Updatefeste, nutzerkonfigurierbare nftables config #314

New Issue

Closed

opened 2024-02-29 20:48:55 +01:00 by fbl · 2 comments

fbl commented 2024-02-29 20:48:55 +01:00

Owner

Copy Link

Wird ein Freifunk-Router für das Heimnetz verwendet, möchte man dafür häufig eine Firewall konfigurieren. Mit #284 ist es nun möglich für das Client-Interface eine stateful Firewall zu aktivieren. Dann kann allerdings kein einziges Gerät mehr von außen erreicht werden.

Die einfachste Variante eine sehr flexible Firewall für den Nutzer zu ermöglichen wäre eine updatefeste Datei, die nftables Regeln enthält und automatisch geladen wird. Bei updates auf ggf. geänderte Interfacenamen oder Portkonfigurationen etc. zu achten wäre dann Aufgabe des Nutzers. Dies sollte dann in der Datei auch entsprechend deutlich kommentiert sein. Die Entwickler sollte bei derartigen Änderungen einen deutlichen Hinweis in die Changelogs schreiben.

Wird ein Freifunk-Router für das Heimnetz verwendet, möchte man dafür häufig eine Firewall konfigurieren. Mit #284 ist es nun möglich für das Client-Interface eine stateful Firewall zu aktivieren. Dann kann allerdings kein einziges Gerät mehr von außen erreicht werden. Die einfachste Variante eine sehr flexible Firewall für den Nutzer zu ermöglichen wäre eine updatefeste Datei, die nftables Regeln enthält und automatisch geladen wird. Bei updates auf ggf. geänderte Interfacenamen oder Portkonfigurationen etc. zu achten wäre dann Aufgabe des Nutzers. Dies sollte dann in der Datei auch entsprechend deutlich kommentiert sein. Die Entwickler sollte bei derartigen Änderungen einen deutlichen Hinweis in die Changelogs schreiben.

fbl added this to the next-feature milestone 2024-02-29 20:48:55 +01:00

fbl added the

feature

layer3

labels 2024-02-29 20:48:55 +01:00

jkimmel commented 2024-02-29 20:59:36 +01:00

Owner

Copy Link

So als Notiz, mit

ip6 daddr & ::ffff:ffff:ffff:ffff == { 
    ::hostanteil1,
    ::hostanteil2,
    ...
} accept

lassen sich unabhängig vom prefix hosts freigeben.

So als Notiz, mit ```nftables ip6 daddr & ::ffff:ffff:ffff:ffff == { ::hostanteil1, ::hostanteil2, ... } accept ``` lassen sich unabhängig vom prefix hosts freigeben.

👍 1

jkimmel closed this issue 2024-02-29 20:59:36 +01:00

jkimmel reopened this issue 2024-02-29 20:59:38 +01:00

fbl commented 2024-02-29 21:52:29 +01:00

Author

Owner

Copy Link

Langfristig könnte man auch noch mal überlegen ob man einfache portfreigaben über gateway-config und webui zugänglich macht. Aber so wie oben beschrieben wäre es halt maximal flexibel mit überschaubarem Aufwand für den Nutzer beim Update.

Langfristig könnte man auch noch mal überlegen ob man einfache portfreigaben über gateway-config und webui zugänglich macht. Aber so wie oben beschrieben wäre es halt maximal flexibel mit überschaubarem Aufwand für den Nutzer beim Update.

fbl referenced a pull request that will close this issue 2024-03-11 22:11:45 +01:00

fff-firewall: add user-customizable nftables hook #317

fbl referenced this issue from a commit 2024-03-21 21:58:04 +01:00

fff-firewall: add user-customizable nftables hook

fbl closed this issue 2024-03-21 21:58:04 +01:00

fbl modified the milestone from next-feature to 20240401-beta 2024-09-27 09:27:45 +02:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

master

0.5.x

20241219

20241107

20241005-beta

20240927-beta

20240401

20240401-beta

20240119-beta

20230330

20230321-beta

20160213-beta

20221201

20221019

20220814

20220413

20220405-beta

20211224

20211220

20211201-beta

20210226

20210218

20210211-beta

20200501

20200423-beta

20200118

20191224

20191214-beta

20191130-alpha

20191123-alpha

20181202

20181128-beta

20180802

20180802-beta

20180726-beta

20180304-alpha

20180303-alpha

20170918

20170918-beta

20170218-alpha

20170110

20170110-beta

20161105-beta

20161008-beta

20160506

20160506-beta

20160310

0.5.2

0.5.2-b2

0.5.2-b1

0.5.1

0.5.1-b2

0.5.1-b1

0.5.0

0.5.0-b1

0.4.3

0.4.2

0.4.1

0.4.0ol

0.4.0f

0.4.0rc5f

0.4.0rc4ol

0.4.0rc4f

0.4.0rc3f

0.4.0rc2f

0.3.999f

0.3.999

0.3.998

0.3.99

0.3

0.2.1

0.2

0.1

Labels

Clear labels   

RFC

  

RFT

  

WIP

  

blocked

  

bsp

touching bsp files or adding devices

  

bug

Something is not working

  

build/scripts/tools

touching buildscript or other tools

  

duplicate

This issue or pull request already exists

  

feature

New feature

  

fixed

Issue that got resolved

  

layer3

only for layer3 FW

  

mantis

Imported from mantis

  

more details required

Reported information is insufficient to debug the issue

  

needs changes

  

node

only for node FW

  

packages/fff

touching our packages

  

rejected

Rejected or won't fix

  

security

  

trivial

simple non-functional changes that are mostly matter of taste

  

upstream

touching upstream version, build or feed patches

No Label

RFC

RFT

WIP

blocked

bsp

bug

build/scripts/tools

duplicate

feature

fixed

layer3

mantis

more details required

needs changes

node

packages/fff

rejected

security

trivial

upstream

Milestone

Clear milestone

No items

No Milestone

20240401-beta

Assignees

Clear assignees

No Assignees

2 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: freifunk-franken/firmware#314

No description provided.