[Wien] [0xFF-OS/BFV]: Firewall und neue IP-Ranges

[Matthias Šubik]

Hallo allerseits,
On 22.05.2014, at 01:06, Erich N. Pekarek wrote:

> 
> Mit einigen Backfire-Vienna-Firmwares und deren Nachfolger 0xFF-OS kann es in dieser Konstellation jedoch Probleme geben, da deren Firewallregeln nur Bezug auf die IP-Ranges
> 
> * 193.238.156.0/22 (= richtig) und
> * 78.41.112.0/22 (= problematisch, da es nur bis zur Adresse
>   78.41.115.255 reicht)
> 
> nehmen und teilweise als INPUT-Policy "DROP" eingestellt haben.
> In diesem Fall kommt nicht einmal eine OLSR-Verbindung zwischen dem Gerät im alten und dem im neuen IP-Bereich zustande.
> 
> Ihr habt also je nach persönlichem Sicherheitsempfinden die Möglichkeit, gleich 78.41.112.0/22 auf 78.41.112.0/21 zu ändern, was allerdings auch dem Pool 78.41.116.0/23 umfasst, der nicht zum Mesh sondern zu damit verbundenen Projekten gehört, oder ihr tragt neue, gleichlautende Regeln für 78.41.118.0/23 ein, damit ihr auch mit den neuen IPs uneingeschränkt arbeiten könnt.

Wie Erich schon ausgeführt hat, braucht iptables alles IP-Adressen, die sich mit Eurem olsr-Port verbinden dürfen sollen.

Wo noch nicht geschehen, wäre es sinnvoll hier auch gleich link-local 169.254.0.0/16 hinzuzufügen, da diese IPs bei dem einen oder anderen Node vorkommen können, wenn z.B. Interfaces durcheinander gekommen sind, oder ähnliches.

Nach bisherigem Wissensstand kommt es dadurch zu keinem erweiterten Risiko, da diese Nummern nicht aus dem Internet kommen können, sondern nur aus der Nachbarschaft, und die ist ja über die öffentlichen Adressen sowieso erwünscht.

Filter auf der Verbindung zum OLSR-Dienst sollen ja nur helfen das unerwartete einzuschränken, im Normalfall will man ja alle Mesh-Nachbarn auch erreichen können, und dazu braucht man die Routen dazu.

Beste Grüße
Matthias

-- 
A: Yes.
> Q: Are you sure?
>> A: Because it reverses the logical flow of conversation.
>>> Q: Why is top posting annoying in email?