Hallo!
Am 2014-05-22 10:02, schrieb Matthias Šubik:
Hallo allerseits,
On 22.05.2014, at 01:06, Erich N. Pekarek wrote:
Mit einigen Backfire-Vienna-Firmwares und deren Nachfolger 0xFF-OS kann es in
dieser Konstellation jedoch Probleme geben, da deren Firewallregeln nur Bezug
auf die IP-Ranges
* 193.238.156.0/22 (= richtig) und
* 78.41.112.0/22 (= problematisch, da es nur bis zur Adresse
78.41.115.255 reicht)
nehmen und teilweise als INPUT-Policy "DROP" eingestellt haben.
In diesem Fall kommt nicht einmal eine OLSR-Verbindung zwischen dem Gerät im
alten und dem im neuen IP-Bereich zustande.
Ihr habt also je nach persönlichem Sicherheitsempfinden die Möglichkeit, gleich
78.41.112.0/22 auf 78.41.112.0/21 zu ändern, was allerdings auch dem Pool
78.41.116.0/23 umfasst, der nicht zum Mesh sondern zu damit verbundenen
Projekten gehört, oder ihr tragt neue, gleichlautende Regeln für 78.41.118.0/23
ein, damit ihr auch mit den neuen IPs uneingeschränkt arbeiten könnt.
Wie Erich schon ausgeführt hat, braucht iptables alles IP-Adressen, die sich
mit Eurem olsr-Port verbinden dürfen sollen.
In diesem Fall reicht Port 698 UDP für den Bereich, für den Ihr Euch
entschieden habt, völlig. Da ja auch noch andere Dinge (SSH, Webzugriff
via HTTP/HTTPS je nach Firmware) gegebenenfalls Kontakt mit Euren
Routern suchen, sind freilich ein paar Regeln mehr drinnen. Aus diesem
Grund wäre es ratsam, auch diese Regeln mit Bedacht in gleicher Weise
auch dem neuen Range zuzuteilen.
Wo noch nicht geschehen, wäre es sinnvoll hier auch gleich link-local
169.254.0.0/16 hinzuzufügen, da diese IPs bei dem einen oder anderen Node
vorkommen können, wenn z.B. Interfaces durcheinander gekommen sind, oder
ähnliches.
Soweit mir bekannt ist, wird die 169.254.0.0/16 nur vom experimentellen
Autoconfig-/Remoteconfig-Dienst verwendet, der bei der Ersteinrichtung
helfen soll - in diesem Fall kommt der in der OLSR-Tabelle vor. Je nach
Firmware-Stand sind diese Regeln in der Grundkonfiguration enthalten
oder auch nicht.
Im Falle eines Factory-Resets (Löschen der config-Partition) würden
diese Regeln erneut fehlen oder auch nicht.
Ich weiß nicht, ob es sinnvoll ist und habe diesen Range absichtlich
nicht erwähnt.
Reine APIPA-Ranges (also 169.254.0.0/16) haben, wenn etwas
"durcheinander kommt" meines Erachtens im Mesh-Routing sonst nichts
verloren.
Weißt Du mehr als ich? Wenn ja, pls --verbose.
Nach bisherigem Wissensstand kommt es dadurch zu keinem erweiterten Risiko, da
diese Nummern nicht aus dem Internet kommen können, sondern nur aus der
Nachbarschaft, und die ist ja über die öffentlichen Adressen sowieso erwünscht.
Zählt der Confine-Range eigentlich zu dieser Nachbarschaft? Afaik ist
der Range 78.41.116.0/24 dem Housing zugeteilt, während 78.41.117.0/24
für Confine verwendet wird, wobei nach dem Ende von Confine u.U. erneut
Änderungen an der Firewall-Konfiguration anstünden?
Filter auf der Verbindung zum OLSR-Dienst sollen ja nur helfen das unerwartete
einzuschränken, im Normalfall will man ja alle Mesh-Nachbarn auch erreichen
können, und dazu braucht man die Routen dazu.
In der Tat!
Beste Grüße
Matthias
LG
Erich
--
Wien mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/wien
