[freifunk-public] FF-Firewall - was tut die, wie und warum?

[Ralf Jung]

Hallo Sebastian,

ich vermute mal, du redest hier von der Firewall auf den Knoten.  Die kommt von
Gluon, und was genau da alles passiert weiß ich auch nicht.  Die Knoten haben
ein ziemlich kompliziertes iptables-Setup, das (mindestens) zwei verschiedene
Dinge tut:

1. Der Knoten hat nicht nur 1mal Internet wie ein normaler Rechner, sondern
2mal: einmal über den WAN-Port, und einmal über den VPN-Tunnel und das
Freifunk-Mesh.  Das muss sauber voneinander getrennt werden (privates WLAN in
das eine Netz, Freifunk-Clients in das andere, usw), und wie genau das passiert
kann ich nur als schwarze Magie beschreiben.  Ich weiß, wie wir das auf unseren
Gateways machen, aber ob Gluon dieselben Techniken einsetzt oder andere, weiß
ich nicht. So tief bin ich bei Gluon nie in die Kellergeschosse vorgedrungen. ;)
2. Außerdem filtert der Knoten den Traffic im Freifunk-Mesh, und zwar werden
alles nicht-essentiellen Broadcast-Pakete verworfen.  Das ist notwendig, weil
aufgrund des Meshes das ganze Saarland eine einzige Layer-2-Domäne ist, d.h.
jeder Broadcast geht an *alle Clients an allen Knoten im Saarland*. Ohne diesen
Filter würde das Netz in Broadcast-Traffic ertrinken.

Diese Dinge werden beide über ähnliche Mechanismen erreicht, man kann daher
nicht unbedingt sagen, wo "die Firewall" aufhört und "das Routing/VPN" anfängt.

Was genau da ausgeschaltet wird, wenn du "die Firewall ausschaltest", weiß ich
auch nicht -- den ersten Punkt oben kann man gar nicht ausschalten ohne den
Knoten lahmzulegen, also hast du vermutlich nur Punkt zwei abgeschaltet.  Und
die Broadcast-Filter würde ich dich bitte eingeschaltet zu lassen, das kann
ansonsten die Stabilität des ganzen Netzes beeinträchtigen.

Ich würde daher sagen, dass quasi alles was wir an Filterregeln auf den Knoten
haben "zwingend" ist -- wir greifen nicht aus Spaß in den Traffic ein, sondern
nur, wenn es nötig ist, um das Netz überhaupt betreiben zu können.  Wenn du zu
konkreten Firewall-Regeln fragen hast, kann ich gerne versuchen, mehr dazu
herauszufinden -- wir vertrauen da auf Gluon, dass die sinnvolle Entscheidungen
treffen, was gefiltert wird und was nicht.  Das hat bisher auch gut funktioniert.

Viele Grüße,
Ralf

On 03.01.20 10:13, Fam. Fontaine via freifunk-public wrote:
> Hallo,
> 
> seit ich vor paar Monaten zu FF gekommen bin versuche ich mich
> einzuarbeiten indem ich verschiedene Ideen durchspiele.
> Eine davon habe ich hier beschrieben, hänge aber gerade bisschen fest:
> https://forum.freifunk.net/t/knoten-ueber-wlan-statt-kabel-ins-internet-einbinden/21582
> 
> Sobald ich die FW abschalte funktioniert es wie erwartet. Ich gehe davon
> aus, dass sie nicht ohne Grund existiert, deshalb kann "abschalten" ja
> nicht die Lösung sein. Also will ich jetzt die Config durchgehen und
> verstehen was davon mich warum blockiert. Erst dann kann ich weiter
> überlegen was das für die Ausgangsidee bedeutet.
> 
> Folgende Grundüberlegung:
> Wenn ich einen 0-8-15 AP ins Netz hänge, dann wüsste ich nicht, dass
> darauf ne FW läuft, genausowenig wie auf einem Switch.
> Ein FF-Knoten bildet jetzt mehrere Netzwerke ab, muss/will die
> voneinander abschotten usw. Schon klar, dass er eine FW brauchen kann.
> Wenn ich sie im obigen Fall aber mal versuchsweise ausschalte, dann
> funktioniert alles erstmal normal weiter, ohne dass ich ein Problem
> feststellen kann. (Sicherheit kann ich nicht testen ohne zu wissen wovor
> sie schützen soll).
> Das führt mich zu der naiven Frage: Warum gibt´s die FW? Sie hat sicher
> eine Aufgabe, nur welche genau? Was davon ist zwingend, was eher
> nice2have, usw. Das "Netze trennen" könnte ja theoretisch auch via VPN
> und VLANs schon zufriedenstellen erreicht sein?
> 
> Nochmal: ich will die FW nicht in Frage stellen, ich will sie nur
> verstehen. Hat da jemand Erfahrung und will mir helfen?
> 
> Grüße und Danke vorab
> Sebastian
>