[Freifunk_info] ebtables || iptables
Hey, was muss ich tun, damit im batctl tl mein TP-LINK SG108E Easy Managed Switch nicht mehr auftaucht? Simon hatte irgendwann mal mit ebtables bei GK rumgespielt, nur leider ist der Knoten nicht mehr existent zum nachschauen…. Hat jemand eine Idee, wie ich die MAC aus dem br-client IFace rausbekomme? Sonst habe ich immer einen Client als dauerhaft verbunden… Habe jetzt schon mit div. Versuchen probiert, aber nach jedem Neustart ist meine ebtables config weg… Grüße Gesendet von Mail für Windows 10
Hi, Ich weiß nicht, ob dir jemand schon an der Liste vorbei geantwortet hat, aber du musst die Einstellungen von (eb|ip)tables: 1. mit (eb|ip)tables-save >/pfad/zu/einer/datei speichern 2. wenn ein if "up" kommt musst du das wieder mit (eb|ip)tables-restore </pfad/zu/einer/datei laden. Bsp für Debian (und Verwandte): iface eth0 inet static address 192.168.178.100 netmask 255.255.255.0 broadcast 192.168.178.255 gateway 192.168.178.1 up /sbin/iptables-restore </etc/firewall.rules Denk daran, dass du die Datei neu speichern musst, wenn du an den Tables was änderst. Es gibt Leute, die nehmen das -save mit in ein "down" des If's rein, das ist aber nicht 100% sicher, da das If bei einem Crash oder Stromausfall nicht down geht. Außerdem solltest du das "up" an jedem If anbringen, da Regeln mit nicht vorhandenem If nicht geladen werden, und somit nicht vorhanden sind, wenn das If später doch erscheint. Du kannst auch ein script nach /etc/network/if-up.d/ schmeißen, dass bei jedem "up" eines If's ausgeführt wird, und die Regeln neu lädt. Tip: Editier die Datei und stelle alle Counter auf "0", sonst werden die auch wieder hergestellt. (Disclaimer: Ich habe bis jetzt kein ebtables verwendet. Bin mir da also nicht ganz sicher, sollte aber vermutlich ähnlich gehen.) MfG Jörg Am 09/30/2017 um 11:29 PM schrieb Enrico M. via Freifunk_info:
Hey,
was muss ich tun, damit im
batctl tl
mein TP-LINK SG108E Easy Managed Switch nicht mehr auftaucht?
Simon hatte irgendwann mal mit ebtables bei GK rumgespielt, nur leider ist der Knoten nicht mehr existent zum nachschauen….
Hat jemand eine Idee, wie ich die MAC aus dem br-client IFace rausbekomme? Sonst habe ich immer einen Client als dauerhaft verbunden…
Habe jetzt schon mit div. Versuchen probiert, aber nach jedem Neustart ist meine ebtables config weg…
Grüße
Gesendet von Mail <https://go.microsoft.com/fwlink/?LinkId=550986> für Windows 10
_______________________________________________ Freifunk_info mailing list Freifunk_info@freifunk-vogtland.net http://mx.hateotu.de:8025/mailman/listinfo/freifunk_info
Danke dir, bin mir aber noch immer nicht im klaren, ob ich für die sperre einer MAC Input, Forward oder irgend eine andere Liste nehmen soll. In der aktuellsten Experimental Firmware ist das Problem nicht mehr. Anscheinend hat Sven da was gemacht. Grüße Enno Von meinem iPhone gesendet
Am 04.10.2017 um 16:43 schrieb Jörg Bender via Freifunk_info <freifunk_info@freifunk-vogtland.net>:
Hi, Ich weiß nicht, ob dir jemand schon an der Liste vorbei geantwortet hat, aber du musst die Einstellungen von (eb|ip)tables: 1. mit (eb|ip)tables-save >/pfad/zu/einer/datei speichern 2. wenn ein if "up" kommt musst du das wieder mit (eb|ip)tables-restore </pfad/zu/einer/datei laden.
