Message ID | 20181206134701.19543-1-fff@chrisi01.de |
---|---|
State | Accepted |
Headers | show |
diff --git a/src/packages/fff/fff-hoods/Makefile b/src/packages/fff/fff-hoods/Makefile index 264d28a..fb1ae18 100644 --- a/src/packages/fff/fff-hoods/Makefile +++ b/src/packages/fff/fff-hoods/Makefile @@ -13,7 +13,7 @@ define Package/$(PKG_NAME) CATEGORY:=Freifunk TITLE:= Freifunk-Franken hoods URL:=http://www.freifunk-franken.de - DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select + DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select +fff-firewall endef define Package/$(PKG_NAME)/description diff --git a/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 new file mode 100644 index 0000000..754e070 --- /dev/null +++ b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 @@ -0,0 +1,6 @@ +# Erlaube nur fe80::1 von BATMAN -> CLIENT +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY + +# Erlaube nur fe80::1 von KNOTEN -> CLIENT +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY +
Hallo Christian, das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf allen Routern drauf ist. Anmerkung unten -> Am 06.12.18 um 14:47 schrieb Christian Dresel: > This firewall block all communication with fe80::1 from a > Client to Batman and to the Node. > > We need this because some crap devices (e.g. some wrong > connectet router on a clientport) have the fe80::1 as address > and break our setup. > > This is an alternative Patch to > https://pw.freifunk-franken.de/patch/967/ > > Signed-off-by: Christian Dresel <fff@chrisi01.de> > --- > src/packages/fff/fff-hoods/Makefile | 2 +- > .../fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 | 6 ++++++ > 2 files changed, 7 insertions(+), 1 deletion(-) > create mode 100644 src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 > > diff --git a/src/packages/fff/fff-hoods/Makefile b/src/packages/fff/fff-hoods/Makefile > index 264d28a..fb1ae18 100644 > --- a/src/packages/fff/fff-hoods/Makefile > +++ b/src/packages/fff/fff-hoods/Makefile > @@ -13,7 +13,7 @@ define Package/$(PKG_NAME) > CATEGORY:=Freifunk > TITLE:= Freifunk-Franken hoods > URL:=http://www.freifunk-franken.de > - DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select > + DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select +fff-firewall > endef > > define Package/$(PKG_NAME)/description > diff --git a/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 > new file mode 100644 > index 0000000..754e070 > --- /dev/null > +++ b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 > @@ -0,0 +1,6 @@ > +# Erlaube nur fe80::1 von BATMAN -> CLIENT > +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, dass die Beschreibung moeglichst passt. Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT > + > +# Erlaube nur fe80::1 von KNOTEN -> CLIENT > +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas verwirrt. Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN Gruesse Robert > +
Hallo zusammen, On 06.12.18 20:07, robert wrote: > Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, > dass die Beschreibung moeglichst passt. Möglichst bitte auch auf Englisch.. :-) Fabian
hi Robert On 06.12.18 20:07, robert wrote: > Hallo Christian, > > das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf > allen Routern drauf ist. das geht aber auch gar nicht mehr anders, alte Router haben halt das Problem das können wir nicht mehr ändern. > > Anmerkung unten -> > > Am 06.12.18 um 14:47 schrieb Christian Dresel: >> +# Erlaube nur fe80::1 von BATMAN -> CLIENT >> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY > Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, > dass die Beschreibung moeglichst passt. stimmt geht mir auch so > > Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.: https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/30-client-ra tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite des Clients sehen muss kommt durch die "Verneinung" (...--logical-out br-mesh -o ! bat0...) der Regel hier zustande: https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/05-setup-chains Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger" benennen. >> + >> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT >> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY > KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas > verwirrt. wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output probiert und mich gewundert warum es nicht geht, bis ich die Richtung richtig verstanden habe) > Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen. mfg Christian > > Gruesse Robert > >> +
