[Freifunk-Bonn] Lösung: nat/masqerading mit ff-firmware zwischen lan und wan

[hede]

Am Thu, 4 Dec 2014 20:08:38 +0100 schrieb Ramon Waldherr <rampone at gmail.com>:

> Woah. Genau weiss ich es nicht mehr, aber im grunde musst du die default
> openwrt konfig verbauen.

Ganz so einfach war es dann doch nicht. Ich weiß zwar nicht weshalb, aber ich muss hier conntrack im lokalen Interface aktivieren (in meinem Fall homelan), damit überhaupt irgend etwas über iptables läuft und er kein NOTRACK setzt. Nicht nur Masquerading, auch alle anderen rules werden ignoriert, sobald conntrack für ein interface nicht aktiviert ist (aka NOTRACK in der raw table). Die counter in den nat- und filter-tabellen erhöhen sich nicht, sobald conntrack auf homelan fehlt. 

Das führt witzigerweise dazu, dass Pakete selbst dann raus gehen, wenn diverse Regeln bestehen, die das Paket aufhalten sollten. Z.B. kann ich wunderbar via telnet ein syn-Paket quer durch den router (homelan->wan) schicken, obwohl in jeder Chain jeder Tabelle ein DROP für "--dport 23" drinne steht. (Natürlich kommt ohne masq keine Antwort zurück, aber das Paket erreicht tatsächlich den Rechner auf der anderen Seite.)

Die firwewall-Seite im wiki bei openwrt.org warnt zwar davor, dass bei NOTRACK kein connection tracking mehr geht, aber dass iptables dann gar nicht mehr involviert wird und Pakete geforwarded werden ohne irgend eine Table/Chain zu durchlaufen... komisch... 

Ob das so im Sinne des Erfinders ist??

Mit aktiviertem "option conntrack 1" im homelan funktioniert mein Vorhaben jedenfalls vorerst¹ (wohlgemerkt nicht nur an wan interface, an dem das automatisch durch masq aktiviert wird und bei dem das meinem Verständnis nach reichen sollte)

¹) "vorerst", weil bisher nur via LAN-Kabel. Am zusätzlichen WPA-geschützen homewlan hab ich mich noch nicht versucht.

Grüße
hede