Bsp für Debian (und Verwandte): iface eth0 inet static address 192.168.178.100 netmask 255.255.255.0 broadcast 192.168.178.255 gateway 192.168.178.1 up /sbin/iptables-restore </etc/firewall.rules
Denk daran, dass du die Datei neu speichern musst, wenn du an den Tables was änderst. Es gibt Leute, die nehmen das -save mit in ein "down" des If's rein, das ist aber nicht 100% sicher, da das If bei einem Crash oder Stromausfall nicht down geht. Außerdem solltest du das "up" an jedem If anbringen, da Regeln mit nicht vorhandenem If nicht geladen werden, und somit nicht vorhanden sind, wenn das If später doch erscheint.
Du kannst auch ein script nach /etc/network/if-up.d/ schmeißen, dass bei jedem "up" eines If's ausgeführt wird, und die Regeln neu lädt.
Tip: Editier die Datei und stelle alle Counter auf "0", sonst werden die auch wieder hergestellt.
(Disclaimer: Ich habe bis jetzt kein ebtables verwendet. Bin mir da also nicht ganz sicher, sollte aber vermutlich ähnlich gehen.) MfG Jörg
Am 09/30/2017 um 11:29 PM schrieb Enrico M. via Freifunk_info: Hey,
was muss ich tun, damit im
batctl tl
mein TP-LINK SG108E Easy Managed Switch nicht mehr auftaucht?
Simon hatte irgendwann mal mit ebtables bei GK rumgespielt, nur leider ist der Knoten nicht mehr existent zum nachschauen….
Hat jemand eine Idee, wie ich die MAC aus dem br-client IFace rausbekomme? Sonst habe ich immer einen Client als dauerhaft verbunden…
Habe jetzt schon mit div. Versuchen probiert, aber nach jedem Neustart ist meine ebtables config weg…
Grüße
Gesendet von Mail <https://go.microsoft.com/fwlink/?LinkId=550986> für Windows 10
_______________________________________________ Freifunk_info mailing list Freifunk_info@freifunk-vogtland.net http://mx.hateotu.de:8025/mailman/listinfo/freifunk_info
_______________________________________________ Freifunk_info mailing list Freifunk_info@freifunk-vogtland.net http://mx.hateotu.de:8025/mailman/listinfo/freifunk_info
Hi, Vielleicht hilft dir diese kleine übersichtliche Diagramm:
https://commons.wikimedia.org/wiki/File:Netfilter-packet-flow.svg Das ganze ist natürlich nur gültig, wenn du keine eigenen Tables als Jumpziele verwendest. (BTW: Weiß jemand ob iptables turingvollständig ist?)
Tip: Filter immer möglichst weit links unten, um den möglichst wenig resourcen zu verbrauchen. Am 10/04/2017 um 05:00 PM schrieb Enrico M.:
Danke dir, bin mir aber noch immer nicht im klaren, ob ich für die sperre einer MAC Input, Forward oder irgend eine andere Liste nehmen soll. In der aktuellsten Experimental Firmware ist das Problem nicht mehr. Anscheinend hat Sven da was gemacht.
Grüße Enno
Von meinem iPhone gesendet
Am 04.10.2017 um 16:43 schrieb Jörg Bender via Freifunk_info <freifunk_info@freifunk-vogtland.net>:
Hi, Ich weiß nicht, ob dir jemand schon an der Liste vorbei geantwortet hat, aber du musst die Einstellungen von (eb|ip)tables: 1. mit (eb|ip)tables-save >/pfad/zu/einer/datei speichern 2. wenn ein if "up" kommt musst du das wieder mit (eb|ip)tables-restore </pfad/zu/einer/datei laden.
Bsp für Debian (und Verwandte): iface eth0 inet static address 192.168.178.100 netmask 255.255.255.0 broadcast 192.168.178.255 gateway 192.168.178.1 up /sbin/iptables-restore </etc/firewall.rules
Denk daran, dass du die Datei neu speichern musst, wenn du an den Tables was änderst. Es gibt Leute, die nehmen das -save mit in ein "down" des If's rein, das ist aber nicht 100% sicher, da das If bei einem Crash oder Stromausfall nicht down geht. Außerdem solltest du das "up" an jedem If anbringen, da Regeln mit nicht vorhandenem If nicht geladen werden, und somit nicht vorhanden sind, wenn das If später doch erscheint.
