[WLANware] defaultroute von iptables geblockt / whiterussianpakete verwenbar? / crosscompiling

Sven-Ola Tuecke mail2news at commando.de
Tue Jul 25 16:48:56 CEST 2006 

Hi,

das'n ueblicher Konflikt - eine Defaultroute "nur fuer mich, ich will meinen 
eigenen Inetzugang nutzen" in einem OLSR-Meshgeraet. Es gibt nur eine 
regellose Defaultroute in einem Linux-System. Es besteht die Moeglichkeit, 
dass du daher mit dieser Konfi (unabsichtlich) den Inetverkehr von Nachbarn 
blockieren oder verfaelschen kannst:

Irgendwer -> DeinWRT -> IrgenwerAnders -> Inet

Warum? Na weil die von "Irgendwer" an das Inet gerichteten Pakete bei Deinem 
WRT 'rausgehen und dann evt. wegen Firewall / NAT / Wasweissich nicht wieder 
zurueckkommen. Sowas nennen wir "schwarzes Loch". Schwarze Loecher sind 
nicht wild, wenn netz-topologisch sonst niemand *hinter* Deinem WRT haengt 
(der also sozusagen nur in Richtung Mesh benutzt wird und eigentlich niemals 
Verkehr anderer weiterleitet). Haengt Dein WRT topologische irgendwo mitten 
drin, isses unhoeflich und blockiert die Mesh-funktion "Internet-Teilen" von 
anderen.

Im letzteren Fall koennte man eine "Policy-Default-Route" setzen. Ist ein 
bisschen schwieriger, funktioniert aber. Mach' eine Regel etwa "ip route add 
from 10.11.12.13/16 table meinsfuermich" und setze eine Default-Route auf 
die neue Table (die ja nur fuer den spezifizierten Netzbereich gilt) etwa 
"ip route add default via 1.2.3.4 table meinsfuermich". Jetzt gibts 2 
Default-Routen. Eine fuer den Netzbereich 10.11.12.13/16 und eine fuer alle 
anderen Source-IPs.

"meinsfuermich" ist dabei ein Platzhalter fuer eine Nummer, z.B. 123. Diese 
Nummer kann man mit der Zeichenkette "meinsfuermich" in der Textdatei 
/etc/iproute2/rt_tables vereinbaren - oder eben die Nummer verwenden. 
Naeheres weiss Google unter dem Stichwort "lartc".

Vom Konzept her ist "meinsfuermich" nicht in die FFF eingebaut - es wundert 
mich daher nicht, das irgendeine iptables-Regel oder der 
/usr/sbin/cron.minutely da dran herumspielt. Mach'n Firewall halt aus 
(Schalter unter Admin/LAN) und schreibe einen neuen in /etc/local.fw

