View Issue Details

IDProjectCategoryView StatusLast Update
0000103Freifunk Franken FirmwareGeneralpublic2020-05-01 20:27
ReporterChristianD Assigned To 
PrioritynormalSeverityminorReproducibilityN/A
Status newResolutionopen 
Product Version20180726-beta 
Target Versionnext-feature 
Summary0000103: Firewallregeln werden nach configurenetwork nicht applied, erst nach neustart
DescriptionIch hab eine CPE210 frisch mit der aktuellen 20180304-alpha geflasht.
Danach war ich verwundert, das ich über den eth0 Port (der erste Port, der auch PoE In hat) per SSH und fe80 drauf komme, eigentlich sollte der Port WAN sein (ist er auch, siehe Anhang) und da die Firewall greifen.

https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/usr/lib/firewall.d/20-filter-ssh Zeile 2 & 3
https://github.com/FreifunkFranken/firmware/blob/master/src/packages/fff/fff-firewall/files/etc/init.d/fff-firewall $IF_WAN wird richtig gefunden:

root@LEDE:/usr/lib/firewall.d# uci get network.wan.ifname
eth0.2

spannenderweise wird aber anscheinend der iptables Eintrag auf eth1 gelegt:

root@LEDE:/usr/lib/firewall.d# iptables --list -v
Chain INPUT (policy ACCEPT 53 packets, 5576 bytes)
 pkts bytes target prot opt in out source destination
    0 0 ACCEPT all -- eth1 any anywhere anywhere ctstate RELATED,ESTABLISHED
    0 0 REJECT all -- eth1 any anywhere anywhere reject-with icmp-port-unreachable

warum das passiert, kann ich aktuell aber nicht sagen. Meine Vermutung geht in Richtung Umbau der configurenetwork das da was schief läuft.
TagsNo tags attached.

Relationships

related to 0000138 new l3-20200423 inkosisten per WAN Port erreichbar 

Activities

ChristianD

2018-06-22 08:56

manager  

wan.txt (534 bytes)   
root@LEDE:/usr/lib/firewall.d# swconfig dev switch0 show
Global attributes:
	enable_vlan: 1
Port 0:
	pvid: 0
	link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
	pvid: 0
	link: port:1 link:down
Port 2:
	pvid: 0
	link: port:2 link:down
Port 3:
	pvid: 0
	link: port:3 link:down
Port 4:
	pvid: 3
	link: port:4 link:down
Port 5:
	pvid: 2
	link: port:5 link:up speed:100baseT full-duplex auto
VLAN 0:
	vid: 0
	ports: 0t 1 2 3 
VLAN 1:
	vid: 1
	ports: 0t 
VLAN 2:
	vid: 2
	ports: 0t 5 
VLAN 3:
	vid: 3
	ports: 0t 4 



wan.txt (534 bytes)   

Adrian Schmutzler

2018-06-22 10:55

manager   ~0000276

Last edited: 2018-06-22 10:56

View 2 revisions

Scheint random zu sein. Meine CPE210 (allerdings Modus BATMAN) zeigt das richtige Interface an:
-A INPUT -i eth0.2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0.2 -j REJECT --reject-with icmp-port-unreachable

Dafür sind bei mir 2 von 4 WR1043v5 falsch auf eth1 (alle vier Uplink-Router). Kann keinen Unterschied zwischen den Varianten erkennen.

Die eine AC-Mesh mit Modus WAN ist korrekt auf eth0, meine anderen mit BATMAN sind eth1.

Jeweils ein getester 1043v3, 3600, 4300 und 841v11 waren korrekt.

(Alles getestet mit meiner Firmware. Dies sollte aber nur auf die One-Ports einen Einfluss haben)

fbl

2018-08-01 15:49

administrator   ~0000287

Warum wird überhaupt SSH auf dem Waninterface blockiert?

Adrian Schmutzler

2018-08-01 16:14

manager   ~0000288

Ich glaube, aus "Sicherheitsgründen" sollte man aus dem LAN, das der Router quasi nur benutzt, nicht auf den Router kommen können, sondern nur aus dem FF-Netz.