Du kannst auch ein script nach /etc/network/if-up.d/ schmeißen, dass bei jedem "up" eines If's ausgeführt wird, und die Regeln neu lädt.
Tip: Editier die Datei und stelle alle Counter auf "0", sonst werden die auch wieder hergestellt.
(Disclaimer: Ich habe bis jetzt kein ebtables verwendet. Bin mir da also nicht ganz sicher, sollte aber vermutlich ähnlich gehen.) MfG Jörg
Am 09/30/2017 um 11:29 PM schrieb Enrico M. via Freifunk_info: Hey,
was muss ich tun, damit im
batctl tl
mein TP-LINK SG108E Easy Managed Switch nicht mehr auftaucht?
Simon hatte irgendwann mal mit ebtables bei GK rumgespielt, nur leider ist der Knoten nicht mehr existent zum nachschauen….
Hat jemand eine Idee, wie ich die MAC aus dem br-client IFace rausbekomme? Sonst habe ich immer einen Client als dauerhaft verbunden…
Habe jetzt schon mit div. Versuchen probiert, aber nach jedem Neustart ist meine ebtables config weg…
Grüße
Gesendet von Mail <https://go.microsoft.com/fwlink/?LinkId=550986> für Windows 10
_______________________________________________ Freifunk_info mailing list Freifunk_info@freifunk-vogtland.net http://mx.hateotu.de:8025/mailman/listinfo/freifunk_info
_______________________________________________ Freifunk_info mailing list Freifunk_info@freifunk-vogtland.net http://mx.hateotu.de:8025/mailman/listinfo/freifunk_info
On Mittwoch, 4. Oktober 2017 17:00:54 CEST Enrico M. via Freifunk_info wrote:
Danke dir, bin mir aber noch immer nicht im klaren, ob ich für die sperre einer MAC Input, Forward oder irgend eine andere Liste nehmen soll. In der aktuellsten Experimental Firmware ist das Problem nicht mehr. Anscheinend hat Sven da was gemacht.
Leider muss ich hier kurz darauf hinweisen, dass die vorhergehenden Informationen zur Integration von Jörg Bender gut gemeint, aber leider im Zusammenhang mit OpenWrt/LEDE bzw. Gluon falsch sind. Die Beispiele von ihm braeuchten 1. ifupdown (wird bei LEDE durch netifd ersetzt) 2. ebtables-restore (haben wir nicht auf LEDE) Fuer ein Standard-Debian koennen diese aber genutzt werden. Die Informationen sind also nur im falschen Kontext, aber nicht grundsaetzlich falsch. Nun zur eigentlichen Frage: ebtables hat bei gluon keinen State der zwischen Neustarts erhalten bleibt. Aber man kann sich Skripte schreiben, die das neu laden. Dafuer bietet gluon den Ordner /lib/gluon/ebtables an. Ein Beispiel fuer sowas waere das Paket https://github.com/FreifunkVogtland/gluon/tree/v2017.1.x-hwtest/package/gluo... Das genannte Paket ist uebrigens auch das was jetzt bei der L2TP-Testfirmware den Unterschied bei dir machen sollte. Allgemein zur Problemstellung: So wie ich es verstanden habe, hast du einen Switch am "Client-Ethernet"-Port des Geraets. Der sendet ab und zu Nachrichten und sieht daher fuer batman-adv wie ein Client aus. Intern auf dem AP sieht es wie folgt von der Bridge- Konfiguration: bridge name bridge id STP enabled interfaces br-client 7fff.ac8674001040 no eth0 local-port bat0 Du moechtest jetzt verhindern, dass Pakete von Switch von eth0 nach bat0 geschickt werden. So verhinderst du, dass batman-adv von diesem Client erfaehrt. Daher musst du die Regel dafuer in die FORWARD-Chain hauen. Gruesse, Sven
participants (3)
-
Enrico M. -
Jörg Bender -
Sven Eckelmann