[WLANware] defaultroute von iptables geblockt / whiterussianpakete verwenbar? / crosscompiling
Sven-Ola Tuecke
mail2news at commando.de
Tue Jul 25 16:48:56 CEST 2006
Hi,
das'n ueblicher Konflikt - eine Defaultroute "nur fuer mich, ich will meinen
eigenen Inetzugang nutzen" in einem OLSR-Meshgeraet. Es gibt nur eine
regellose Defaultroute in einem Linux-System. Es besteht die Moeglichkeit,
dass du daher mit dieser Konfi (unabsichtlich) den Inetverkehr von Nachbarn
blockieren oder verfaelschen kannst:
Irgendwer -> DeinWRT -> IrgenwerAnders -> Inet
Warum? Na weil die von "Irgendwer" an das Inet gerichteten Pakete bei Deinem
WRT 'rausgehen und dann evt. wegen Firewall / NAT / Wasweissich nicht wieder
zurueckkommen. Sowas nennen wir "schwarzes Loch". Schwarze Loecher sind
nicht wild, wenn netz-topologisch sonst niemand *hinter* Deinem WRT haengt
(der also sozusagen nur in Richtung Mesh benutzt wird und eigentlich niemals
Verkehr anderer weiterleitet). Haengt Dein WRT topologische irgendwo mitten
drin, isses unhoeflich und blockiert die Mesh-funktion "Internet-Teilen" von
anderen.
Im letzteren Fall koennte man eine "Policy-Default-Route" setzen. Ist ein
bisschen schwieriger, funktioniert aber. Mach' eine Regel etwa "ip route add
from 10.11.12.13/16 table meinsfuermich" und setze eine Default-Route auf
die neue Table (die ja nur fuer den spezifizierten Netzbereich gilt) etwa
"ip route add default via 1.2.3.4 table meinsfuermich". Jetzt gibts 2
Default-Routen. Eine fuer den Netzbereich 10.11.12.13/16 und eine fuer alle
anderen Source-IPs.
"meinsfuermich" ist dabei ein Platzhalter fuer eine Nummer, z.B. 123. Diese
Nummer kann man mit der Zeichenkette "meinsfuermich" in der Textdatei
/etc/iproute2/rt_tables vereinbaren - oder eben die Nummer verwenden.
Naeheres weiss Google unter dem Stichwort "lartc".
Vom Konzept her ist "meinsfuermich" nicht in die FFF eingebaut - es wundert
mich daher nicht, das irgendeine iptables-Regel oder der
/usr/sbin/cron.minutely da dran herumspielt. Mach'n Firewall halt aus
(Schalter unter Admin/LAN) und schreibe einen neuen in /etc/local.fw
Grusz, Sven-Ola
<mickey at netfreaks.org> schrieb im Newsbeitrag
news:20060725115603.2C189F4260 at box1.pixel-hosting.de...
> hallo und danke für die antworten!
>
>> - Eine feste Default-Route? Willst du internet anbieten oder willst du
> die
>> Auswahl vom OLSR ueberschreiben?
> ich habe meinen wrt über den lan anschluss an mein lokales netz
> angeschlossen, eine feste ip und eine feste defaultroute vergeben. das
> ziel dabei ist es, dem wrt zugriff auf die lan-ressourcen und das
> internet zu ermöglichen, ohne dabei den wlan-clients (olsr) internet
> zugriff zu gewähren.
> wie schon beschrieben funktioniert das auch prima, allerdings musste ich
> den internetzugriff nachträglich über manuelle firewall einträge
> freigeben.
> daher meine frage, ob es nicht sinnvoll wäre, in dem firewall script im
> falle einer gesetzten defaultroute auf der lan-schnittstelle, diese
> firewallregeln zu setzen?
>
>
>> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht in
> den
>> depends
> ich denke, das ich alle libs beisammen habe.
>
>>Versuche "ipkg install strace"
> danke für den hinweis, ich werde es versuchen :-)
>
>> - OW Buildroot um was zu kompilieren?
