[PATCH] fff-network: restart the firewall

[robert]

Hi Adrian,

Am 17.04.19 um 17:46 schrieb Adrian Schmutzler:
> Hallo, 
>
> auch dieser Patch liegt schon seit einiger Zeit im Patchwork herum. 
>
> Ich verstehe das so: Wenn wir die ganze network-config mit meinem Patchset per uci-defaults machen, dann bräuchte man keinen firewall-(re)start wie hier vorgeschlagen.
ja, uci_apply_defaults ist in /etc/init.d/boot (START=10) drin. Mit
deinem Patchset braucht man den Patch nicht mehr.
> Eine entsprechende Zeile müsste man dann aber bei den Skripten ergänzen, die die Portconfig zur Laufzeit updaten (z.B. setoneport, setcpev1, etc.)?
>
> Oder man könnte die Änderungen der Firewall-Regeln einzeln in die entsprechenden Skripte mit reinschreiben…?
Die einzige Variable in den Firewallskripten ist $IF_WAN:

# grep \\\$ /usr/lib/firewall.d/*

/usr/lib/firewall.d/20-filter-ssh:iptables -A INPUT -i $IF_WAN -m
conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

/usr/lib/firewall.d/20-filter-ssh:iptables -A INPUT -i $IF_WAN -j REJECT

und die kommt aus :

/etc/init.d/fff-firewall:IF_WAN=$(uci get network.wan.ifname)

Man muss also die Firewall nur neu starten, wenn man spaeter
network.wan.ifname aendert. Ich finde, ein fff-firewall start ist ok.
Man sollte da nicht mit einzelnen iptables Zeilen in irgendwelchen
Skripen anfangen.

Man koennte auch einen reload_trigger auf network legen, dann
aktualisiert sich die Firewall bei jedem commit network. Da aber alles
ausser $IF_WAN statisch ist, finde ich das uebertrieben.

Gruesse Robert

>
>  
>
> Grüße
>
>  
>
> Adrian
>
>  
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://{'listname': 'franken-dev-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-dev-freifunk.net/attachments/20190417/fcfaabc1/attachment.sig>