Hallo, inhaltlich gab es ja keine Probleme? Dann würde ich tatsächlich die jetzige Beschreibung beibehalten und dann zeitnah ALLE Regeln klarer machen und ins Englische übersetzen. Da kann man dann auch sowas aufräumen wie /usr/sbin/iptables oder nur iptables. Grüße Adrian > -----Original Message----- > From: franken-dev [mailto:franken-dev-bounces@freifunk.net] On Behalf Of > Christian Dresel > Sent: Donnerstag, 6. Dezember 2018 20:18 > To: robert <rlanghammer@web.de>; franken-dev@freifunk.net > Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node > > hi Robert > > On 06.12.18 20:07, robert wrote: > > Hallo Christian, > > > > das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf > > allen Routern drauf ist. > > das geht aber auch gar nicht mehr anders, alte Router haben halt das > Problem das können wir nicht mehr ändern. > > > > > Anmerkung unten -> > > > > Am 06.12.18 um 14:47 schrieb Christian Dresel: > >> +# Erlaube nur fe80::1 von BATMAN -> CLIENT > >> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY > > Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, > > dass die Beschreibung moeglichst passt. > stimmt geht mir auch so > > > > Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT > > ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.: > > https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f > ff-firewall/files/usr/lib/firewall.d/30-client-ra > > tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite > des Clients sehen muss kommt durch die "Verneinung" (...--logical-out > br-mesh -o ! bat0...) der Regel hier zustande: > > https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f > ff-firewall/files/usr/lib/firewall.d/05-setup-chains > > Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das > Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger" > benennen. > > >> + > >> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT > >> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY > > KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas > > verwirrt. > wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja > "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich > durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output > probiert und mich gewundert warum es nicht geht, bis ich die Richtung > richtig verstanden habe) > > Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN > > würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will > da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen. > > mfg > > Christian > > > > > Gruesse Robert > > > >> +
Am 06.12.18 um 20:13 schrieb Fabian Bläse: > Hallo zusammen, > > On 06.12.18 20:07, robert wrote: >> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, >> dass die Beschreibung moeglichst passt. > Möglichst bitte auch auf Englisch.. :-) in fff-firewall sind fast alle Kommentare deutsch. Wenn dann machen wir mal eine "Ubersetzung in einem Rutsch. Für mich passt nur die Logik der Kommentare nicht zu den Rules. Robert > > Fabian >
Jo, grade gesehen. Dann passts erstmal. Fabian On 06.12.18 20:25, robert wrote: > in fff-firewall sind fast alle Kommentare deutsch. Wenn dann machen wir > mal eine "Ubersetzung in einem Rutsch. > > Für mich passt nur die Logik der Kommentare nicht zu den Rules. > > Robert
Fabian, kommt auf eine Neighbor Discovery nach fe80::1 die Antwort immer von fe80::1 zurueck? Am 06.12.18 um 20:26 schrieb Fabian Bläse: > Jo, grade gesehen. Dann passts erstmal. > > Fabian > > On 06.12.18 20:25, robert wrote: >> in fff-firewall sind fast alle Kommentare deutsch. Wenn dann machen wir >> mal eine "Ubersetzung in einem Rutsch. >> >> Für mich passt nur die Logik der Kommentare nicht zu den Rules. >> >> Robert
Hallo Robert, Das Ding was dann kommt heißt Neighbor Advertisement. ;-) Das muss, soweit ich den RFC 4861 richtig verstehe, nicht zwingend so sein. Was dann passiert, weiß ich aber nicht. Ich glaube man kann damit NDP Forwarding machen oder sowas. Man könnte nochmal checken, ob man das mit dem ebtables auch noch explizit weggefiltert bekommt. Gruß Fabian On 06.12.18 20:30, robert wrote: > Fabian, > > kommt auf eine Neighbor Discovery nach fe80::1 die Antwort immer von > fe80::1 zurueck? > > Am 06.12.18 um 20:26 schrieb Fabian Bläse: >> Jo, grade gesehen. Dann passts erstmal. >> >> Fabian >> >> On 06.12.18 20:25, robert wrote: >>> in fff-firewall sind fast alle Kommentare deutsch. Wenn dann machen wir >>> mal eine "Ubersetzung in einem Rutsch. >>> >>> Für mich passt nur die Logik der Kommentare nicht zu den Rules. >>> >>> Robert >