> mein erstes opfer wäre ne aktuelle version von tor
>
>>Nimm das
>> Whiterussian BR.
> schon geschehen. dachte mir allerdings, eine original .config wäre eine
> hilfreiche ausgangsbasis?
>
>
> nochmals danke für kreative und hilfreiche tipps - jeder fängt mal an
> und ich gehöre dazu ;-)
>
>
> mickey
>
> Am 25.07.2006 um 12:39 Uhr haben Sie geschrieben:
>> Hi,
>>
>> echtes Bugfinding ist immer gut. Allerdings vermute ich wenigstens
> manchmal,
>> das es eine Fehlkonfi ist:
>>
>> - Eine feste Default-Route? Willst du internet anbieten oder willst du
> die
>> Auswahl vom OLSR ueberschreiben? Ersters sollte gehen, und letzteres
> geht
>> so nicht. Es gibt insbesondere mit der Default-Route eine ganze Reihe
> von
>> sinnfreien Konfi-Varianten, die dann halt nicht und nicht so
> funktionieren
>> wie gedacht.
>>
>> - Irgendwas aus OpenWrt will nicht? Versuche "ipkg install strace".
> Dann
>> kann man mit "strace -f <i>etc</i>init.d/StartTor start" (oder so)
> genau
>> nachgucken, warum der Dateizugriff nicht will. Fehlende Lib? Viele
>> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht in
> den
>> depends und muss daher von Hand nachinstalliert werden.
>>
>> - OW Buildroot um was zu kompilieren? Das sollte gehen. Nimm das
>> Whiterussian BR.
>>
>> HTH Sven-Ola
>>
>> <a
> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>
> wrote:
>>
>> > also gut, auf geht's:
>> >
>> > ich habe vielleicht einen "bug" gefunden. wenn man im webinterface
> der
>> > freifunk firmware unter LAN eine default-route einträgt, wird diese
>> > route zwar korrekt gesetzt, allerdings von iptables blockiert.
>> > ausgehender verkehr jenseits des unter LAN eingtragenen subnetz ist
>> > daher nicht möglich.
>> > das funktioniert erst, wenn man manuell noch die entsprechenden
> firewall
>> > regeln nachträgt.
>> > wäre doch sicher sinnvoll, wenn man schon ein default gateway
> angeben
>> > kann, dass dieses dann auch in der firewall freigeschaltet wird,
> oder?
>> >
>> > -- snipp --
>> >
>> > ich habe den tor proxy von der openwrt seite (whiterussian/packages)
>> > nachinstalliert und die konfiguration nach meinen wünschen
> angepasst.
>> > wenn ich das programm allerdings starten will, bekomme ich sehr
>> > sonderbare fehlermeldungen. z.b. kann die datei <i>etc</i>tor/torrc
> nicht
>> > gefunden werden - obwohl diese datei vorhanden ist und auch die
>> > notwendigen rechte gesetzt sind.
>> > kann ich die whiterussian pakete überhaupt unter der freifunk
> firmware
>> > nutzen? was muss ich beachten? welche tricks gibt es?
>> >
>> > -- snipp --
>> >
>> > kann ich das openwrt buildroot verwenden, wenn ich software für
> meinen
>> > freifunk-basierten wrt compilieren will? woher bekomme ich die
>> > "original" config der aktuellen freifunk firmware? was muss ich
>> > beachten?
>> >
>> >
>> > wer bis hier gelesen hat und jetzt sogar die eine oder andere
>> > konstruktive anmerkung dazu hat, sei recht herzlich von mir gegrüßt
> :-)
>> >
>> > mickey
>>
>> _______________________________________________
>> WLANware mailing list
>> <a
> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
>> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
> />
>>
>>
>>
>>
>
>
>
--------------------------------------------------------------------------------
_______________________________________________
WLANware mailing list
WLANware at freifunk.net
https://freifunk.net/mailman/listinfo/wlanware
More information about the WLANware
mailing list