[Freifunk Franken] Knoten hinter VLAN und whitelist?

Peter J. Philipp pjp at centroid.eu
Di Nov 25 10:43:16 CET 2014 

On 11/25/14 09:47, freifunk im Jugendzentrum Crailsheim wrote:
> Hallo Mailinglister,
> 
> ich mache mir gerade Gedanken, wie weit man den Netzwerkzugang eines
> Freifunk-Franken Knotens einschränken kann.
> Ist es möglich mit whitelisting zu arbeiten?
> Ziel ist, den Knoten über ein VLAN von der restlichen Infrastruktur zu
> trennen und dann eben diesem VLAN den minimal notwendigen Netzzugriff zu
> gewähren.
> 
> Ich denke, das würde Bedenken mancher Admins bezüglich gehijackter
> Router und ggf. umgangenen Tunneln zerstreuen können  :-)
> 
> Eigentlich sollte das mit den Bordmitteln einer halbwegs aktuellen
> FRITZ!Box auch zu bewerkstelligen sein.
> 
> Ich würde das ganze natürlich auch im Wiki verewigen...
> 
> viel Spass...ij
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net
> 

Da ich paranoid bin wenn es um Netzwerke und Internet geht, und weil ich
mein LAN zuhause für Arbeit benutze habe ich eine einschränkung gemacht
und ich teil dir meine firewall (pf) rules.

----
# pfctl -srules |grep em3
block drop out on ! em3 inet from 192.168.181.0/24 to any
block drop in log (all) on em3 inet all
pass in on em3 proto tcp from any to any port = 80 flags S/SA keep state
(pflow)
pass in on em3 proto tcp from any to any port = 10000 flags S/SA keep
state (pflow)
pass in on em3 proto udp from any to any port = 10000 keep state (pflow)
pass in on em3 inet proto icmp all icmp-type echoreq
pass in on em3 inet proto udp from any to 192.168.181.1 port = 53 keep
state (pflow)
block drop in on ! em3 inet from 192.168.181.0/24 to any
----

Die hardware ist ein Soekris router mit 8 schnittstellen unter OpenBSD
wo der freifunk auf em3 beruht.  Mit diesen rules oben geht freifunk
noch und ist nicht eingeschränkt.  Aber wenn der router mal gekapert
wird oder so was ist nicht weiter schlimm da die können nicht andere
Interfaces benutzen wegen der ersten regel.

Und dann natürlich kann man auch eine fritzbox nehmen und einen gast
port aufmachen, habe ich auch mal gemacht bei meinen eltern als area27
noch da war, ging gut.

Grüsse aus Schweinfurt,

-peter

Mehr Informationen über die Mailingliste franken