Grusz, Sven-Ola

<mickey at netfreaks.org> schrieb im Newsbeitrag 
news:20060725115603.2C189F4260 at box1.pixel-hosting.de...
> hallo und danke für die antworten!
>
>> - Eine feste Default-Route? Willst du internet anbieten oder willst du
> die
>> Auswahl vom OLSR ueberschreiben?
> ich habe meinen wrt über den lan anschluss an mein lokales netz
> angeschlossen, eine feste ip und eine feste defaultroute vergeben. das
> ziel dabei ist es, dem wrt zugriff auf die lan-ressourcen und das
> internet zu ermöglichen, ohne dabei den wlan-clients (olsr) internet
> zugriff zu gewähren.
> wie schon beschrieben funktioniert das auch prima, allerdings musste ich
> den internetzugriff nachträglich über manuelle firewall einträge
> freigeben.
> daher meine frage, ob es nicht sinnvoll wäre, in dem firewall script im
> falle einer gesetzten defaultroute auf der lan-schnittstelle, diese
> firewallregeln zu setzen?
>
>
>> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht in
> den
>> depends
> ich denke, das ich alle libs beisammen habe.
>
>>Versuche "ipkg install strace"
> danke für den hinweis, ich werde es versuchen :-)
>
>> - OW Buildroot um was zu kompilieren?
> mein erstes opfer wäre ne aktuelle version von tor
>
>>Nimm das
>> Whiterussian BR.
> schon geschehen. dachte mir allerdings, eine original .config wäre eine
> hilfreiche ausgangsbasis?
>
>
> nochmals danke für kreative und hilfreiche tipps - jeder fängt mal an
> und ich gehöre dazu ;-)
>
>
> mickey
>
> Am 25.07.2006 um 12:39 Uhr haben Sie geschrieben:
>> Hi,
>>
>> echtes Bugfinding ist immer gut. Allerdings vermute ich wenigstens
> manchmal,
>> das es eine Fehlkonfi ist:
>>
>> - Eine feste Default-Route? Willst du internet anbieten oder willst du
> die
>> Auswahl vom OLSR ueberschreiben? Ersters sollte gehen, und letzteres
> geht
>> so nicht. Es gibt insbesondere mit der Default-Route eine ganze Reihe
> von
>> sinnfreien Konfi-Varianten, die dann halt nicht und nicht so
> funktionieren
>> wie gedacht.
>>
>> - Irgendwas aus OpenWrt will nicht? Versuche "ipkg install strace".
> Dann
>> kann man mit "strace -f <i>etc</i>init.d/StartTor start" (oder so)
> genau
>> nachgucken, warum der Dateizugriff nicht will. Fehlende Lib? Viele
>> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht in
> den
>> depends und muss daher von Hand nachinstalliert werden.
>>
>> - OW Buildroot um was zu kompilieren? Das sollte gehen. Nimm das
>> Whiterussian BR.
>>
>> HTH Sven-Ola
>>
>> <a
> href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>
> wrote:
>>
>> > also gut, auf geht's:
>> >
>> > ich habe vielleicht einen "bug" gefunden. wenn man im webinterface
> der
>> > freifunk firmware unter LAN eine default-route einträgt, wird diese
>> > route zwar korrekt gesetzt, allerdings von iptables blockiert.
>> > ausgehender verkehr jenseits des unter LAN eingtragenen subnetz ist
>> > daher nicht möglich.
>> > das funktioniert erst, wenn man manuell noch die entsprechenden
> firewall
>> > regeln nachträgt.
>> > wäre doch sicher sinnvoll, wenn man schon ein default gateway
> angeben
>> > kann, dass dieses dann auch in der firewall freigeschaltet wird,
> oder?
>> >
>> > -- snipp --
>> >
>> > ich habe den tor proxy von der openwrt seite (whiterussian/packages)
>> > nachinstalliert und die konfiguration nach meinen wünschen
> angepasst.
>> > wenn ich das programm allerdings starten will, bekomme ich sehr
>> > sonderbare fehlermeldungen. z.b. kann die datei <i>etc</i>tor/torrc
> nicht
>> > gefunden werden - obwohl diese datei vorhanden ist und auch die
>> > notwendigen rechte gesetzt sind.
>> > kann ich die whiterussian pakete überhaupt unter der freifunk
> firmware
>> > nutzen? was muss ich beachten? welche tricks gibt es?
>> >
>> > -- snipp --
>> >
>> > kann ich das openwrt buildroot verwenden, wenn ich software für
> meinen
>> > freifunk-basierten wrt compilieren will? woher bekomme ich die
>> > "original" config der aktuellen freifunk firmware? was muss ich
>> > beachten?
>> >
>> >
>> > wer bis hier gelesen hat und jetzt sogar die eine oder andere
>> > konstruktive anmerkung dazu hat, sei recht herzlich von mir gegrüßt
> :-)
>> >
>> > mickey
>>
>> _______________________________________________
>> WLANware mailing list
>> <a
> href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
>> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
> target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
> />
>>
>>
>>
>>
>
>
>


--------------------------------------------------------------------------------


_______________________________________________
WLANware mailing list
WLANware at freifunk.net
https://freifunk.net/mailman/listinfo/wlanware

More information about the WLANware mailing list