freifunk-franken
/
firmware
9
7
Fork 13
Code Issues 48 Pull Requests 7 Releases 17 Wiki Activity

Updatefeste, nutzerkonfigurierbare nftables config #314

New Issue
Closed
opened 2024-02-29 20:48:55 +01:00 by fbl · 2 comments
fbl commented 2024-02-29 20:48:55 +01:00
Owner
Copy Link

Wird ein Freifunk-Router für das Heimnetz verwendet, möchte man dafür häufig eine Firewall konfigurieren. Mit #284 ist es nun möglich für das Client-Interface eine stateful Firewall zu aktivieren. Dann kann allerdings kein einziges Gerät mehr von außen erreicht werden.

Die einfachste Variante eine sehr flexible Firewall für den Nutzer zu ermöglichen wäre eine updatefeste Datei, die nftables Regeln enthält und automatisch geladen wird. Bei updates auf ggf. geänderte Interfacenamen oder Portkonfigurationen etc. zu achten wäre dann Aufgabe des Nutzers. Dies sollte dann in der Datei auch entsprechend deutlich kommentiert sein. Die Entwickler sollte bei derartigen Änderungen einen deutlichen Hinweis in die Changelogs schreiben.

Wird ein Freifunk-Router für das Heimnetz verwendet, möchte man dafür häufig eine Firewall konfigurieren. Mit #284 ist es nun möglich für das Client-Interface eine stateful Firewall zu aktivieren. Dann kann allerdings kein einziges Gerät mehr von außen erreicht werden. Die einfachste Variante eine sehr flexible Firewall für den Nutzer zu ermöglichen wäre eine updatefeste Datei, die nftables Regeln enthält und automatisch geladen wird. Bei updates auf ggf. geänderte Interfacenamen oder Portkonfigurationen etc. zu achten wäre dann Aufgabe des Nutzers. Dies sollte dann in der Datei auch entsprechend deutlich kommentiert sein. Die Entwickler sollte bei derartigen Änderungen einen deutlichen Hinweis in die Changelogs schreiben.
fbl added this to the next-feature milestone 2024-02-29 20:48:55 +01:00
fbl added the
feature
layer3
 labels 2024-02-29 20:48:55 +01:00
jkimmel commented 2024-02-29 20:59:36 +01:00
Owner
Copy Link

So als Notiz, mit

ip6 daddr & ::ffff:ffff:ffff:ffff == { 
    ::hostanteil1,
    ::hostanteil2,
    ...
} accept

lassen sich unabhängig vom prefix hosts freigeben.

So als Notiz, mit ```nftables ip6 daddr & ::ffff:ffff:ffff:ffff == { ::hostanteil1, ::hostanteil2, ... } accept ``` lassen sich unabhängig vom prefix hosts freigeben.
👍 1
jkimmel reopened this issue 2024-02-29 20:59:38 +01:00
fbl commented 2024-02-29 21:52:29 +01:00
Author
Owner
Copy Link

Langfristig könnte man auch noch mal überlegen ob man einfache portfreigaben über gateway-config und webui zugänglich macht. Aber so wie oben beschrieben wäre es halt maximal flexibel mit überschaubarem Aufwand für den Nutzer beim Update.

Langfristig könnte man auch noch mal überlegen ob man einfache portfreigaben über gateway-config und webui zugänglich macht. Aber so wie oben beschrieben wäre es halt maximal flexibel mit überschaubarem Aufwand für den Nutzer beim Update.
fbl closed this issue 2024-03-21 21:58:04 +01:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
master
0.5.x
20240401
20240401-beta
20240119-beta
20230330
20230321-beta
20160213-beta
20221201
20221019
20220814
20220413
20220405-beta
20211224
20211220
20211201-beta
20210226
20210218
20210211-beta
20200501
20200423-beta
20200118
20191224
20191214-beta
20191130-alpha
20191123-alpha
20181202
20181128-beta
20180802
20180802-beta
20180726-beta
20180304-alpha
20180303-alpha
20170918
20170918-beta
20170218-alpha
20170110
20170110-beta
20161105-beta
20161008-beta
20160506
20160506-beta
20160310
0.5.2
0.5.2-b2
0.5.2-b1
0.5.1
0.5.1-b2
0.5.1-b1
0.5.0
0.5.0-b1
0.4.3
0.4.2
0.4.1
0.4.0ol
0.4.0f
0.4.0rc5f
0.4.0rc4ol
0.4.0rc4f
0.4.0rc3f
0.4.0rc2f
0.3.999f
0.3.999
0.3.998
0.3.99
0.3
0.2.1
0.2
0.1
Labels
Clear labels   
RFC

   
RFT

   
WIP

   
blocked

   
bsp

touching bsp files or adding devices

  
bug

Something is not working

  
build/scripts/tools

touching buildscript or other tools

  
duplicate

This issue or pull request already exists

  
feature

New feature

  
fixed

Issue that got resolved

  
layer3

only for layer3 FW

  
mantis

Imported from mantis

  
more details required

Reported information is insufficient to debug the issue

  
needs changes

   
node

only for node FW

  
packages/fff

touching our packages

  
rejected

Rejected or won't fix

  
security

   
trivial

simple non-functional changes that are mostly matter of taste

  
upstream

touching upstream version, build or feed patches

No Label
RFC
RFT
WIP
blocked
bsp
bug
build/scripts/tools
duplicate
feature
fixed
layer3
mantis
more details required
needs changes
node
packages/fff
rejected
security
trivial
upstream
Milestone
Clear milestone
No items
No Milestone
next-feature
Assignees
Clear assignees
No Assignees
2 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: freifunk-franken/firmware#314
No description provided.
Delete Branch "%!s(<nil>)"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?