[WLANware] defaultroute von iptables geblockt / whiterussianpakete verwenbar? / crosscompiling
mickey at netfreaks.org
mickey at netfreaks.org
Tue Jul 25 16:52:48 CEST 2006
besten dank für die ausführliche antwort!
ich werde das zunächst versuchen zu verstehen und dann umzusetzen :-)
die default route über die lan schnittstelle fliegt jedenfalls erst mal
wieder aus...
Am 25.07.2006 um 16:48 Uhr haben Sie geschrieben:
> Hi,
>
> das'n ueblicher Konflikt - eine Defaultroute "nur fuer mich, ich will
meinen
> eigenen Inetzugang nutzen" in einem OLSR-Meshgeraet. Es gibt nur eine
> regellose Defaultroute in einem Linux-System. Es besteht die
Moeglichkeit,
> dass du daher mit dieser Konfi (unabsichtlich) den Inetverkehr von
Nachbarn
> blockieren oder verfaelschen kannst:
>
> Irgendwer -> DeinWRT -> IrgenwerAnders -> Inet
>
> Warum? Na weil die von "Irgendwer" an das Inet gerichteten Pakete bei
Deinem
> WRT 'rausgehen und dann evt. wegen Firewall / NAT / Wasweissich nicht
wieder
> zurueckkommen. Sowas nennen wir "schwarzes Loch". Schwarze Loecher
sind
> nicht wild, wenn netz-topologisch sonst niemand <b>hinter</b> Deinem
WRT haengt
> (der also sozusagen nur in Richtung Mesh benutzt wird und eigentlich
niemals
> Verkehr anderer weiterleitet). Haengt Dein WRT topologische irgendwo
mitten
> drin, isses unhoeflich und blockiert die Mesh-funktion
"Internet-Teilen" von
> anderen.
>
> Im letzteren Fall koennte man eine "Policy-Default-Route" setzen. Ist
ein
> bisschen schwieriger, funktioniert aber. Mach' eine Regel etwa "ip
route add
> from 10.11.12.13/16 table meinsfuermich" und setze eine Default-Route
auf
> die neue Table (die ja nur fuer den spezifizierten Netzbereich gilt)
etwa
> "ip route add default via 1.2.3.4 table meinsfuermich". Jetzt gibts 2
> Default-Routen. Eine fuer den Netzbereich 10.11.12.13/16 und eine fuer
alle
> anderen Source-IPs.
>
> "meinsfuermich" ist dabei ein Platzhalter fuer eine Nummer, z.B. 123.
Diese
> Nummer kann man mit der Zeichenkette "meinsfuermich" in der Textdatei
> /etc/iproute2/rt_tables vereinbaren - oder eben die Nummer verwenden.
> Naeheres weiss Google unter dem Stichwort "lartc".
>
> Vom Konzept her ist "meinsfuermich" nicht in die FFF eingebaut - es
wundert
> mich daher nicht, das irgendeine iptables-Regel oder der
> /usr/sbin/cron.minutely da dran herumspielt. Mach'n Firewall halt aus
> (Schalter unter Admin/LAN) und schreibe einen neuen in
<i>etc</i>local.fw
>
> Grusz, Sven-Ola
>
> <<a
href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>>
schrieb im Newsbeitrag
> news:<a
href='email_neu.php?writeTo=20060725115603.2C189F4260 at box1.pixel-hosting.de'>20060725115603.2C189F4260 at box1.pixel-hosting.de</a>...
> > hallo und danke für die antworten!
> >
> >> - Eine feste Default-Route? Willst du internet anbieten oder willst
du
> > die
> >> Auswahl vom OLSR ueberschreiben?
> > ich habe meinen wrt über den lan anschluss an mein lokales netz
> > angeschlossen, eine feste ip und eine feste defaultroute vergeben.
das
> > ziel dabei ist es, dem wrt zugriff auf die lan-ressourcen und das
> > internet zu ermöglichen, ohne dabei den wlan-clients (olsr) internet
> > zugriff zu gewähren.
> > wie schon beschrieben funktioniert das auch prima, allerdings musste
ich
> > den internetzugriff nachträglich über manuelle firewall einträge
> > freigeben.
> > daher meine frage, ob es nicht sinnvoll wäre, in dem firewall script
im
> > falle einer gesetzten defaultroute auf der lan-schnittstelle, diese
> > firewallregeln zu setzen?
> >
> >
> >> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht
in
> > den
> >> depends
> > ich denke, das ich alle libs beisammen habe.
> >
> >>Versuche "ipkg install strace"
> > danke für den hinweis, ich werde es versuchen :-)
> >
> >> - OW Buildroot um was zu kompilieren?
> > mein erstes opfer wäre ne aktuelle version von tor
> >
> >>Nimm das
> >> Whiterussian BR.
> > schon geschehen. dachte mir allerdings, eine original .config wäre
eine
> > hilfreiche ausgangsbasis?
