View Issue Details
| ID | Project | Category | View Status | Date Submitted | Last Update |
|---|---|---|---|---|---|
| 0000103 | Freifunk Franken Firmware | General | public | 2018-06-22 08:56 | 2020-05-01 20:27 |
| Reporter | ChristianD | Assigned To | |||
| Priority | normal | Severity | minor | Reproducibility | N/A |
| Status | new | Resolution | open | ||
| Product Version | 20180726-beta | ||||
| Target Version | next-feature | ||||
| Summary | 0000103: Firewallregeln werden nach configurenetwork nicht applied, erst nach neustart | ||||
| Description | Ich hab eine CPE210 frisch mit der aktuellen 20180304-alpha geflasht. Danach war ich verwundert, das ich über den eth0 Port (der erste Port, der auch PoE In hat) per SSH und fe80 drauf komme, eigentlich sollte der Port WAN sein (ist er auch, siehe Anhang) und da die Firewall greifen. https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/20-filter-ssh Zeile 2 & 3 https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/etc/init.d/fff-firewall $IF_WAN wird richtig gefunden: root@LEDE:/usr/lib/firewall.d# uci get network.wan.ifname eth0.2 spannenderweise wird aber anscheinend der iptables Eintrag auf eth1 gelegt: root@LEDE:/usr/lib/firewall.d# iptables --list -v Chain INPUT (policy ACCEPT 53 packets, 5576 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- eth1 any anywhere anywhere ctstate RELATED,ESTABLISHED 0 0 REJECT all -- eth1 any anywhere anywhere reject-with icmp-port-unreachable warum das passiert, kann ich aktuell aber nicht sagen. Meine Vermutung geht in Richtung Umbau der configurenetwork das da was schief läuft. | ||||
| Tags | No tags attached. | ||||
| Attached Files | wan.txt (534 bytes)
root@LEDE:/usr/lib/firewall.d# swconfig dev switch0 show Global attributes: enable_vlan: 1 Port 0: pvid: 0 link: port:0 link:up speed:1000baseT full-duplex txflow rxflow Port 1: pvid: 0 link: port:1 link:down Port 2: pvid: 0 link: port:2 link:down Port 3: pvid: 0 link: port:3 link:down Port 4: pvid: 3 link: port:4 link:down Port 5: pvid: 2 link: port:5 link:up speed:100baseT full-duplex auto VLAN 0: vid: 0 ports: 0t 1 2 3 VLAN 1: vid: 1 ports: 0t VLAN 2: vid: 2 ports: 0t 5 VLAN 3: vid: 3 ports: 0t 4 | ||||
| related to | 0000138 | new | l3-20200423 inkosisten per WAN Port erreichbar |
|
|
Scheint random zu sein. Meine CPE210 (allerdings Modus BATMAN) zeigt das richtige Interface an: -A INPUT -i eth0.2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth0.2 -j REJECT --reject-with icmp-port-unreachable Dafür sind bei mir 2 von 4 WR1043v5 falsch auf eth1 (alle vier Uplink-Router). Kann keinen Unterschied zwischen den Varianten erkennen. Die eine AC-Mesh mit Modus WAN ist korrekt auf eth0, meine anderen mit BATMAN sind eth1. Jeweils ein getester 1043v3, 3600, 4300 und 841v11 waren korrekt. (Alles getestet mit meiner Firmware. Dies sollte aber nur auf die One-Ports einen Einfluss haben) |
|
|
Warum wird überhaupt SSH auf dem Waninterface blockiert? |
|
|
Ich glaube, aus "Sicherheitsgründen" sollte man aus dem LAN, das der Router quasi nur benutzt, nicht auf den Router kommen können, sondern nur aus dem FF-Netz. |
|
|
Als Kommentar steht im File: # If an router has a direct internet connection simple attack act as DOS attack |
|
|
Mhm. Will man das für so einen Randfall wirklich fest in der Firmware haben? Oder zumindest irgendwo dokumentieren? Ich glaube da hab ich mir vor langer Zeit mal die Zähne dran ausgebissen, weil ich nicht verstanden hab, warum ich nicht von außen auf den Router komme. |
