freifunk-franken
/
firmware
9
7
Fork 13
Code Issues 48 Pull Requests 7 Releases 17 Wiki Activity

fff-firewall: rules entfernen? #183

New Issue
Closed
opened 2021-12-20 18:15:32 +01:00 by jkimmel · 4 comments
jkimmel commented 2021-12-20 18:15:32 +01:00
Owner
Copy Link

Das Paket installiert folgende Regeln:

fcb19bd233/src/packages/fff/fff-firewall/files/usr/lib/firewall.d

Es macht Ratelimits für ssh und MSS-Clamping. Gerade das MSS-Clamping macht kaum noch Sinn in unserem Netz, da an den Exits bereits ein sehr niedriger Wert forciert wird.
Ob das SSH Ratelimit wirklich so nötig ist, weiß ich auch nicht.

Würde man beide Regeln entfernen, könnte man sich bei der Layer 3 Firmware gleich das komplette Conntrack Modul sparen.

Bei der Layer3 bleibt dann lediglich die Regel übrig, die direktes forwarding auf das WAN Interface verhindert:

src/packages/fff/fff-layer3/files/usr/lib/firewall.d:
10-no-forward-wan

Hier sind im übrigen die Scripte, die zusätzlich bei der Node Firmware installiert werden:

src/packages/fff/fff-hoods/files/usr/lib/firewall.d:
30-gateway-fe801

src/packages/fff/fff-node/files/usr/lib/firewall.d:
05-setup-batman-chains  30-client-dhcp    30-client-ra  31-node-dhcpv6  35-mc      35-mc-ping
06-disable-forwarding   30-client-dhcpv6  31-node-dhcp  31-node-ra      35-mc-arp  40-local-node

src/packages/fff/fff-uradvd/files/usr/lib/firewall.d:
32-local-ra
Das Paket installiert folgende Regeln: https://git.freifunk-franken.de/freifunk-franken/firmware/src/commit/fcb19bd23382e04a87bf370e2db9e61339a51d75/src/packages/fff/fff-firewall/files/usr/lib/firewall.d Es macht Ratelimits für ssh und MSS-Clamping. Gerade das MSS-Clamping macht kaum noch Sinn in unserem Netz, da an den Exits bereits ein sehr niedriger Wert forciert wird. Ob das SSH Ratelimit wirklich so nötig ist, weiß ich auch nicht. Würde man beide Regeln entfernen, könnte man sich bei der Layer 3 Firmware gleich das komplette Conntrack Modul sparen. Bei der Layer3 bleibt dann lediglich die Regel übrig, die direktes forwarding auf das WAN Interface verhindert: ``` src/packages/fff/fff-layer3/files/usr/lib/firewall.d: 10-no-forward-wan ``` Hier sind im übrigen die Scripte, die zusätzlich bei der Node Firmware installiert werden: ``` src/packages/fff/fff-hoods/files/usr/lib/firewall.d: 30-gateway-fe801 src/packages/fff/fff-node/files/usr/lib/firewall.d: 05-setup-batman-chains 30-client-dhcp 30-client-ra 31-node-dhcpv6 35-mc 35-mc-ping 06-disable-forwarding 30-client-dhcpv6 31-node-dhcp 31-node-ra 35-mc-arp 40-local-node src/packages/fff/fff-uradvd/files/usr/lib/firewall.d: 32-local-ra ```
jkimmel added the
packages/fff
 label 2021-12-20 18:15:32 +01:00
ChristianD commented 2021-12-20 18:59:30 +01:00
Member
Copy Link

SSH Ratelimit... Kann meiner Meinung weg wenn es stört, stört es nicht drinnen lassen weil dann stört es nicht ;).

MSS-Clamping... Nunja solang unsere Exits (wer ist eigentlich unser? Die Community? F3 Netze e.V.? Was ist mit Freifunk Naila e.V.?) das ALLE zuverlässig machen kanns weg, was ist wenn man auf einen Exit landet der da vllt. was anderes macht? Können "wir" Firmwareentwickler uns drauf verlassen das es jeder so macht? Sehr schwieriges Thema ich bin da sehr unentschlossen, kann man sowas vllt. optional aktivierbar machen oder sowas? Auch doof weiß auch nicht so genau.

