[PATCH] fff-network: restart the firewall

Adrian Schmutzler mail at adrianschmutzler.de
Di Apr 23 13:12:16 CEST 2019 

Hallo Robert,

 

mir ist eingefallen, dass die Package fff-firewall spezifisch für die node-Firmware ist, also nicht in die GW-Firmware reinkommt.

 

Es wäre also unpraktisch, wenn wir dann in der fff-network explizit irgendwo fff-firewall (re)start reinschreiben.

Ich würde daher die Lösung mit reload_trigger auf fff-network anstreben, falls man sowas dann in der fff-firewall package belassen könnte?

 

Kannst du für so eine Lösung einen Patch schicken?

 

Beste Grüße

 

Adrian

 

From: franken-dev [mailto:franken-dev-bounces at freifunk.net] On Behalf Of robert
Sent: Mittwoch, 17. April 2019 22:53
To: franken-dev at freifunk.net
Subject: Re: [PATCH] fff-network: restart the firewall

 

Hi Adrian, 

Am 17.04.19 um 17:46 schrieb Adrian Schmutzler: 
> Hallo, 
> 
> auch dieser Patch liegt schon seit einiger Zeit im Patchwork herum. 
> 
> Ich verstehe das so: Wenn wir die ganze network-config mit meinem Patchset per uci-defaults machen, dann bräuchte man keinen firewall-(re)start wie hier vorgeschlagen.

ja, uci_apply_defaults ist in /etc/init.d/boot (START=10) drin. Mit 
deinem Patchset braucht man den Patch nicht mehr. 
> Eine entsprechende Zeile müsste man dann aber bei den Skripten ergänzen, die die Portconfig zur Laufzeit updaten (z.B. setoneport, setcpev1, etc.)?

> 
> Oder man könnte die Änderungen der Firewall-Regeln einzeln in die entsprechenden Skripte mit reinschreiben…? 
Die einzige Variable in den Firewallskripten ist $IF_WAN: 

# grep \\\$ /usr/lib/firewall.d/* 

/usr/lib/firewall.d/20-filter-ssh:iptables -A INPUT -i $IF_WAN -m 
conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 

/usr/lib/firewall.d/20-filter-ssh:iptables -A INPUT -i $IF_WAN -j REJECT 

und die kommt aus : 

/etc/init.d/fff-firewall:IF_WAN=$(uci get network.wan.ifname) 

Man muss also die Firewall nur neu starten, wenn man spaeter 
network.wan.ifname aendert. Ich finde, ein fff-firewall start ist ok. 
Man sollte da nicht mit einzelnen iptables Zeilen in irgendwelchen 
Skripen anfangen. 

Man koennte auch einen reload_trigger auf network legen, dann 
aktualisiert sich die Firewall bei jedem commit network. Da aber alles 
ausser $IF_WAN statisch ist, finde ich das uebertrieben. 

Gruesse Robert 

> 
>  
> 
> Grüße 
> 
>  
> 
> Adrian 
> 
>  
> 
> 

 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://{'listname': 'franken-dev-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-dev-freifunk.net/attachments/20190423/58f768c4/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 834 bytes
Beschreibung: nicht verfügbar
URL         : <https://{'listname': 'franken-dev-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-dev-freifunk.net/attachments/20190423/58f768c4/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev