[Wien] Warnung Freifunkfirmware Firewall

[Sven-Ola Tücke]

Hi Markus,

den FireWall in der 1.7.0 hab' ich komplett neu gemacht. U.a. wegen dem
Wiener Sonderdroesel (das mit dem 2 Network-Ranges) und wegen dem ganzen
Policy-Hirnverdrehs (SmartGW+Fallback+OpenVpn+Mein-inet-for-me==>Firewall).

Neu, dass heisst auch immer: neue Fehler. Hier n'paar Punkte:

a) Damit eure beiden Ranges funktionieren, auf Admin/OLSR die
   "Admin/OLSR/OLSR-Netz" auf ff_range=78.41.0.0/16;193.238.0.0/16
   (oder so aehnlich, bin nicht sicher welche konkreten nummern)

b) Die ff_range waehlt dann die Interfaces aus. Ein Interface mit IP
   aus ff_range wird automatisch zur olsrd.conf hinzugefuegt. Funktion
   in /etc/function.sh heiss "in_range()"

c) Alle in olsrd.conf erwaehnten Interfaces sind untereinander immer
   ohne Forwarding-Firewall. Evnt. aber z.B. mit MSS-Clamping (falls
   MTU<1500) etc. Ditto kein NAT wenn WAN==OLSR oder gar LAN==OLSR

d) Andernfalls gilt: LAN->WAN, LAN->WIFI, WIFI->WAN. In bezeichnete
   Richtung ist Verbindungsaufbau+NAT erlaubt, anders herum nicht.

e) Wenn ff_range 2 Bereiche abbildet: IP4broadcast 255.255.255.255

Einfach abschalten ist doof. Ueber (d)ein Review wuerde ich mich freuen. 

// Sven-Ola

Markus Kittenberger wrote:

> wiedermal aus aktuellen anlass *G #1
> 
> Keineswegs die firewall der freifunkfirmware verwenden (d.h. unter lan
> settings firewall angehakelt lassen)
> Wenn man mehrere olsr interfaces verwendet (also z.b. am WAN/LAN und am
> WIFI), und auf diese nicht ips aus dem selben netzwerksegment haben
[schnippschnapp}