> >
> >
> > nochmals danke für kreative und hilfreiche tipps - jeder fängt mal
an
> > und ich gehöre dazu ;-)
> >
> >
> > mickey
> >
> > Am 25.07.2006 um 12:39 Uhr haben Sie geschrieben:
> >> Hi,
> >>
> >> echtes Bugfinding ist immer gut. Allerdings vermute ich wenigstens
> > manchmal,
> >> das es eine Fehlkonfi ist:
> >>
> >> - Eine feste Default-Route? Willst du internet anbieten oder willst
du
> > die
> >> Auswahl vom OLSR ueberschreiben? Ersters sollte gehen, und
letzteres
> > geht
> >> so nicht. Es gibt insbesondere mit der Default-Route eine ganze
Reihe
> > von
> >> sinnfreien Konfi-Varianten, die dann halt nicht und nicht so
> > funktionieren
> >> wie gedacht.
> >>
> >> - Irgendwas aus OpenWrt will nicht? Versuche "ipkg install strace".
> > Dann
> >> kann man mit "strace -f <i>etc</i>init.d/StartTor start" (oder so)
> > genau
> >> nachgucken, warum der Dateizugriff nicht will. Fehlende Lib? Viele
> >> OpenWrt-ipks brauchen irgendwas zusaetzliches, es steht aber nicht
in
> > den
> >> depends und muss daher von Hand nachinstalliert werden.
> >>
> >> - OW Buildroot um was zu kompilieren? Das sollte gehen. Nimm das
> >> Whiterussian BR.
> >>
> >> HTH Sven-Ola
> >>
> >> <a
> > href='email_neu.php?writeTo=<a
href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a>'><a
href='email_neu.php?writeTo=mickey at netfreaks.org'>mickey at netfreaks.org</a></a>
> > wrote:
> >>
> >> > also gut, auf geht's:
> >> >
> >> > ich habe vielleicht einen "bug" gefunden. wenn man im
webinterface
> > der
> >> > freifunk firmware unter LAN eine default-route einträgt, wird
diese
> >> > route zwar korrekt gesetzt, allerdings von iptables blockiert.
> >> > ausgehender verkehr jenseits des unter LAN eingtragenen subnetz
ist
> >> > daher nicht möglich.
> >> > das funktioniert erst, wenn man manuell noch die entsprechenden
> > firewall
> >> > regeln nachträgt.
> >> > wäre doch sicher sinnvoll, wenn man schon ein default gateway
> > angeben
> >> > kann, dass dieses dann auch in der firewall freigeschaltet wird,
> > oder?
> >> >
> >> > -- snipp --
> >> >
> >> > ich habe den tor proxy von der openwrt seite
(whiterussian/packages)
> >> > nachinstalliert und die konfiguration nach meinen wünschen
> > angepasst.
> >> > wenn ich das programm allerdings starten will, bekomme ich sehr
> >> > sonderbare fehlermeldungen. z.b. kann die datei
<i>etc</i>tor/torrc
> > nicht
> >> > gefunden werden - obwohl diese datei vorhanden ist und auch die
> >> > notwendigen rechte gesetzt sind.
> >> > kann ich die whiterussian pakete überhaupt unter der freifunk
> > firmware
> >> > nutzen? was muss ich beachten? welche tricks gibt es?
> >> >
> >> > -- snipp --
> >> >
> >> > kann ich das openwrt buildroot verwenden, wenn ich software für
> > meinen
> >> > freifunk-basierten wrt compilieren will? woher bekomme ich die
> >> > "original" config der aktuellen freifunk firmware? was muss ich
> >> > beachten?
> >> >
> >> >
> >> > wer bis hier gelesen hat und jetzt sogar die eine oder andere
> >> > konstruktive anmerkung dazu hat, sei recht herzlich von mir
gegrüßt
> > :-)
> >> >
> >> > mickey
> >>
> >> _______________________________________________
> >> WLANware mailing list
> >> <a
> > href='email_neu.php?writeTo=<a
href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>'><a
href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a></a>
> >> <a href='<a
href='https://freifunk.net/mailman/listinfo/wlanware<br'<br'
target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br'<br</a>
/>
> > target='_blank'><a
href='https://freifunk.net/mailman/listinfo/wlanware<br</a><br'
target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a><br</a>
/>
> > />
> >>
> >>
> >>
> >>
> >
> >
> >
>
>
>
--------------------------------------------------------------------------------
>
>
> _______________________________________________
> WLANware mailing list
> <a
href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
/>
>
> _______________________________________________
> WLANware mailing list
> <a
href='email_neu.php?writeTo=WLANware at freifunk.net'>WLANware at freifunk.net</a>
> <a href='https://freifunk.net/mailman/listinfo/wlanware<br'
target='_blank'>https://freifunk.net/mailman/listinfo/wlanware<br</a>
/>
>
>
>
>
More information about the WLANware
mailing list