Erstellt vor 8 Jahren

Zuletzt geändert vor 6 Jahren

#868 new enhancement

Easier AICCU setup

Erstellt von: M66B Verantwortlicher:
Priorität: normal Meilenstein: freetz-future
Komponente: packages Version: devel
Stichworte: Beobachter:
Product Id: Firmware Version:

Beschreibung

Since the wiki contains a a lot of steps, my proposal is to make setting up AICCU easier (we can!):

  • Auto select radvd
  • Auto select ip6tables + needed modules
  • Setup basic firewall at startup

I am not sure if all needed modules/libraries are included/modprobe'd and if all dependencies are met (I did my best figuring it out).

Is it somehow possible to check in rc.aiccu if FREETZ_PACKAGE_AICCU_FIREWALL is selected?

Anhänge (2)

aiccu_firewall.patch (1.7 KB) - hinzugefügt von M66B vor 8 Jahren.
aiccu_firewall-2.patch (4.2 KB) - hinzugefügt von M66B vor 7 Jahren.
Some strings need translation

Alle Anhänge herunterladen als: .zip

Änderungshistorie (21)

Geändert vor 8 Jahren durch M66B

comment:1 Antworten: Geändert vor 8 Jahren durch cuma

Hallo, ich spiele momentan zufällig auch mit IPv6 etwas herum :-)
-ip6tables "-m state" funktioniert erst ab Kernel 2.6.20 (Kommentare bei aiccu) Oliver wollte evtl mal schauen ob er es backporten kann
-ich fänd es am besten wenn jeder die Firewallregeln selbst bearbeiten kann, zB 'ip6tables -t filter -P FORWARD ACCEPT' gefällt mir gar nicht
-Radvd sollte nur optional sein, evtl als Unteroption von Aiccu? (ich nutze es nicht, hab statische IPs vergeben :-)))
-FREETZ_PACKAGE_AICCU_FIREWALL kann man nicht abfragen. Mir fällt da nur eine "flag-file" unter make/PKG/files/root/… ein


zu den Regeln
-"ip6t_rt"/"RH0 filters" sollte auch dazu: http://www.sixxs.net/faq/connectivity/?faq=filters
-"ip6tales -F" und "ip6tables -X" wären auch noch gut, sonst werden es immer mehr Regeln
-fe80::/10 (local) und ff00::/8 (multicast) sollte man auch noch zulassen

comment:2 als Antwort auf: ↑ 1 Geändert vor 8 Jahren durch M66B

Replying to cuma:

Hallo, ich spiele momentan zufällig auch mit IPv6 etwas herum :-)

You like to play too! ;-)

-ip6tables "-m state" funktioniert erst ab Kernel 2.6.20 (Kommentare bei aiccu) Oliver wollte evtl mal schauen ob er es backporten kann

Good to know, never realized that. (however iptables is in unstable)

-ich fänd es am besten wenn jeder die Firewallregeln selbst bearbeiten kann, zB 'ip6tables -t filter -P FORWARD ACCEPT' gefällt mir gar nicht

Of course the firewall rules should be an option, the default is intended for less experienced users, better than an open connection.

-Radvd sollte nur optional sein, evtl als Unteroption von Aiccu? (ich nutze es nicht, hab statische IPs vergeben :-)))

I guess you have enough addresses ;-) I will make it an options.

-FREETZ_PACKAGE_AICCU_FIREWALL kann man nicht abfragen. Mir fällt da nur eine "flag-file" unter make/PKG/files/root/… ein

zu den Regeln
-"ip6t_rt"/"RH0 filters" sollte auch dazu: http://www.sixxs.net/faq/connectivity/?faq=filters
-"ip6tales -F" und "ip6tables -X" wären auch noch gut, sonst werden es immer mehr Regeln
-fe80::/10 (local) und ff00::/8 (multicast) sollte man auch noch zulassen

Okay, I will change that. If you have suggestions for basic rules, let me know.

Thanks for the feedback.

comment:3 als Antwort auf: ↑ 1 Geändert vor 8 Jahren durch M66B

What is your opinion about the firewall rules described here ?

I could add an checkbox, so that the firewall rules can be toggle on and off from the Freetz interface, so more experienced users can do their own thing. And/or a big box where the firewall rules can be manipulated with a reasonable default for novice users.

comment:4 Antwort: Geändert vor 8 Jahren durch cuma

Die Regeln bei http://www.sixxs.net/wiki/IPv6_Firewalling sehen ganz gut aus, das ganze in einer großen Eingabebox finde ich auch gut. Aber am besten damit noch etwas warten, vielleicht schaffte es jemand "state" zu patchen.
Noch zu "FREETZ_PACKAGE_AICCU_FIREWALL": Die Module heissen bei den Kerneln der 7170 und 7270 verschieden.

comment:5 als Antwort auf: ↑ 4 Geändert vor 8 Jahren durch M66B

Replying to cuma:

Aber am besten damit noch etwas warten, vielleicht schaffte es jemand "state" zu patchen.