Hallo, hab noch mal etwas getestet. Scheint wirklich zu tun, was es soll. Die Kommentare anpassen, sollten wir uns auf die to-do-Liste schreiben. Tested-by: Robert Langhammer <rlanghammer@web.de> Reviewed-by: Robert Langhammer <rlanghammer@web.de> @Adrian, falls wir uns fuer diesen Weg entscheiden (ich bin dafuer), solltest du auf der GW-Liste die fe80::fff:1 Diskussion wieder killen. Robert Am 06.12.18 um 20:23 schrieb Adrian Schmutzler: > Hallo, > > inhaltlich gab es ja keine Probleme? > > Dann würde ich tatsächlich die jetzige Beschreibung beibehalten und dann zeitnah ALLE Regeln klarer machen und ins Englische übersetzen. > > Da kann man dann auch sowas aufräumen wie /usr/sbin/iptables oder nur iptables. > > Grüße > > Adrian > >> -----Original Message----- >> From: franken-dev [mailto:franken-dev-bounces@freifunk.net] On Behalf Of >> Christian Dresel >> Sent: Donnerstag, 6. Dezember 2018 20:18 >> To: robert <rlanghammer@web.de>; franken-dev@freifunk.net >> Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node >> >> hi Robert >> >> On 06.12.18 20:07, robert wrote: >>> Hallo Christian, >>> >>> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf >>> allen Routern drauf ist. >> das geht aber auch gar nicht mehr anders, alte Router haben halt das >> Problem das können wir nicht mehr ändern. >> >>> Anmerkung unten -> >>> >>> Am 06.12.18 um 14:47 schrieb Christian Dresel: >>>> +# Erlaube nur fe80::1 von BATMAN -> CLIENT >>>> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY >>> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, >>> dass die Beschreibung moeglichst passt. >> stimmt geht mir auch so >>> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT >> ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.: >> >> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f >> ff-firewall/files/usr/lib/firewall.d/30-client-ra >> >> tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite >> des Clients sehen muss kommt durch die "Verneinung" (...--logical-out >> br-mesh -o ! bat0...) der Regel hier zustande: >> >> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f >> ff-firewall/files/usr/lib/firewall.d/05-setup-chains >> >> Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das >> Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger" >> benennen. >> >>>> + >>>> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT >>>> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY >>> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas >>> verwirrt. >> wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja >> "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich >> durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output >> probiert und mich gewundert warum es nicht geht, bis ich die Richtung >> richtig verstanden habe) >>> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN >> würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will >> da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen. >> >> mfg >> >> Christian >> >>> Gruesse Robert >>> >>>> +
Hallo, zwecks fe80::fff:1: Das haben jetzt ja schon überraschend viele eingerichtet. (Ich war echt überrascht…) Ich würde da mit dem zurückrufen erstmal warten, ob wir es vll. doch noch brauchen können. Im Moment tun die zusätzlichen Adressen ja keinem weh, also werde ich erstmal keinen Aufruf zum „aktiv zurückändern“ starten. Ansonsten ist die Firewall-Lösung natürlich besser. Grüße Adrian From: franken-dev [mailto:franken-dev-bounces@freifunk.net] On Behalf Of robert Sent: Donnerstag, 6. Dezember 2018 21:58 To: franken-dev@freifunk.net Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node Hallo, hab noch mal etwas getestet. Scheint wirklich zu tun, was es soll. Die Kommentare anpassen, sollten wir uns auf die to-do-Liste schreiben. Tested-by: Robert Langhammer <rlanghammer@web.de <mailto:rlanghammer@web.de> > Reviewed-by: Robert Langhammer <rlanghammer@web.de <mailto:rlanghammer@web.de> > @Adrian, falls wir uns fuer diesen Weg entscheiden (ich bin dafuer), solltest du auf der GW-Liste die fe80::fff:1 Diskussion wieder killen. Robert Am 06.12.18 um 20:23 schrieb Adrian Schmutzler: > Hallo, > > inhaltlich gab es ja keine Probleme? > > Dann würde ich tatsächlich die jetzige Beschreibung beibehalten und dann zeitnah ALLE Regeln klarer machen und ins Englische übersetzen. > > Da kann man dann auch sowas aufräumen wie /usr/sbin/iptables oder nur iptables. > > Grüße > > Adrian > >> -----Original Message----- >> From: franken-dev [mailto:franken-dev-bounces@freifunk.net] On Behalf Of >> Christian Dresel >> Sent: Donnerstag, 6. Dezember 2018 20:18 >> To: robert <rlanghammer@web.de <mailto:rlanghammer@web.de> >; franken-dev@freifunk.net <mailto:franken-dev@freifunk.net> >> Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and Node >> >> hi Robert >> >> On 06.12.18 20:07, robert wrote: >>> Hallo Christian, >>> >>> das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf >>> allen Routern drauf ist. >> das geht aber auch gar nicht mehr anders, alte Router haben halt das >> Problem das können wir nicht mehr ändern. >> >>> Anmerkung unten -> >>> >>> Am 06.12.18 um 14:47 schrieb Christian Dresel: >>>> +# Erlaube nur fe80::1 von BATMAN -> CLIENT >>>> +ebtables -A FORWARD -p IPv6 --ip6-source fe80::1 -j IN_ONLY >>> Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, >>> dass die Beschreibung moeglichst passt. >> stimmt geht mir auch so >>> Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT >> ich hab mich daran gehalten, wie die anderen schon ausgesehen haben z.b.: >> >> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f >> ff-firewall/files/usr/lib/firewall.d/30-client-ra >> >> tatsächlich ist das IN und OUT sehr verwirrend weil man es von der Seite >> des Clients sehen muss kommt durch die "Verneinung" (...