linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

OpenWrt - Basics der Firewall

Linux

1 Beiträge 1 Kommentatoren 98 Aufrufe

F Offline

F Offline
FrankM
schrieb am zuletzt editiert von FrankM

#1

Ein tolles Video zu den Grundeinstellungen. Muss das mal hier pinnen, damit das nicht verloren geht
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0

F

OpenWrt - Docker & DNS & Zugriff auf WAN
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux openwrt portainer
4

0 Stimmen

4 Beiträge

394 Aufrufe

F

Es geht weiter, der erste ☕ und ich bin mit der Lösung nicht so richtig zufrieden, also suchen.

Als erstes habe ich heute Morgen ein frisches SD-Karten Image mit Docker von FreindlyWrt genommen und auf meinem Test NanoPi R5S installiert. Dort mal die Config angeschaut um zu sehen, ob der Eintrag standardmäßig gesetzt ist. Doch dort taucht dann einmal eine ganz ander Config auf 🙄
# The following settings require a restart of docker to take full effect, A reload will only have partial or no effect: # bip # blocked_interfaces # extra_iptables_args # device config globals 'globals' # option alt_config_file '/etc/docker/daemon.json' option enable '1' option data_root '/mnt/nvme_part2/docker' option log_level 'warn' option iptables '1' #list hosts 'unix:///var/run/docker.sock' # option bip '172.18.0.1/24' # option fixed_cidr '172.17.0.0/16' # option fixed_cidr_v6 'fc00:1::/80' # option ipv6 '1' # option ip '::ffff:0.0.0.0' # list dns '172.17.0.1' # list registry_mirrors 'https://<my-docker-mirror-host>' list registry_mirrors 'https://hub.docker.com' option remote_endpoint '0' # option bridge 'br-container' # Docker ignores fw3 rules and by default all external source IPs are allowed to connect to the Docker host. # See https://docs.docker.com/network/iptables/ for more details. # firewall config changes are only additive i.e firewall will need to be restarted first to clear old changes, # then docker restarted to load in new changes. config firewall 'firewall' option device 'docker0' list blocked_interfaces 'wan' option extra_iptables_args '--match conntrack ! --ctstate RELATED,ESTABLISHED' # allow outbound connections
Das interessiert uns jetzt
list blocked_interfaces 'wan' option extra_iptables_args '--match conntrack ! --ctstate RELATED,ESTABLISHED' # allow outbound connections
Wenn ich das jetzt alles richtig verstehe, muss WAN geblockt sein, weil sonst der Docker Host offen im Netz steht (Hierbei bin ich mir nicht 100% sicher)
Die zweite Zeile ist eine iptables Regel, die es den Containern dann ermöglicht das Internet zu erreichen.

Das habe ich jetzt so eingestellt und getestet.
root@b9ffae24913a:/# ping 1.1.1.1 PING 1.1.1.1 (1.1.1.1): 56 data bytes 64 bytes from 1.1.1.1: icmp_seq=0 ttl=57 time=17.151 ms 64 bytes from 1.1.1.1: icmp_seq=1 ttl=57 time=16.553 ms 64 bytes from 1.1.1.1: icmp_seq=2 ttl=57 time=20.630 ms 64 bytes from 1.1.1.1: icmp_seq=3 ttl=57 time=13.948 ms ^C--- 1.1.1.1 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 13.948/17.071/20.630/2.382 ms root@b9ffae24913a:/# ping google.de PING google.de (142.250.185.195): 56 data bytes 64 bytes from 142.250.185.195: icmp_seq=0 ttl=58 time=23.797 ms 64 bytes from 142.250.185.195: icmp_seq=1 ttl=58 time=16.953 ms 64 bytes from 142.250.185.195: icmp_seq=2 ttl=58 time=19.441 ms ^C--- google.de ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 16.953/20.064/23.797/2.829 ms
Ich hoffe mal das ich diese Thema jetzt zu den Akten legen kann.

Wenn was falsch ist, bitte hier kommentieren, damit ich das ändern kann.
F

NanoPi R5S - FriendlyWrt Docker Image
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R5S nanopir5s openwrt
1

0 Stimmen

1 Beiträge

632 Aufrufe

Niemand hat geantwortet
F

NanoPi R4S - OpenWrt Image Download
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R4S openwrt nanopir4s
2

0 Stimmen

2 Beiträge

332 Aufrufe

F

Das Image gibt es jetzt offiziell 😉

Index of /snapshots/targets/rockchip/armv8/
favicon
(downloads.openwrt.org)

Geht aber wohl nur auf der 4GB Version. Auf meiner 1GB Version bekomme ich
Missing DTB
F

NanoPi R4S - OpenWrt upgraden !?
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R4S openwrt nanopir4s
4

0 Stimmen

4 Beiträge

524 Aufrufe

F

Ich schrieb ja oben über Daten Sichern bevor man was macht......

Ok, danach war die Installation lauffähig, aber das Webinterface kaputt. Kryptische Fehlermeldung, die ich auch mit Google nicht fixen konnte. Naja, es war nicht so schwer da ich ja noch einen R4S mit identischer Konfiguration hatte. SD_Karte getauscht und weiter geht's....

Aber!! Warum? Ich musste ganz schön lange suchen, bis ich heraus fand das es mittlerweile eine neue Version als Release Candidate gibt.

Link Preview Image [OpenWrt Wiki] OpenWrt 21.02.0-rc1 - First Release Candidate - 26 April 2021
favicon
(openwrt.org)

Diese Version habe ich dann installiert und das Upgrade ist gescheitert. Da ich auf der alten Installation auch schon eine ganze Menge getestet hatte und es evt. auch vermurkst hatte, war es ja nicht so verkehrt mal was frisches aufzusetzen.

Kurz meine Konfigurationsdateien kontrolliert und nach kleineren Korrekturen und Reboot lief alles wieder wie vorher.

Diesmal habe ich mir die SD-Karte als Image gesichert. Nur für den Fall, das ich das mal dringend brauche.

Es bleibt weiterhin nicht ganz einfach eine OpenWrt Installation aktuell zu halten. Aber so einmal im Jahr kann man sich ja die Arbeit machen.....
F

NanoPi R4S - OpenWrt kompilieren Teil 2
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R4S openwrt nanopir4s
5

0 Stimmen

5 Beiträge

397 Aufrufe

F

Kurzes Update. Der R4S im Alugehäuse, der hier als Router / Firewall rumliegt, läuft jetzt seit 44 Tagen einwandfrei. 😊

98ef6d29-e822-4847-a038-f02a027fb6fe-grafik.png
F

OpenWRT - Firmware Selektor
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben OpenWRT & Ubiquiti ER-X openwrt linux
1

0 Stimmen

1 Beiträge

233 Aufrufe

Niemand hat geantwortet
F

Ubiquiti ER-X - Firewall
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben OpenWRT & Ubiquiti ER-X openwrt linux er-x
1

0 Stimmen

1 Beiträge

257 Aufrufe

Niemand hat geantwortet
F

NanoPi R2S - OpenWRT VLAN
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R2S nanopir2s openwrt linux
11

0 Stimmen

11 Beiträge

1k Aufrufe

F

@thrakath1980 Ok, du meinst die FriendlyArm Variante von OpenWRT. Ich denke, da sollte man besser alles neu machen. Leider ist das bei OpenWRT nicht so einfach zu updaten/upgraden wie z.B. bei einem Linux Kernel. Ich habe es mal runtergeladen, wenn ich mal Zeit habe, schau ich mal rein.