I hope so, because that would be the best solution.

Noch zu "FREETZ_PACKAGE_AICCU_FIREWALL": Die Module heissen bei den Kerneln der 7170 und 7270 verschieden.

How they are called on the 7170? (or better, where is that information available?)

comment:6 Geändert vor 8 Jahren durch cuma

Schau mal in make/iptables/Config.in oder je nach Hardware "make kernel-menuconfig"

comment:7 Geändert vor 8 Jahren durch oliver

@M66B
Did you proceed here? Or do you need help?

comment:8 Geändert vor 8 Jahren durch M66B

I was hoping that somebody could patch the state module, but we could use the firewall rules suggested in 5 as default. I am happy to update this patch with the suggested checkbox and/or big editbox and correct module names.

comment:9 Geändert vor 8 Jahren durch cuma

Seems nobody is able to backport state into our old kernel. :-( Perhaps the labor-firmware has some hacks to use it?

comment:10 Geändert vor 8 Jahren durch oliver

I don't think that we can catch any hints from AVM because of their userspace binaries…

comment:11 Geändert vor 8 Jahren durch M66B

I am still not sure which modules for the 7170 should be modprobe'd and I am also not sure which firewall rules should be applied. My suggestion is to use stateless rules in any case, so that this can work for all or at least most boxes. It could be the earlier mentioned rules from the SixXS example or maybe the rules suggested by mike in the wiki. Any thoughts on this?

comment:12 Geändert vor 8 Jahren durch cuma

Sixxs's version ACCEPTs and the REJECTs, so i think mike's is better

comment:13 Geändert vor 8 Jahren durch oliver

I would vote for a switch. "Enable basic firewall rules"

I would guess that you need:

ip_tables
ipt_state
ip6_tables
ip6table_filter

on a 2.6.13.1 kernel box.

What about ip_conntrack?

comment:14 Geändert vor 8 Jahren durch cuma

Für IPv6 braucht man kein NAT mehr. Hier ist das Problem das STATE. Oder meinst du IPv4?

comment:15 Geändert vor 8 Jahren durch oliver

  • Meilenstein von freetz-1.2 nach freetz-1.3 geändert

Moved to 1.3

Geändert vor 7 Jahren durch M66B

Some strings need translation

comment:16 Geändert vor 7 Jahren durch M66B

While testing I encountered these issues:

  • Starting radvd rebooted my box a few times
  • Stopping aiccu reported failed while it was stopped successfully

comment:17 Geändert vor 7 Jahren durch M66B

Any comments on the new patch?

comment:18 Geändert vor 6 Jahren durch MrTweek1987

gibts hier noch fortschritte oder ist es tot? weil es wäre interessant, wenn jemand das state mal backportet (bzw das stae-modul patcht), ja conntrack braucht man… für ipv4 und ipv6. Durch Conntrack kann man sich auch die verbindungen anschauen =)

cat /proc/net/ip_contrack

Dass die verbindungen stateless überwacht werden ist schon blöd, da man zb forward, input, output nicht dicht machen kann (beim pf muss man es statefull machen "keep state"), bei state kommt immer unknown parameter or symbol… =/ was dann gleich zur folge hat, dass man die Regeln, wenn man sie nicht backupt neu eintragen muss… zurzeit nutze ich für forwarding eine DROP clause an allen interfaces (Forwarding steht auf accept) was dann explizit nur port 80,443 zulässt… hinter dieser DROP-Clause kann man ein simuliertes STATE durchführen, indem man eine forwarding-rule setz

... Die DROP-RULS der Interfaces eth0, wlan...
-A FORWARDING -i dsl -p tcp -sport 80 -j ACCEPT
-A FORWARDING -i dsl -p tcp -sport 443 -j ACCEPT
<DSL DROP>

man kann glaube auch statt state auch —syn nehmen, das habe ich bei ipv6 benutzt und es mit DROP versehen
somit lässt ipt antworten von port 80 (der zielwebseite) zu, aber verhinfert neue eingehende verbindungen.
Ich habe das gefühl, dass iptables ohne state mehr verbindungen öffnet als es tatsächlich sind… oder liege ich da falsch…

Zuletzt geändert vor 6 Jahren von MrTweek1987 (vorher) (Diff)

comment:19 Geändert vor 6 Jahren durch cuma

  • Meilenstein von freetz-1.3 nach freetz-future geändert
Hinweis: Hilfe zur Verwendung von Tickets finden Sie in TracTickets.