Die Rule mit no-forward-wan ist glaub ich nur ein weiterer zusätzlicher Sicherheitsmechanisums, theoretisch sollte es wohl auch ohne nie zu einen Problem kommen, aber man weiß ja nie und ich glaube genau deshalb wurde der damals noch eingebaut.

Ich hab jetzt nur die L3 Variante betrachtet, bei der Node hab ich nicht mehr genug einblick um was dazu sagen zu können

SSH Ratelimit... Kann meiner Meinung weg wenn es stört, stört es nicht drinnen lassen weil dann stört es nicht ;). MSS-Clamping... Nunja solang unsere Exits (wer ist eigentlich unser? Die Community? F3 Netze e.V.? Was ist mit Freifunk Naila e.V.?) das ALLE zuverlässig machen kanns weg, was ist wenn man auf einen Exit landet der da vllt. was anderes macht? Können "wir" Firmwareentwickler uns drauf verlassen das es jeder so macht? Sehr schwieriges Thema ich bin da sehr unentschlossen, kann man sowas vllt. optional aktivierbar machen oder sowas? Auch doof weiß auch nicht so genau. Die Rule mit no-forward-wan ist glaub ich nur ein weiterer zusätzlicher Sicherheitsmechanisums, theoretisch sollte es wohl auch ohne nie zu einen Problem kommen, aber man weiß ja nie und ich glaube genau deshalb wurde der damals noch eingebaut. Ich hab jetzt nur die L3 Variante betrachtet, bei der Node hab ich nicht mehr genug einblick um was dazu sagen zu können
ChristianD commented 2021-12-20 19:02:15 +01:00
Member
Copy Link

Moment

für wo ist das Clamping gedacht? Das sieht mir jetzt fast bisschen nach WAN aus (weil Kommentar mit bad ISP) wo der ISP eine kleinere MTU hat und deshalb (damals fastd?) VPN nicht funktioniert? Kann das sein?

Moment für wo ist das Clamping gedacht? Das sieht mir jetzt fast bisschen nach WAN aus (weil Kommentar mit bad ISP) wo der ISP eine kleinere MTU hat und deshalb (damals fastd?) VPN nicht funktioniert? Kann das sein?
fbl commented 2021-12-20 19:05:17 +01:00
Owner
Copy Link

für wo ist das Clamping gedacht? Das sieht mir jetzt fast bisschen nach WAN aus (weil Kommentar mit bad ISP) wo der ISP eine kleinere MTU hat und deshalb (damals fastd?) VPN nicht funktioniert? Kann das sein?

Wir haben kein TCP VPN, in so fern ziemlich sicher: nein.

MSS-Clamping... Nunja solang unsere Exits (wer ist eigentlich unser? Die Community? F3 Netze e.V.? Was ist mit Freifunk Naila e.V.?) das ALLE zuverlässig machen kanns weg, was ist wenn man auf einen Exit landet der da vllt. was anderes macht? Können "wir" Firmwareentwickler uns drauf verlassen das es jeder so macht? Sehr schwieriges Thema ich bin da sehr unentschlossen, kann man sowas vllt. optional aktivierbar machen oder sowas? Auch doof weiß auch nicht so genau.

Wenn es nur tatsächlich was helfen würde. Die Leitung ist aber für gewöhnlich schon vor unseren layer3-Firmware Routern kleiner, daher entsteht der passende ICMP-Fehler aus "Internet-Sicht" weiter vorne in der Kette und kommt nie am layer3-Firmware Router vorbei. Und dann hilft halt auch clamp-mss-to-pmtu nicht. Da müsste man dann schon statisch die MSS runter setzen, damit da irgendein Effekt wäre.

Wenn ich nichts übersehen habe, dann trägt diese Regel aktuell gar nichts dazu bei, dass irgendwas besser funktioniert.

