstellt am:                2018-06-22 08:56 CEST
Zuletzt geändert:           2018-06-22 08:56 CEST
====================================================================== 
Zusammenfassung:            Firewall funktioniert auf CPE210 nicht richtig
Beschreibung: 
Ich hab eine CPE210 frisch mit der aktuellen 20180304-alpha geflasht.
Danach war ich verwundert, das ich über den eth0 Port (der erste Port, der auch
PoE In hat) per SSH und fe80 drauf komme, eigentlich sollte der Port WAN sein
(ist er auch, siehe Anhang) und da die Firewall greifen.

https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/20-filter-ssh
Zeile 2 & 3
https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/etc/init.d/fff-firewall
$IF_WAN wird richtig gefunden:

root at LEDE:/usr/lib/firewall.d# uci get network.wan.ifname
eth0.2

spannenderweise wird aber anscheinend der iptables Eintrag auf eth1 gelegt:

root at LEDE:/usr/lib/firewall.d# iptables --list -v
Chain INPUT (policy ACCEPT 53 packets, 5576 bytes)
 pkts bytes target     prot opt in     out     source               destination 
       
    0     0 ACCEPT     all  --  eth1   any     anywhere             anywhere    
        ctstate RELATED,ESTABLISHED
    0     0 REJECT     all  --  eth1   any     anywhere             anywhere    
        reject-with icmp-port-unreachable

warum das passiert, kann ich aktuell aber nicht sagen. Meine Vermutung geht in
Richtung Umbau der configurenetwork das da was schief läuft.
====================================================================== 

Eintrags-Historie 
Änderungsdatum   Benutzername   Feld                     Änderung             
====================================================================== 
2018-06-22 08:56 ChristianD     Neuer Eintrag                                
2018-06-22 08:56 ChristianD     Datei hinzugefügt: wan.txt                    
======================================================================



Mehr Informationen über die Mailingliste franken-dev