Adrian Schmutzler

2018-08-01 16:21

manager   ~0000289

Als Kommentar steht im File:
# If an router has a direct internet connection simple attack act as DOS attack

fbl

2018-08-02 11:19

administrator   ~0000290

Mhm.
Will man das für so einen Randfall wirklich fest in der Firmware haben? Oder zumindest irgendwo dokumentieren?
Ich glaube da hab ich mir vor langer Zeit mal die Zähne dran ausgebissen, weil ich nicht verstanden hab, warum ich nicht von außen auf den Router komme.

fbl

2018-08-02 11:28

administrator   ~0000291

Last edited: 2018-08-02 11:45

View 2 revisions

Das Problem mit dem eth1 ist vermutlich, dass fff-firewall beim ersten Start vor fff-network läuft und daher die Interfaces noch nicht passen.
Die CPE210 auf St. Markus, die erst vor kurzem aktualisiert und nach dem ersten Start nie mehr rebootet habe, hatten eth1 in den iptables stehen. Nach einem Reboot war dann alles in Ordnung, die Firewall hat jetzt eth0.2 bei den entsprechenden rules stehen.

Testen ob es funktioniert kann ich dort aber leider nicht und habe auch keine CPE210 mehr zur Verfügung.

Auf einem 901nd-v2 sieht das übrigens ganz genauso aus.

Adrian Schmutzler

2018-08-02 12:09

manager   ~0000292

Da muss sich wahrscheinlich Tim zu äußern, das ist alles uralt.

reddog

2018-08-04 07:39

manager   ~0000294

Der SSH Filter war nötig, weil früher mal DIR300'er direkt an Kabel-Modems betrieben wurde. Da kam es dann natürlich zu Bruteforce-Attacken. Gar nicht mal mir einer hohe Bandbreite, aber die Kiste war dann trotzdem sofort abgestürzt.

<ironie>Natürlich haben wir heute mit dem 841 eine super mega geile schnelle und performante Hardware, daher ist das alles wohl nicht mehr nötig.</ironie>

Tatsächlich müsste man das ganze aber mal auf IPv6 erweitern.

Adrian Schmutzler

2018-08-06 13:06

manager   ~0000296

Habe das von Fabian beschriebene Verhalten der CPE210v1 bei mir nachstellen können:
Nach dem sysupgrade eth1, nach einem reboot eth0.2

Adrian Schmutzler

2018-08-13 22:56

manager   ~0000301

Macht es Sinn, einfach fff-firewall nach fff-network zu starten (damit die richtigen Interfaces vorhanden sind) oder stellt die kurze Pause dann ggf. eine Sicherheitslücke dar?

rola

2018-08-15 01:14

reporter   ~0000302

Das betrifft alle Boards, die nicht eth1 als WANDEV haben. eth1 steht erstmal drin, bis configurenetwork das ändert und das passiert erst nach init. Da es doch vorkommen kann, dass nach dem Flashen länger kein reboot gemacht wird, sollte man das abstellen. Ein start der Firewall nach der Konfiguration sollte helfen. Ich w"urde den frühen Start über init trotzdem drin lassen.

Issue History

Date Modified Username Field Change
2018-06-22 08:56 ChristianD New Issue
2018-06-22 08:56 ChristianD File Added: wan.txt
2018-06-22 10:55 Adrian Schmutzler Note Added: 0000276
2018-06-22 10:56 Adrian Schmutzler Note Edited: 0000276 View Revisions
2018-07-25 14:23 reddog Target Version => 20180726-beta
2018-07-27 11:02 reddog Target Version 20180726-beta => next-stable
2018-07-27 11:03 reddog Product Version => 20180726-beta
2018-08-01 15:49 fbl Note Added: 0000287
2018-08-01 16:14 Adrian Schmutzler Note Added: 0000288
2018-08-01 16:21 Adrian Schmutzler Note Added: 0000289
2018-08-02 11:19 fbl Note Added: 0000290
2018-08-02 11:28 fbl Note Added: 0000291
2018-08-02 11:45 fbl Note Edited: 0000291 View Revisions
2018-08-02 12:09 Adrian Schmutzler Note Added: 0000292
2018-08-04 07:39 reddog Note Added: 0000294
2018-08-06 13:06 Adrian Schmutzler Note Added: 0000296
2018-08-13 22:56 Adrian Schmutzler Note Added: 0000301
2018-08-15 01:14 rola Note Added: 0000302
2019-10-02 12:46 fbl Category Freifunk Franken Firmware => General
2019-10-02 12:48 fbl Category General => General2
2019-10-02 12:49 fbl Category General2 => General
2019-11-21 21:51 fbl Target Version next-stable => next-feature
2020-04-25 12:56 fbl Relationship added related to 0000138
2020-05-01 20:27 fbl Summary Firewall funktioniert auf CPE210 nicht richtig => Firewallregeln werden nach configurenetwork nicht applied, erst nach neustart