[Freifunk Franken] Ende dieses Konfigurationsversuchs, Thema erledigt

[Robert Langhammer]

Hallo Miki,

der Euro lohnt sich, es wird nicht nur einfacher, du kannst dann auch
mehr mit der VM machen.

Bridge die VM einfach ans Netz. Mit ebtables kannst du steuern, was
durch die bridge geht. Und gut is!

Viele Grüße
Robert


Am 29.09.2016 um 23:29 schrieb Miki:
> Hallo liebe Helfer,
>
> Robert hat vermutlich die einzig mögliche Lösung genannt, jedenfalls
> ohne in die Software einzugreifen.
>
> /_Fazit:_/
> => Eine zweite IP ist bestellt.
> => Wenn doch jemand mit DNAT/SNAT Portumleitungen erfolgreich war,
> bitte schreien!
>
>
> Auf der Suche nach dem öffentlichen Key von FastD fand ich heute
> heraus, dass unter den Peers auch mein eigener Server ist. Die Peers
> werden aus dem Internet von einem Freifunk-Server geladen, und da ist
> neben dem öffentlichen Key auch eine IP-Adresse enthalten: Da die
> Daten von außen kommen, ist natürlich _die öffentliche IP_ drin.
>
> In einem schnellen Versuch habe ich das Script "fff_beispiel_fastd.sh"
> (heißt bei mir anders) so umprogrammiert, dass die eigene IP
> ausgetauscht wird. Das hat noch nicht geholfen. Aber ich sehe es als
> starkes Indiz dafür, dass die verwendete Software wie
> selbstverständlich davon ausgeht, dass die von innen sichtbare
> IP-Adresse und die von außen sichtbare IP-Adresse identisch sind.

>
>
> Il 29.09.2016 10:42, Robert ha scritto:
>> Hallo Miki,
>>
>> was würde dich denn eine weiter IP für die VM kosten? Das wäre die
>> einfachere Lösung.
> 1 € pro Monat. Die Frage ist jetzt nur: "Bridged" oder "Routed"? Die
> Virtualisierung soll meinen Server ja vor fehlgeleitetem LAN Traffic
> schützen, also falsche Absender-IPs blocken. Bridged scheint einfach
> nur alles durchzureichen, da wäre dann wohl der Guest auch in der Lage
> mit falschen IP-Adressen nach Hetzner rauszusenden...(Den Umzug in
> eine VM startete ich eigentlich genau deshalb, um den Durchgriff auf
> die Netzwerkkarte zu kontrollieren.)
>> Was mir auffällt, dass keine Pakete durch die snat rules gehen, alles
>> geht über masquerading. Wenn ich mich richtig erinnere, verbiegt
>> masquerading die sports wie es will. Oder war zu dem Zeitpunkt fastd
>> noch nicht an? Von den Routern kommt ja was (1. DNAT rule)
> FastD war aktiv. Wenn Pakete mit dem falschen Absender (der
> öffentlichen IP) rausgehen, greifen meine NAT Regeln nicht. Die Pakete
> gehen dann als Fallback durch Masquerading. Vermutlich sind das meiste
> Fehlerpakete, die mit höchster Geschwindigkeit hin- und hergeschickt
> werden. Aber irgendwas wichtiges ist wohl auch dabei: Blocke ich den
> Weg mit iptables, ist es sofort (zu) still im Guest.
>
>
> Ein schönes langes Wochenende nach dem bisschen Freitag wünscht Eure
> Miki
>
>
>
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net