[PATCH] fff-network: restart the firewall
Adrian Schmutzler
mail at adrianschmutzler.de
Di Apr 23 13:12:16 CEST 2019
Hallo Robert,
mir ist eingefallen, dass die Package fff-firewall spezifisch für die node-Firmware ist, also nicht in die GW-Firmware reinkommt.
Es wäre also unpraktisch, wenn wir dann in der fff-network explizit irgendwo fff-firewall (re)start reinschreiben.
Ich würde daher die Lösung mit reload_trigger auf fff-network anstreben, falls man sowas dann in der fff-firewall package belassen könnte?
Kannst du für so eine Lösung einen Patch schicken?
Beste Grüße
Adrian
From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of robert
Sent: Mittwoch, 17. April 2019 22:53
To: franken-dev at freifunk.net
Subject: Re: [PATCH] fff-network: restart the firewall
Hi Adrian,
Am 17.04.19 um 17:46 schrieb Adrian Schmutzler:
> Hallo,
>
> auch dieser Patch liegt schon seit einiger Zeit im Patchwork herum.
>
> Ich verstehe das so: Wenn wir die ganze network-config mit meinem Patchset per uci-defaults machen, dann bräuchte man keinen firewall-(re)start wie hier vorgeschlagen.
ja, uci_apply_defaults ist in /etc/init.d/boot (START=10) drin. Mit
deinem Patchset braucht man den Patch nicht mehr.
> Eine entsprechende Zeile müsste man dann aber bei den Skripten ergänzen, die die Portconfig zur Laufzeit updaten (z.B. setoneport, setcpev1, etc.)?
>
> Oder man könnte die Änderungen der Firewall-Regeln einzeln in die entsprechenden Skripte mit reinschreiben…?
Die einzige Variable in den Firewallskripten ist $IF_WAN:
# grep \\\$ /usr/lib/firewall.d/*
/usr/lib/firewall.d/20-filter-ssh:iptables -A INPUT -i $IF_WAN -m
conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
/usr/lib/firewall.d/20-filter-ssh:iptables -A INPUT -i $IF_WAN -j REJECT
und die kommt aus :
/etc/init.d/fff-firewall:IF_WAN=$(uci get network.wan.ifname)
Man muss also die Firewall nur neu starten, wenn man spaeter
network.wan.ifname aendert. Ich finde, ein fff-firewall start ist ok.
Man sollte da nicht mit einzelnen iptables Zeilen in irgendwelchen
Skripen anfangen.
Man koennte auch einen reload_trigger auf network legen, dann
aktualisiert sich die Firewall bei jedem commit network. Da aber alles
ausser $IF_WAN statisch ist, finde ich das uebertrieben.
Gruesse Robert
>
>
>
> Grüße
>
>
>
> Adrian
>
>
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-dev-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-dev-freifunk.net/attachments/20190423/58f768c4/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 834 bytes
Beschreibung: nicht verfügbar
URL : <https://{'listname': 'franken-dev-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-dev-freifunk.net/attachments/20190423/58f768c4/attachment.sig>
Mehr Informationen über die Mailingliste franken-dev