[Wien] Warnung Freifunkfirmware Firewall

[Markus Kittenberger]

wiedermal aus aktuellen anlass *G #1

Keineswegs die firewall der freifunkfirmware verwenden (d.h. unter lan
settings firewall angehakelt lassen)
Wenn man mehrere olsr interfaces verwendet (also z.b. am WAN/LAN und am
WIFI), und auf diese nicht ips aus dem selben netzwerksegment haben

z.b. eine 78.41.x.y ip am wan, und eine 193.238.x.y am wifi

lg Markus

p.s. wer olsr am wan laufen lasst, kann imho die freifunk-firewall sowieso
getrost abschalten, da sie in dem fall eh jeglichen traffic vom wan
interface akzeptiert,
und an dem hängt dann meist ja auch nur wieder das mesh und (funk)links,
über die "alles" daherkommen könnte,..

p.p.s version fff 1.7.0 hat afaik diesbezüglich verbesserungen in der
firewall, also evt. trifft die warnung nur auf alle 1.6.x versionen zu,..
(habs auf 1.7.0 aber nicht überprüft,..)

p.p.p.s wer es nicht glaubt mache iptables -nvL auf nem router mit olsr am
wan usw,..  *G
und wundere sich über die accept anything nach/von vlan1 regeln im INPUT und
FORWARD
sowie über die fehlenden wan ip(range) in der ipfilter chain
(und bedenke das sich bei uns die routen (und somit die interfaces) aendern
koennen, aber masquerade die ip einer connection ja weiter behält)

#1 das thema ist nix neues, aber es hat sich scheints eindeutig noch nicht
zu allen in wien rumgesprochen *G
<zynic>
und es gibt afaik auch keinen fix (in 0xff-recomended)
und afaik auch keine warnungen an sinnvoller stelle im wiki,.. *G
(und ne eigne 0xff firmware die das problem nicht hätte haben wir ja auch
nit)
</zynic>

aber evt bau ich in die nächste 0xff-olsr pakete nen fix ein,..
muss davor aber mal verifizieren wie es mit fff 1.7.0 aussieht, usw,.. (evt.
will mir da wer helfen, oder zumindest nen router mit 1.7.0. + olsr am wan
zur verfügung stellen *G)
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20100612/2a37bb0b/attachment.htm>