Skip to content

OpenWRT - Zonen

Verschoben OpenWRT & Ubiquiti ER-X
2 1 723
  • Was mir immer noch etwas Kopfschmerzen bereitet, ist die Firewall. Mal ein Beispiel.

    f3da391f-459f-40b7-bcbe-58cfb5afb2cb-grafik.png

    Ich habe zwei LANs, einmal LAN und einmal "DMZ". Wenn ich nun vom LAN aus Teilnehmer in der "DMZ" erreichen will, geht das so nicht. Dafür muss man die Einstellungen von LAN editieren.

    7f173a6c-c491-41db-be0a-a95e044baf76-grafik.png

    Danach kann ich dann einen Teilnehmer aus der "DMZ" z.B. pingen.

    frank@:~$ ping 192.168.5.99
    PING 192.168.5.99 (192.168.5.99) 56(84) Bytes Daten.
    64 Bytes von 192.168.5.99: icmp_seq=1 ttl=63 Zeit=0.707 ms
    64 Bytes von 192.168.5.99: icmp_seq=2 ttl=63 Zeit=0.712 ms
    ^C
    --- 192.168.5.99 ping statistics ---
    2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1019ms
    rtt min/avg/max/mdev = 0.707/0.709/0.712/0.002 ms
    

    Ok, so weit verstanden. Aber wofür ist dann dieses Forward zuständig 🤔

    5d8000c1-388f-4cd3-9577-af85049cbd9b-grafik.png

  • Was mir immer noch etwas Kopfschmerzen bereitet, ist die Firewall. Mal ein Beispiel.

    f3da391f-459f-40b7-bcbe-58cfb5afb2cb-grafik.png

    Ich habe zwei LANs, einmal LAN und einmal "DMZ". Wenn ich nun vom LAN aus Teilnehmer in der "DMZ" erreichen will, geht das so nicht. Dafür muss man die Einstellungen von LAN editieren.

    7f173a6c-c491-41db-be0a-a95e044baf76-grafik.png

    Danach kann ich dann einen Teilnehmer aus der "DMZ" z.B. pingen.

    frank@:~$ ping 192.168.5.99
    PING 192.168.5.99 (192.168.5.99) 56(84) Bytes Daten.
    64 Bytes von 192.168.5.99: icmp_seq=1 ttl=63 Zeit=0.707 ms
    64 Bytes von 192.168.5.99: icmp_seq=2 ttl=63 Zeit=0.712 ms
    ^C
    --- 192.168.5.99 ping statistics ---
    2 Pakete übertragen, 2 empfangen, 0% Paketverlust, Zeit 1019ms
    rtt min/avg/max/mdev = 0.707/0.709/0.712/0.002 ms
    

    Ok, so weit verstanden. Aber wofür ist dann dieses Forward zuständig 🤔

    5d8000c1-388f-4cd3-9577-af85049cbd9b-grafik.png

    Es ist was heller geworden 🙂

    7b86e97c-31a5-44b6-809f-25d9d1c2ee4a-image.png

    Die besagte Forward Regel

    Zonen.png

    Diese Forward Regel zieht erst dann, wenn es mehrere Interfaces in einer Zone gibt. Aus der Doku

    • INPUT rules for a zone describe what happens to traffic trying to reach the router itself through an interface in that zone.
    • OUTPUT rules for a zone describe what happens to traffic originating from the router itself going through an interface in that zone.
    • FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.

    Das heisst nun, das ein Forwarding zwischen zwei Zonen immer eine spezifische Regel unter Traffic Rules benötigt.

    Forwarding between zones always requires a specific rule.

    Somit ist ein Forwarding zwischen zwei Zonen in den Standard Einstellungen nicht erlaubt. Das kann ich hier auch so bestätigen. Das ist ja auch das was ich mit meiner "DMZ"-Zone erreichen möchte. Kein Zugriff auf LAN.

    Unter Zone ⇒ Forwardings kann man jetzt sehen, das das Forwarding von LAN in Richtung WAN und DMZ erlaubt ist. WAN ist logisch, sonst komme ich ja nicht ins Internet. DMZ habe ich eingestellt, damit ich auch Teilnehmer im DMZ Netz erreichen kann, wenn ich da mal ran muss.

    8a548c29-8bc5-4074-8099-66460bcea9a8-image.png

    Stelle ich das jetzt so ein.

    dca8b393-f613-4cab-a377-ffbc2bb8ddf5-image.png

    Dann kann ich von der DMZ Zone aus das LAN erreichen. Aha, so langsam verstehe ich 😉

