[WLANware] Bug in dhcpsplash
lorenz schori
lorenz.schori at gmx.ch
Fri Jan 18 16:29:24 CET 2008
Hallo Mickey
On Jan 18, 2008, at 3:52 PM, mickey wrote:
> Hallo,
>
> mickey schrieb:
>> lorenz schori schrieb:
>>> Ausserdem gibt es keinen Grund den Zielhost mittels dem
>>> iptables-Argument -d einzuschränken. Daher kann man die Äussere
>>> Schleife
>>> unterhalb des Kommentars "# allow connections to the router" auch
>>> löschen.
>> Super, vielen Dank! Wenn man das so umsetzt, funktionert alles wie
>> gewünscht.
> Stop! Wenn Port 80 und 443 in der Chain public_services stehen, wird
> der
> ganze Rest hinfällig.
>
> Die Einschränkung auf die IP des Routers ist also durchaus sinnvoll.
Das ging aber schnell! Bedenken in dieser Hinsicht hab ich schon
erwartet ;) Ich versuche sie mal zu zerstreuen:
Es gibt zwei public_services chains. Eine in der filter- (referenziert
aus FORWARD) und eine in der nat-Tabelle (referenziert aus
PREROUTING). In der ersteren landen nur Port 80/433 falls eine Website
für Agreement und/oder Welcome-Seite konfiguriert wurde. Ausserdem
werden dort nur die IPs der entsprechenden Seiten mitgegeben. In der
zweiten public_services-chain in der nat Tabelle werden immer DNS,
DHCP, HTTP und HTTPS freigeschaltet. Diese werden aber nicht forwarded
- falls dies nicht mittels Ausnahmeregel ("Weitere Dienste") explizit
erlaubt wird. Daher ist es nicht (mehr) nötig in dieser chain alle IPs
des Routers explizit mittels -d zu erlauben.
LG
Lorenz
-------------- next part --------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 186 bytes
Desc: This is a digitally signed message part
URL: <http://mailman.freifunk.net/pipermail/wlanware-freifunk.net/attachments/20080118/5c5d75a7/attachment.pgp>
More information about the WLANware
mailing list