[Freifunk-Bonn] Lösung: nat/masqerading mit ff-firmware zwischen lan und wan
Ramon Waldherr
rampone at gmail.com
Fr Dez 5 19:38:49 CET 2014
Hast du in den openwrt firewall einstellungen die jeweiligen zones richtig
eingefuehrt? beim drueberblicken über meine Version klingelt es bei mir,
dass dort es ein wenig "komplizierter" war. Wie gesacht, musste mich nicht
an iptables und noch tiefer vergreifen.
Und leider weiss ich es nicht mehr genau.
Gruß
Rampone
2014-12-05 13:56 GMT+01:00 hede <ffunk5279 at der-he.de>:
> Am Thu, 4 Dec 2014 20:08:38 +0100 schrieb Ramon Waldherr <
> rampone at gmail.com>:
>
> > Woah. Genau weiss ich es nicht mehr, aber im grunde musst du die default
> > openwrt konfig verbauen.
>
> Ganz so einfach war es dann doch nicht. Ich weiß zwar nicht weshalb, aber
> ich muss hier conntrack im lokalen Interface aktivieren (in meinem Fall
> homelan), damit überhaupt irgend etwas über iptables läuft und er kein
> NOTRACK setzt. Nicht nur Masquerading, auch alle anderen rules werden
> ignoriert, sobald conntrack für ein interface nicht aktiviert ist (aka
> NOTRACK in der raw table). Die counter in den nat- und filter-tabellen
> erhöhen sich nicht, sobald conntrack auf homelan fehlt.
>
> Das führt witzigerweise dazu, dass Pakete selbst dann raus gehen, wenn
> diverse Regeln bestehen, die das Paket aufhalten sollten. Z.B. kann ich
> wunderbar via telnet ein syn-Paket quer durch den router (homelan->wan)
> schicken, obwohl in jeder Chain jeder Tabelle ein DROP für "--dport 23"
> drinne steht. (Natürlich kommt ohne masq keine Antwort zurück, aber das
> Paket erreicht tatsächlich den Rechner auf der anderen Seite.)
>
> Die firwewall-Seite im wiki bei openwrt.org warnt zwar davor, dass bei
> NOTRACK kein connection tracking mehr geht, aber dass iptables dann gar
> nicht mehr involviert wird und Pakete geforwarded werden ohne irgend eine
> Table/Chain zu durchlaufen... komisch...
>
> Ob das so im Sinne des Erfinders ist??
>
> Mit aktiviertem "option conntrack 1" im homelan funktioniert mein Vorhaben
> jedenfalls vorerst¹ (wohlgemerkt nicht nur an wan interface, an dem das
> automatisch durch masq aktiviert wird und bei dem das meinem Verständnis
> nach reichen sollte)
>
> ¹) "vorerst", weil bisher nur via LAN-Kabel. Am zusätzlichen
> WPA-geschützen homewlan hab ich mich noch nicht versucht.
>
> Grüße
> hede
> --
> _______________________________________________
> Freifunk-Bonn mailing list
> Freifunk-Bonn at lists.bonn.freifunk.net
> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20141205/f90250f5/attachment.htm>
Mehr Informationen über die Mailingliste Freifunk-Bonn