    Quelle: https://forum.openwrt.org/t/firewall-zones-and-settings/84369

  • 0 Stimmen
    7 Beiträge
    29 Aufrufe
    @Ubuntu2404 Ich verstehe sehr gut was Du meinst, aber das ist auf der Windows Seite auf alle Fälle genauso. Ähnlich wie die Gesellschaft heute gespalten ist.Ich habe auch gar nichts gegen M$-User, ich mag M$ nicht. Und das hat ganz viele Gründe.Les mal in M$ Foren mit, wenn es über Linux geht. Aber das ist mir egal. ich lerne jeden Tag dazu um Linux besser zu verstehen.Und das Schlimmste Linux Forum was ich kenne, ist das deutschsprachige Debian Forum. Da lese ich gar nichts mehr.
  • 0 Stimmen
    1 Beiträge
    13 Aufrufe
    Niemand hat geantwortet
  • 188 Stimmen
    17 Beiträge
    163 Aufrufe
    Chepas, moi... Pourquoi pas G'b'ntu tant qu'à faire?
  • 0 Stimmen
    2 Beiträge
    235 Aufrufe
    Schauen wir uns mal an, wie man die Container aktuell hält. In der postgres.container steht das hier (als Beispiel) [Container] Image=docker.io/library/postgres:17 AutoUpdate=registry Das AutoUpdate=registry ist die Voraussetzung, dass der Container aktualisiert werden darf. Mit diesem Befehl kann man sich anschauen, wie der Stand der DInge ist. root@debian-4gb-nbg1-2-forgejo:~# podman auto-update --dry-run UNIT CONTAINER IMAGE POLICY UPDATED forgejo-pod.service 6486189fb10c (postgres) docker.io/library/postgres:17 registry false forgejo-pod.service 7d5627e2d434 (forgejo) codeberg.org/forgejo/forgejo:11.0.1 registry false forgejo-pod.service 7fb26d4f8b58 (nginx) docker.io/library/nginx:latest registry false Podman hat aber standardmäßig einen systemd Dienst, der sich darum kümmert root@forgejo:/etc/containers/systemd# systemctl status podman-auto-update.service ○ podman-auto-update.service - Podman auto-update service Loaded: loaded (/usr/lib/systemd/system/podman-auto-update.service; enabled; preset: enabled) Active: inactive (dead) since Mon 2025-06-09 00:02:57 UTC; 12h ago Invocation: a098f0054b254a0888ee789200ac9507 TriggeredBy: ● podman-auto-update.timer Docs: man:podman-auto-update(1) Process: 68939 ExecStart=/usr/bin/podman auto-update (code=exited, status=0/SUCCESS) Process: 68947 ExecStartPost=/usr/bin/podman image prune -f (code=exited, status=0/SUCCESS) Main PID: 68939 (code=exited, status=0/SUCCESS) Mem peak: 14.4M CPU: 292ms Jun 09 00:02:55 forgejo systemd[1]: Starting podman-auto-update.service - Podman auto-update service... Jun 09 00:02:55 forgejo podman[68939]: 2025-06-09 00:02:55.368941 +0000 UTC m=+0.059687227 system auto-update Jun 09 00:02:57 forgejo podman[68939]: UNIT CONTAINER IMAGE POLICY UPDATED Jun 09 00:02:57 forgejo podman[68939]: forgejo-pod.service 6486189fb10c (postgres) docker.io/library/postgres:17 registry false Jun 09 00:02:57 forgejo podman[68939]: forgejo-pod.service 7d5627e2d434 (forgejo) codeberg.org/forgejo/forgejo:11.0.1 registry false Jun 09 00:02:57 forgejo podman[68939]: forgejo-pod.service f2e9eee72017 (nginx) docker.io/library/nginx:latest registry false Jun 09 00:02:57 forgejo systemd[1]: podman-auto-update.service: Deactivated successfully. Jun 09 00:02:57 forgejo systemd[1]: Finished podman-auto-update.service - Podman auto-update service. postgres Ok, die Container sollten automatisch aktualisiert werden. docker.io/library/postgres:17 Die Postgres DB ist auf die Version 17 festgezurrt. Aktuell ist root@forgejo:/etc/containers/systemd# podman exec postgres postgres --version postgres (PostgreSQL) 17.5 (Debian 17.5-1.pgdg120+1) Eine Version 17.6 wird jetzt automatisch installiert, eine Version 18 aber nicht. nginx docker.io/library/nginx:latest NGINX zieht sich also immer die letzte "latest" Version, die zur Verfügung gestellt wird. root@forgejo:/etc/containers/systemd# podman exec nginx nginx -v nginx version: nginx/1.27.5 Gerade mal gecheckt, 1.27.5 ist die letzte Mainline Version. Also sind wir aktuell. forgejo Der Eintrag codeberg.org/forgejo/forgejo:11.0.1 aktuelle Version, die installiert ist. root@forgejo:/etc/containers/systemd# podman exec forgejo forgejo -v Forgejo version 11.0.1+gitea-1.22.0 (release name 11.0.1) built with GNU Make 4.4.1, go1.24.2 : bindata, timetzdata, sqlite, sqlite_unlock_notify Ok, wir sind auf Version 11.0.1 Wenn jetzt die Version 11.0.2 herauskommt, wird diese nicht installiert, da wir im forgejo.container folgendes stehen haben. [Container] Image=codeberg.org/forgejo/forgejo:11.0.1 Das ist aber erst mal nicht so schlimm, ich lese da mit und bekomme das mit. Das mache ich auch lieber von Hand, dann kann ich besser sehen wo es klemmt
  • 0 Stimmen
    2 Beiträge
    322 Aufrufe
    Ich möchte hier aber auch nicht unterschlagen, dass viele der Neuerungen bei meiner Installation nicht funktionieren. Hauptsächlich Funktionen im Zusammenhang mit der neuen Teams Funktion. Da ich schon sehr lange Nextcloud nutze, kenne ich das von den 0.0er Versionen. Da braucht es erst mal ein paar Updates, bis das fehlerfrei funktioniert.
  • 0 Stimmen
    1 Beiträge
    169 Aufrufe
    Niemand hat geantwortet
  • 0 Stimmen
    1 Beiträge
    132 Aufrufe
    Niemand hat geantwortet
  • PCIe WIFI6 Karte

    Linux wifi5 linux 21. Aug. 2020, 13:35
    4
    0 Stimmen
    4 Beiträge
    372 Aufrufe
    alles gut. wenn zeit und laune, danke