[Wien] [0xFF-OS/BFV]: Firewall und neue IP-Ranges

Erich N. Pekarek (spam-protected)
Do Mai 22 10:37:19 CEST 2014 

Hallo!

Am 2014-05-22 10:02, schrieb Matthias Šubik:
> Hallo allerseits,
> On 22.05.2014, at 01:06, Erich N. Pekarek wrote:
>
>> Mit einigen Backfire-Vienna-Firmwares und deren Nachfolger 0xFF-OS kann es in dieser Konstellation jedoch Probleme geben, da deren Firewallregeln nur Bezug auf die IP-Ranges
>>
>> * 193.238.156.0/22 (= richtig) und
>> * 78.41.112.0/22 (= problematisch, da es nur bis zur Adresse
>>    78.41.115.255 reicht)
>>
>> nehmen und teilweise als INPUT-Policy "DROP" eingestellt haben.
>> In diesem Fall kommt nicht einmal eine OLSR-Verbindung zwischen dem Gerät im alten und dem im neuen IP-Bereich zustande.
>>
>> Ihr habt also je nach persönlichem Sicherheitsempfinden die Möglichkeit, gleich 78.41.112.0/22 auf 78.41.112.0/21 zu ändern, was allerdings auch dem Pool 78.41.116.0/23 umfasst, der nicht zum Mesh sondern zu damit verbundenen Projekten gehört, oder ihr tragt neue, gleichlautende Regeln für 78.41.118.0/23 ein, damit ihr auch mit den neuen IPs uneingeschränkt arbeiten könnt.
> Wie Erich schon ausgeführt hat, braucht iptables alles IP-Adressen, die sich mit Eurem olsr-Port verbinden dürfen sollen.
In diesem Fall reicht Port 698 UDP für den Bereich, für den Ihr Euch 
entschieden habt, völlig. Da ja auch noch andere Dinge (SSH, Webzugriff 
via HTTP/HTTPS je nach Firmware) gegebenenfalls Kontakt mit Euren 
Routern suchen, sind freilich ein paar Regeln mehr drinnen. Aus diesem 
Grund wäre es ratsam, auch diese Regeln mit Bedacht in gleicher Weise 
auch dem neuen Range zuzuteilen.
> Wo noch nicht geschehen, wäre es sinnvoll hier auch gleich link-local 169.254.0.0/16 hinzuzufügen, da diese IPs bei dem einen oder anderen Node vorkommen können, wenn z.B. Interfaces durcheinander gekommen sind, oder ähnliches.
Soweit mir bekannt ist, wird die 169.254.0.0/16 nur vom experimentellen 
Autoconfig-/Remoteconfig-Dienst verwendet, der bei der Ersteinrichtung 
helfen soll - in diesem Fall kommt der in der OLSR-Tabelle vor. Je nach 
Firmware-Stand sind diese Regeln in der Grundkonfiguration enthalten 
oder auch nicht.
Im Falle eines Factory-Resets (Löschen der config-Partition) würden 
diese Regeln erneut fehlen oder auch nicht.
Ich weiß nicht, ob es sinnvoll ist und habe diesen Range absichtlich 
nicht erwähnt.
Reine APIPA-Ranges (also 169.254.0.0/16) haben, wenn etwas 
"durcheinander kommt" meines Erachtens im Mesh-Routing sonst nichts 
verloren.

Weißt Du mehr als ich? Wenn ja, pls --verbose.

> Nach bisherigem Wissensstand kommt es dadurch zu keinem erweiterten Risiko, da diese Nummern nicht aus dem Internet kommen können, sondern nur aus der Nachbarschaft, und die ist ja über die öffentlichen Adressen sowieso erwünscht.
Zählt der Confine-Range eigentlich zu dieser Nachbarschaft? Afaik ist 
der Range 78.41.116.0/24 dem Housing zugeteilt, während 78.41.117.0/24 
für Confine verwendet wird, wobei nach dem Ende von Confine u.U. erneut 
Änderungen an der Firewall-Konfiguration anstünden?
> Filter auf der Verbindung zum OLSR-Dienst sollen ja nur helfen das unerwartete einzuschränken, im Normalfall will man ja alle Mesh-Nachbarn auch erreichen können, und dazu braucht man die Routen dazu.
In der Tat!
>
> Beste Grüße
> Matthias
>
LG
Erich

Mehr Informationen über die Mailingliste Wien