|
|
Das Problem mit dem eth1 ist vermutlich, dass fff-firewall beim ersten Start vor fff-network läuft und daher die Interfaces noch nicht passen. Die CPE210 auf St. Markus, die erst vor kurzem aktualisiert und nach dem ersten Start nie mehr rebootet habe, hatten eth1 in den iptables stehen. Nach einem Reboot war dann alles in Ordnung, die Firewall hat jetzt eth0.2 bei den entsprechenden rules stehen. Testen ob es funktioniert kann ich dort aber leider nicht und habe auch keine CPE210 mehr zur Verfügung. Auf einem 901nd-v2 sieht das übrigens ganz genauso aus. |
|
|
Da muss sich wahrscheinlich Tim zu äußern, das ist alles uralt. |
|
|
Der SSH Filter war nötig, weil früher mal DIR300'er direkt an Kabel-Modems betrieben wurde. Da kam es dann natürlich zu Bruteforce-Attacken. Gar nicht mal mir einer hohe Bandbreite, aber die Kiste war dann trotzdem sofort abgestürzt. <ironie>Natürlich haben wir heute mit dem 841 eine super mega geile schnelle und performante Hardware, daher ist das alles wohl nicht mehr nötig.</ironie> Tatsächlich müsste man das ganze aber mal auf IPv6 erweitern. |
|
|
Habe das von Fabian beschriebene Verhalten der CPE210v1 bei mir nachstellen können: Nach dem sysupgrade eth1, nach einem reboot eth0.2 |
|
|
Macht es Sinn, einfach fff-firewall nach fff-network zu starten (damit die richtigen Interfaces vorhanden sind) oder stellt die kurze Pause dann ggf. eine Sicherheitslücke dar? |
|
|
Das betrifft alle Boards, die nicht eth1 als WANDEV haben. eth1 steht erstmal drin, bis configurenetwork das ändert und das passiert erst nach init. Da es doch vorkommen kann, dass nach dem Flashen länger kein reboot gemacht wird, sollte man das abstellen. Ein start der Firewall nach der Konfiguration sollte helfen. Ich w"urde den frühen Start über init trotzdem drin lassen. |
| Date Modified | Username | Field | Change |
|---|---|---|---|
| 2018-06-22 08:56 | ChristianD | New Issue | |
| 2018-06-22 08:56 | ChristianD | File Added: wan.txt | |
| 2018-06-22 10:55 | Adrian Schmutzler | Note Added: 0000276 | |
| 2018-06-22 10:56 | Adrian Schmutzler | Note Edited: 0000276 | |
| 2018-07-25 14:23 | reddog | Target Version | => 20180726-beta |
| 2018-07-27 11:02 | reddog | Target Version | 20180726-beta => next-stable |
| 2018-07-27 11:03 | reddog | Product Version | => 20180726-beta |
| 2018-08-01 15:49 | fbl | Note Added: 0000287 | |
| 2018-08-01 16:14 | Adrian Schmutzler | Note Added: 0000288 | |
| 2018-08-01 16:21 | Adrian Schmutzler | Note Added: 0000289 | |
| 2018-08-02 11:19 | fbl | Note Added: 0000290 | |
| 2018-08-02 11:28 | fbl | Note Added: 0000291 | |
| 2018-08-02 11:45 | fbl | Note Edited: 0000291 | |
| 2018-08-02 12:09 | Adrian Schmutzler | Note Added: 0000292 | |
| 2018-08-04 07:39 | reddog | Note Added: 0000294 | |
| 2018-08-06 13:06 | Adrian Schmutzler | Note Added: 0000296 | |
| 2018-08-13 22:56 | Adrian Schmutzler | Note Added: 0000301 | |
| 2018-08-15 01:14 | rola | Note Added: 0000302 | |
| 2019-10-02 12:46 | fbl | Category | Freifunk Franken Firmware => General |
| 2019-10-02 12:48 | fbl | Category | General => General2 |
| 2019-10-02 12:49 | fbl | Category | General2 => General |
| 2019-11-21 21:51 | fbl | Target Version | next-stable => next-feature |
| 2020-04-25 12:56 | fbl | Relationship added | related to 0000138 |
| 2020-05-01 20:27 | fbl | Summary | Firewall funktioniert auf CPE210 nicht richtig => Firewallregeln werden nach configurenetwork nicht applied, erst nach neustart |
