[Freifunk-Bonn] Firewalling Freifunk Nodes

Stefan Beckers stefan.beckers at mailbox.org
Mi Jul 8 11:23:07 CEST 2015 

Moin,

ich mach das hier mal als neues Topic auf.

mein Problem:

Ich habe meine Freifunknodes in Subnetze eingesperrt und lasse sie Nodes 
auch nur auf die Fastd Nodes zugfreifen. Das blöde an der Situation ist 
für mich das die IP Adressen alle Nasen lang mal geändert werden. Das heißt
a) ich muss die Firewall Logs in regelmäßigen Abständen nach geänderten 
IPs absuchen und die Firewall manuell neu konfigurieren,
b) ich muss die IPs in der FAQ nachziehen 
(https://kbu.freifunk.net/wiki/index.php?title=FAQ#IPs_Fastd_Gateways) 
obwohl ich davon nicht wirklich was verstehe
c) alle Leute, die sich an der FAQ orientiert haben, müssen das im Blick 
haben um nihct irgendwann ausgesperrt dazustehen.


Meine Wunschlösung:

Wenn KBU die IP Adressen als DNS Records publizieren könnte, kann ich 
auf meiner Plattform (Pfsense/FreeBSD) den Record benutzen und 
spätestens mit einem Neustart/Relaod der Firewall würden die aktuellen 
IPs konfiguriert. Ich bin mir sicher das auch andere Firewalls diese 
Möglichkeit haben.

Ich gehen davon aus das DNS Einträge nach dem Muster (shamelessly stolen 
from Google DNS...)

user at rechner:~# dig fastdgs.kbu.freifunk.net

; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> fastdgs.kbu.freifunk.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44059
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;fastdgs.kbu.freifunk.net.                 IN      A

;; ANSWER SECTION:
fastdgs.kbu.freifunk.net.          168     IN      A 173.194.112.55
fastdgs.kbu.freifunk.net.          168     IN      A 173.194.112.47
fastdgs.kbu.freifunk.net.          168     IN      A 173.194.112.63
fastdgs.kbu.freifunk.net.          168     IN      A 173.194.112.56

;; Query time: 4 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jul 08 11:01:13 CEST 2015
;; MSG SIZE  rcvd: 106

user at rechner:~#

dann auch korrekt vom Paketfilter aufgelöst würde. (nämlich nicht nur zu 
einer IP sondern einer IP Liste)

Das wäre für den Betrieb eine echte Hilfe. Das impliziert zwar kein 
automatisches Update, aber erfahrungsgemäß:
a) macht man wegen Wartungsarbeiten ja doch alle paar Wochen mal einen 
Reload der Regeln
b) so häufig ändert sich ja nicht die Gesamtheit der IPs
c) wenn "was nicht geht", greift der geneigte User ja gerne mal zum 
Stecker, was darauf beruhende Firewallprobleme dann lösen würde.

Habe ich da eine Chance?

Grüße

Stefan

Am 07.07.2015 um 19:24 schrieb Nunatak:
> Hi,
>
> ggf hilft Folgendes dabei, die Ports richtig frei zu geben:
>
> https://kbu.freifunk.net/wiki/index.php?title=Pimp_my_Node#Einsperren_des_Freifunk-Routers_in_eine_DMZ
>
> Gruß,
> Nunatak
>

Mehr Informationen über die Mailingliste Freifunk-Bonn