fff-firewall: rules entfernen? #183
Labels
No Label
RFC
RFT
WIP
blocked
bsp
bug
build/scripts/tools
duplicate
feature
fixed
layer3
mantis
more details required
needs changes
node
packages/fff
rejected
security
trivial
upstream
No Milestone
No Assignees
3 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: freifunk-franken/firmware#183
Loading…
Reference in New Issue
No description provided.
Delete Branch "%!s(<nil>)"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Das Paket installiert folgende Regeln:
fcb19bd233/src/packages/fff/fff-firewall/files/usr/lib/firewall.d
Es macht Ratelimits für ssh und MSS-Clamping. Gerade das MSS-Clamping macht kaum noch Sinn in unserem Netz, da an den Exits bereits ein sehr niedriger Wert forciert wird.
Ob das SSH Ratelimit wirklich so nötig ist, weiß ich auch nicht.
Würde man beide Regeln entfernen, könnte man sich bei der Layer 3 Firmware gleich das komplette Conntrack Modul sparen.
Bei der Layer3 bleibt dann lediglich die Regel übrig, die direktes forwarding auf das WAN Interface verhindert:
Hier sind im übrigen die Scripte, die zusätzlich bei der Node Firmware installiert werden:
SSH Ratelimit... Kann meiner Meinung weg wenn es stört, stört es nicht drinnen lassen weil dann stört es nicht ;).
MSS-Clamping... Nunja solang unsere Exits (wer ist eigentlich unser? Die Community? F3 Netze e.V.? Was ist mit Freifunk Naila e.V.?) das ALLE zuverlässig machen kanns weg, was ist wenn man auf einen Exit landet der da vllt. was anderes macht? Können "wir" Firmwareentwickler uns drauf verlassen das es jeder so macht? Sehr schwieriges Thema ich bin da sehr unentschlossen, kann man sowas vllt. optional aktivierbar machen oder sowas? Auch doof weiß auch nicht so genau.
Die Rule mit no-forward-wan ist glaub ich nur ein weiterer zusätzlicher Sicherheitsmechanisums, theoretisch sollte es wohl auch ohne nie zu einen Problem kommen, aber man weiß ja nie und ich glaube genau deshalb wurde der damals noch eingebaut.
Ich hab jetzt nur die L3 Variante betrachtet, bei der Node hab ich nicht mehr genug einblick um was dazu sagen zu können
Moment
für wo ist das Clamping gedacht? Das sieht mir jetzt fast bisschen nach WAN aus (weil Kommentar mit bad ISP) wo der ISP eine kleinere MTU hat und deshalb (damals fastd?) VPN nicht funktioniert? Kann das sein?
Wir haben kein TCP VPN, in so fern ziemlich sicher: nein.
Wenn es nur tatsächlich was helfen würde. Die Leitung ist aber für gewöhnlich schon vor unseren layer3-Firmware Routern kleiner, daher entsteht der passende ICMP-Fehler aus "Internet-Sicht" weiter vorne in der Kette und kommt nie am layer3-Firmware Router vorbei. Und dann hilft halt auch clamp-mss-to-pmtu nicht. Da müsste man dann schon statisch die MSS runter setzen, damit da irgendein Effekt wäre.
Wenn ich nichts übersehen habe, dann trägt diese Regel aktuell gar nichts dazu bei, dass irgendwas besser funktioniert.
Da die Regel bereits vor 6 Jahren eingeführt wurde, kann ich mir eigentlich nur vorstellen das sie für WAN gedacht ist.
Allerdings hast du vollkommen Recht, fastd damals und heute und wireguard heute und auch sonst alles UDP ist, machts auch da absolut keinen Sinn.
Also ja dann kanns glaub ich wirklich weg