<br><br><div class="gmail_quote">2011/12/9 Josef Semler <span dir="ltr"><<a href="mailto:josef.semler@gmail.com">josef.semler@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="gmail_quote"><div class="gmail_quote"><div class="im">2011/12/9 Markus Kittenberger <span dir="ltr"><<a href="mailto:Markus.Kittenberger@gmx.at" target="_blank">Markus.Kittenberger@gmx.at</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="gmail_quote"><div><br></div></div></blockquote><div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="gmail_quote"><div>und/aber zumindest NOTRACK zwischen olsr interfaces sollte in den backfire vienna firmwares mal rasch eingebaut werden!</div>

</div></blockquote></div></div><div>Hmm... NOTRACK, also CONNTRACK</div></div></div></blockquote><div>achtung: "NOTRACK" != "kein CONNTRACK"</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="gmail_quote"><div class="gmail_quote"><div> ist bei der Firewall per default ohnehin aus, solange wir nicht NATen.</div></div></div></blockquote><div>und was wenn doch?<br><br>das ist ja der zweck von NOTRACK(= ein iptables target) rules.<br>
d.h. Ausnahmen fürs anderweitig global (= alle connections) aktive connection tracking zu definieren,.. <br><br>sodass einerseits lan traffic genatet werden kann, ohne andererseits gleich allen (transit) traffic auch tracken zu muessen, </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="gmail_quote"><div class="gmail_quote"><div>Derzeit schlag ich für ein Device, dass Traffic entgegennimmt und an ein aderes im LAN-verbund weiterreicht vor, das Interface LAN und AIR0 in EINE Zone zu packen. </div>
</div></div></blockquote><div>und was wenn es neben LAN (nat), auch noch AIR1/TAP/VLANx/ETH1 also irgendein weiteres olsr interface zusätzlich AIR0(olsr) gibt ?<br><br>oder gar beim üblichsten usecase (von kleinstnopes (= 1 bullet)):<br>
d.h. wenn es nur ein WLAN (air0) mit olsr gibt (und nat am LAN), und der traffic von einem zu nem anderen wifi-nachbarn geforwarded wird?<br><br></div><div>dann wird er afair defintiv unnoetigerweise ge-conn-tracked,..</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="gmail_quote"><div class="gmail_quote">
<div>Das sind also 2 Interfaces, die beide OLSR aktiviert haben. zwischen denen gibts kein CONNTRACK.</div></div></div></blockquote><div>sicher? dafür wären dann ja eben NOTRACK rules erforderlich,..<br><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="gmail_quote"><div class="gmail_quote"><div>Oder hab ich da was falsch verstanden Markus?</div></div></div></blockquote><div>ka, evt ists ja inzwischen schon "fertig" eingebaut, ..</div><div><br></div>
<div>bei der backfire vienna firmware bei der ich das letzemal diesbezüglich geguckt hab (auf nem 1 bullet "node"), gab es zwar schon ansätze von NOTRACK (leere wohl dafür gedachte tables), aber mehr auch nicht,..</div>
<div><br></div><div>(aber ka ob der router (war nicht meiner) auch nur ansatzweise "richtig" konfiguriert war, ... ist allerdings angeblich brav nach anleitung gewesen,.. (-;)</div><div><br></div><div>evt schick mir ein login zu 3 backfire routern mit<br>
A: 1 lan (nat) und ein wlan (olsr) interface<br>B: 1 wan (olsr) und ein wlan (olsr) interface<br>C: 1 lan (nat) und 2 olsr itnerfaces (air0 und eth1/tap/vlan/air1 whatever) <br><br>und ich verifizier ob deren notrack rules dann vorhanden/korrekt sind,..<br>
(bzw. im fall B conntrack schlichtweg komplett abgedreht ist)</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="gmail_quote"><div class="gmail_quote"><div>
<br></div><div>Joe</div><div>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="gmail_quote">
<div><br></div></div></blockquote></div></div></div>
</blockquote></div><br>