Firewallregeln werden nach configurenetwork nicht applied, erst nach neustart #46

New Issue

mantis-bot · 2021-01-05T14:01:51+01:00

mantis-bot commented

2021-01-05 14:01:51 +01:00

Ich hab eine CPE210 frisch mit der aktuellen 20180304-alpha geflasht.
Danach war ich verwundert, das ich über den eth0 Port (der erste Port, der auch PoE In hat) per SSH und fe80 drauf komme, eigentlich sollte der Port WAN sein (ist er auch, siehe Anhang) und da die Firewall greifen.

https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/20-filter-ssh Zeile 2 & 3
https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/etc/init.d/fff-firewall $IF_WAN wird richtig gefunden:

root@LEDE:/usr/lib/firewall.d# uci get network.wan.ifname
eth0.2

spannenderweise wird aber anscheinend der iptables Eintrag auf eth1 gelegt:

root@LEDE:/usr/lib/firewall.d# iptables --list -v
Chain INPUT (policy ACCEPT 53 packets, 5576 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- eth1 any anywhere anywhere ctstate RELATED,ESTABLISHED
0 0 REJECT all -- eth1 any anywhere anywhere reject-with icmp-port-unreachable

warum das passiert, kann ich aktuell aber nicht sagen. Meine Vermutung geht in Richtung Umbau der configurenetwork das da was schief läuft.

Reported by: ChristianD
Submitted on: 2018-06-22
Imported from: https://mantis.freifunk-franken.de/view.php?id=0000103

Ich hab eine CPE210 frisch mit der aktuellen 20180304-alpha geflasht. Danach war ich verwundert, das ich über den eth0 Port (der erste Port, der auch PoE In hat) per SSH und fe80 drauf komme, eigentlich sollte der Port WAN sein (ist er auch, siehe Anhang) und da die Firewall greifen. https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/20-filter-ssh Zeile 2 & 3 https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/etc/init.d/fff-firewall $IF_WAN wird richtig gefunden: root@LEDE:/usr/lib/firewall.d# uci get network.wan.ifname eth0.2 spannenderweise wird aber anscheinend der iptables Eintrag auf eth1 gelegt: root@LEDE:/usr/lib/firewall.d# iptables --list -v Chain INPUT (policy ACCEPT 53 packets, 5576 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth1 any anywhere anywhere ctstate RELATED,ESTABLISHED 0 0 REJECT all -- eth1 any anywhere anywhere reject-with icmp-port-unreachable warum das passiert, kann ich aktuell aber nicht sagen. Meine Vermutung geht in Richtung Umbau der configurenetwork das da was schief läuft. Reported by: ChristianD Submitted on: 2018-06-22 Imported from: https://mantis.freifunk-franken.de/view.php?id=0000103

fbl added the

mantis

label 2021-01-05 14:24:23 +01:00

fbl added the

bug

security

labels 2021-01-05 15:59:40 +01:00

fbl added this to the 20210211-beta milestone 2021-01-05 15:59:47 +01:00

fbl commented

2021-01-27 11:32:49 +01:00

Es gab für dieses Problem schon einen Lösungsansatz, den ich allerdings nicht vollumfänglich verstehe: https://pw.freifunk-franken.de/patch/1101/

fbl referenced a pull request that will close this issue