--logical-out >> br-mesh -o ! bat0...) der Regel hier zustande: >> >> https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/f >> ff-firewall/files/usr/lib/firewall.d/05-setup-chains >> >> Ich würde da jetzt ungern 2 verschiedene Beschreibungen anfangen und das >> Prinzip beibehalten, gerne kann man das zukünftig mal "eindeutiger" >> benennen. >> >>>> + >>>> +# Erlaube nur fe80::1 von KNOTEN -> CLIENT >>>> +ebtables -A INPUT -p IPv6 --ip6-source fe80::1 -j IN_ONLY >>> KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas >>> verwirrt. >> wie gesagt, es kommt durch die "Verneinung" zu stande. Ich erlaube ja >> "Knoten -> Client" und verbiete "Client -> Knoten" was dann natürlich >> durch die Input am Knoten geht (und ja habs anfang auch ewig mit Output >> probiert und mich gewundert warum es nicht geht, bis ich die Richtung >> richtig verstanden habe) >>> Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN >> würde da gerne weitere Meinungen abwarten, wie bereits gesagt ich will >> da jetzt nicht unbedingt mit 2 verschiedene Beschreibungen anfangen. >> >> mfg >> >> Christian >> >>> Gruesse Robert >>> >>>> +
Applied. Removed empty line at the end and fixed some typos/grammar in the commit message. Grüße Adrian > -----Original Message----- > From: franken-dev [mailto:franken-dev-bounces@freifunk.net] On Behalf > Of robert > Sent: Donnerstag, 6. Dezember 2018 20:08 > To: franken-dev@freifunk.net > Subject: Re: [PATCH] fff-hoods: firewall fe80::1 from Client to Batman and > Node > > Hallo Christian, > > das gefaellt mir ganz gut. Es funktioniert allerdings erst, wenn das auf allen > Routern drauf ist. > > Anmerkung unten -> > > Am 06.12.18 um 14:47 schrieb Christian Dresel: > > This firewall block all communication with fe80::1 from a Client to > > Batman and to the Node. > > > > We need this because some crap devices (e.g. some wrong connectet > > router on a clientport) have the fe80::1 as address and break our > > setup. > > > > This is an alternative Patch to > > https://pw.freifunk-franken.de/patch/967/ > > > > Signed-off-by: Christian Dresel <fff@chrisi01.de> > > --- > > src/packages/fff/fff-hoods/Makefile | 2 +- > > .../fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 | 6 ++++++ > > 2 files changed, 7 insertions(+), 1 deletion(-) create mode 100644 > > src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 > > > > diff --git a/src/packages/fff/fff-hoods/Makefile > > b/src/packages/fff/fff-hoods/Makefile > > index 264d28a..fb1ae18 100644 > > --- a/src/packages/fff/fff-hoods/Makefile > > +++ b/src/packages/fff/fff-hoods/Makefile > > @@ -13,7 +13,7 @@ define Package/$(PKG_NAME) > > CATEGORY:=Freifunk > > TITLE:= Freifunk-Franken hoods > > URL:=http://www.freifunk-franken.de > > - DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select > > + DEPENDS:=+fff-hoodutils +fff-macnock +fff-vpn-select > > + +fff-firewall > > endef > > > > define Package/$(PKG_NAME)/description diff --git > > a/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 > > b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 > > new file mode 100644 > > index 0000000..754e070 > > --- /dev/null > > +++ b/src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-f > > +++ e801 > > @@ -0,0 +1,6 @@ > > +# Erlaube nur fe80::1 von BATMAN -> CLIENT ebtables -A FORWARD -p > > +IPv6 --ip6-source fe80::1 -j IN_ONLY > > Das netfilter Zeug ist immer so komplex, darum wuerde ich darauf achten, > dass die Beschreibung moeglichst passt. > > Mein Vorschlag: Forwarde fe80::1 nur von BATMAN -> CLIENT > > > + > > +# Erlaube nur fe80::1 von KNOTEN -> CLIENT ebtables -A INPUT -p IPv6 > > +--ip6-source fe80::1 -j IN_ONLY > > KNOTEN -> CLIENT geht garnicht durch INPUT. Das hat mich doch etwas > verwirrt. > > Mein Vorschlag: Erlaube fe80::1 nur von BATMAN -> KNOTEN > > Gruesse Robert > > > +
This firewall block all communication with fe80::1 from a Client to Batman and to the Node. We need this because some crap devices (e.g. some wrong connectet router on a clientport) have the fe80::1 as address and break our setup. This is an alternative Patch to https://pw.freifunk-franken.de/patch/967/ Signed-off-by: Christian Dresel <fff@chrisi01.de> --- src/packages/fff/fff-hoods/Makefile | 2 +- .../fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801 | 6 ++++++ 2 files changed, 7 insertions(+), 1 deletion(-) create mode 100644 src/packages/fff/fff-hoods/files/usr/lib/firewall.d/30-gateway-fe801