> für wo ist das Clamping gedacht? Das sieht mir jetzt fast bisschen nach WAN aus (weil Kommentar mit bad ISP) wo der ISP eine kleinere MTU hat und deshalb (damals fastd?) VPN nicht funktioniert? Kann das sein? Wir haben kein TCP VPN, in so fern ziemlich sicher: nein. > MSS-Clamping... Nunja solang unsere Exits (wer ist eigentlich unser? Die Community? F3 Netze e.V.? Was ist mit Freifunk Naila e.V.?) das ALLE zuverlässig machen kanns weg, was ist wenn man auf einen Exit landet der da vllt. was anderes macht? Können "wir" Firmwareentwickler uns drauf verlassen das es jeder so macht? Sehr schwieriges Thema ich bin da sehr unentschlossen, kann man sowas vllt. optional aktivierbar machen oder sowas? Auch doof weiß auch nicht so genau. Wenn es nur tatsächlich was helfen würde. Die Leitung ist aber für gewöhnlich schon vor unseren layer3-Firmware Routern kleiner, daher entsteht der passende ICMP-Fehler aus "Internet-Sicht" weiter vorne in der Kette und kommt nie am layer3-Firmware Router vorbei. Und dann hilft halt auch clamp-mss-to-pmtu nicht. Da müsste man dann schon statisch die MSS runter setzen, damit da irgendein Effekt wäre. Wenn ich nichts übersehen habe, dann trägt diese Regel aktuell gar nichts dazu bei, dass irgendwas besser funktioniert.
ChristianD commented 2021-12-20 19:08:10 +01:00
Member
Copy Link

Da die Regel bereits vor 6 Jahren eingeführt wurde, kann ich mir eigentlich nur vorstellen das sie für WAN gedacht ist.

Allerdings hast du vollkommen Recht, fastd damals und heute und wireguard heute und auch sonst alles UDP ist, machts auch da absolut keinen Sinn.

Also ja dann kanns glaub ich wirklich weg

Da die Regel bereits vor 6 Jahren eingeführt wurde, kann ich mir eigentlich nur vorstellen das sie für WAN gedacht ist. Allerdings hast du vollkommen Recht, fastd damals und heute und wireguard heute und auch sonst alles UDP ist, machts auch da absolut keinen Sinn. Also ja dann kanns glaub ich wirklich weg
fbl added this to the 20220405-beta milestone 2021-12-21 14:49:29 +01:00
fbl closed this issue 2022-01-03 21:41:32 +01:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
master
0.5.x
20240401
20240401-beta
20240119-beta
20230330
20230321-beta
20160213-beta
20221201
20221019
20220814
20220413
20220405-beta
20211224
20211220
20211201-beta
20210226
20210218
20210211-beta
20200501
20200423-beta
20200118
20191224
20191214-beta
20191130-alpha
20191123-alpha
20181202
20181128-beta
20180802
20180802-beta
20180726-beta
20180304-alpha
20180303-alpha
20170918
20170918-beta
20170218-alpha
20170110
20170110-beta
20161105-beta
20161008-beta
20160506
20160506-beta
20160310
0.5.2
0.5.2-b2
0.5.2-b1
0.5.1
0.5.1-b2
0.5.1-b1
0.5.0
0.5.0-b1
0.4.3
0.4.2
0.4.1
0.4.0ol
0.4.0f
0.4.0rc5f
0.4.0rc4ol
0.4.0rc4f
0.4.0rc3f
0.4.0rc2f
0.3.999f
0.3.999
0.3.998
0.3.99
0.3
0.2.1
0.2
0.1
Labels
Clear labels   
RFC

   
RFT

   
WIP

   
blocked

   
bsp

touching bsp files or adding devices

  
bug

Something is not working

  
build/scripts/tools

touching buildscript or other tools

  
duplicate

This issue or pull request already exists

  
feature

New feature

  
fixed

Issue that got resolved

  
layer3

only for layer3 FW

  
mantis

Imported from mantis

  
more details required

Reported information is insufficient to debug the issue

  
needs changes

   
node

only for node FW

  
packages/fff

touching our packages

  
rejected

Rejected or won't fix

  
security

   
trivial

simple non-functional changes that are mostly matter of taste

  
upstream

touching upstream version, build or feed patches

No Label
RFC
RFT
WIP
blocked
bsp
bug
build/scripts/tools
duplicate
feature
fixed
layer3
mantis
more details required
needs changes
node
packages/fff
rejected
security
trivial
upstream
Milestone
Clear milestone
No items
No Milestone
20220405-beta
Assignees
Clear assignees
No Assignees
3 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: freifunk-franken/firmware#183
No description provided.
Delete Branch "%!s(<nil>)"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?