[Wien] [0xFF-OS/BFV]: Firewall und neue IP-Ranges

Erich N. Pekarek (spam-protected)
Do Mai 22 01:06:06 CEST 2014 

Hallo lieber Mitfunker!

Markus Kittenberger hat am 20.05.2014 im Thread "[Wien] Akkuunterwegs 
als einzige freie IP ? (jörg)" darauf aufmerksam gemacht, dass bislang 
reservierte oder anders genutze IP-Adressen dem Mesh-Netz zur Verfügung 
gestellt wurden und bereits zugeteilt werden:

> Ad ergattern die ersten "neuen" IPs aus 78.41.118.0/23 
> <http://78.41.118.0/23> sind ab sofort im redeemer,..

Mit einigen Backfire-Vienna-Firmwares und deren Nachfolger 0xFF-OS kann 
es in dieser Konstellation jedoch Probleme geben, da deren 
Firewallregeln nur Bezug auf die IP-Ranges

  * 193.238.156.0/22 (= richtig) und
  * 78.41.112.0/22 (= problematisch, da es nur bis zur Adresse
    78.41.115.255 reicht)

nehmen und teilweise als INPUT-Policy "DROP" eingestellt haben.
In diesem Fall kommt nicht einmal eine OLSR-Verbindung zwischen dem 
Gerät im alten und dem im neuen IP-Bereich zustande.

Ihr habt also je nach persönlichem Sicherheitsempfinden die Möglichkeit, 
gleich 78.41.112.0/22 auf 78.41.112.0/21 zu ändern, was allerdings auch 
dem Pool 78.41.116.0/23 umfasst, der nicht zum Mesh sondern zu damit 
verbundenen Projekten gehört, oder ihr tragt neue, gleichlautende Regeln 
für 78.41.118.0/23 ein, damit ihr auch mit den neuen IPs uneingeschränkt 
arbeiten könnt.

(Wer viele Geräte zu verwalten hat, wird die erste Variante via SSH und 
mit vi oder sed in /etc/config/firewall tun wollen, da das Webinterface 
nicht unbedingt einen komfortablen Zugang bietet:
         cp /etc/config/firewall /tmp/firewall
         sed -r -i s/"78.41.112.0\/22"/"78.41.112.0\/21"/g /tmp/firewall
     allenfalls dieses File kontrollieren und dann mit
         cp /tmp/firewall /etc/config/firewall
     zurückkopieren wollen.
     Mutige, die wissen was sie tun, können auf eigene Gefahr die 
sed-Zeile direkt auf /etc/config/firewall oder gar remote mit
         ssh -lroot meinrouter.meinnode.wien.funkfeuer.atsed -r -i 
s/"78.41.112.0\/22"/"78.41.112.0\/21"/g /etc/config/firewall
     anwenden.
     Es wäre empfehlenswert, vor einem Neustart die Regeln dennoch über 
die Shell oder das Webinterface 
(Administration/Netzwerk/Firewall/Verkehrsregeln) zu überprüfen.
     Vorsicht auf TL-WR741ND und anderen Geräten mit nur sehr wenig 
freiem Flash Speicher - wenn unter 180KB frei sind, besteht bei 
Änderungen im
     Overlayfs stets das Risiko, dass man beim Reboot in einen Boot-Loop 
gerät.
Für die Richtigkeit der obgenannten Angaben kann keine Verantwortung 
übernommen werden: Sie wurden nach bestem Wissen und Gewissen 
recherchiert und auf zumindest einem Gerät getestet, jedoch garantiert 
das kein Funktionieren auf allen Geräten und in allen Situationen. Jeder 
ist für die Kontrolle des Ergebnisses selbst verantwortlich.)
)

Es ist davon auszugehen, dass Updates in der nächsten 0xFF-OS zu finden 
sein werden.
Bestehende "auto_config"-Scripts, respektive der "0xFF-Configger" 
greifen nach meiner Kenntnis nicht aktiv in diese Datei ein, sondern 
weisen lediglich Zonen zu. Die Korrektur sollte daher auch nach einem 
Reboot, sofern die zuvor genannten Scripts überhaupt noch laufen, 
wohlbestehen können.

Wer Hilfe beim Einstellen (,die über das Kleingedruckte hinaus geht,) 
benötigen sollte, möge sich bitte auf der Liste melden.

(spam-protected):~$ ipcalc 78.41.112.0/21
Address:   78.41.112.0          01001110.00101001.01110 000.00000000
Netmask:   255.255.248.0 = 21   11111111.11111111.11111 000.00000000
Wildcard:  0.0.7.255            00000000.00000000.00000 111.11111111
=>
Network:   78.41.112.0/21       01001110.00101001.01110 000.00000000
HostMin:   78.41.112.1          01001110.00101001.01110 000.00000001
HostMax:   78.41.119.254        01001110.00101001.01110 111.11111110
Broadcast: 78.41.119.255        01001110.00101001.01110 111.11111111
Hosts/Net: 2046                  Class A

/(spam-protected):~$ ipcalc 78.41.112.0/22//
//Address:   78.41.112.0 01001110.00101001.011100 00.00000000//
//Netmask:   255.255.252.0 = 22 11111111.11111111.111111 00.00000000//
//Wildcard:  0.0.3.255 00000000.00000000.000000 11.11111111//
//=>//
//Network:   78.41.112.0/22 01001110.00101001.011100 00.00000000//
//HostMin:   78.41.112.1 01001110.00101001.011100 00.00000001//
//HostMax:   78.41.115.254 01001110.00101001.011100 11.11111110//
//Broadcast: 78.41.115.255 01001110.00101001.011100 11.11111111//
//Hosts/Net: 1022                  Class A//
/

(Bei einigen Routern wurde das im Zuge von Supportanfragen in weiser 
Voraussicht schon länger korrigiert oder als Empfehlung ausgegeben).

LG
Erich
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20140522/047fc7c6/attachment.htm>

Mehr Informationen über die Mailingliste Wien