[Fli4l_dev] bootzeit
Hans Bachner
hans at bachner.priv.at
Mi Aug 1 10:58:35 CEST 2018
Hallo Holger,
Holger Bruenjes schrieb am 01.08.2018 um 10:17:
> Hallo Alex
>
> Am 2018-08-01 um 09:02 schrieb Alexander Dahl:
>
>>>> hast Du den im Paketfilter für das interne Netzt (vermutlich IP_NET_1 im
>>>> INPUT Bereich den Zugriff erlaubt?
>>>
>>> hmm ja, aber was hat das mit ssh zu tun?
>>
>> Die INPUT chain regelt Zugriffe auf den Router selbst, keine gerouteten
>> Pakete. D.h. alle Dienste, die auf einem Port des Routers lauschen,
>> müssen über INPUT im Paketfilter bearbeitet werden. Wenn für INPUT der
>> default DROP oder REJECT sein sollte, musst Du den ssh-Port da
>> freigeben.
>
> Das ist nun in meinen Augen eine Koppelung von Abhaengigkeiten. Wenn
> SSH auf Port 22 erlaubt werden soll, kann das doch nicht von einer
> zusaetzlichen INPUT Regel abhaengig sein. bzw. ist nicht in der Doku
> erklaert, dass dafuer weitere Parameter in einer anderen Datei
> geschaltet werden muessen.
Nur weil du den SSH Dienst startest, heißt das ja nicht, dass er von
überall her (WAN, evt. mehrere interne Netze) verwendet werden
soll/darf. Es ist also durchaus sinnvoll, eine gezielte Freigabe über
die INPUT Chain zu verlangen anstatt sofort alle Türen zu öffnen.
Ein anderes Beispiel für diese Strategie: wenn du das OPT_HTTPD
aktivierst, möchtest du vermutlich auch nicht, dass das Web-Interface
deines fli4l aus dem Internet angesprochen werden kann. Wenn du intern
(daheim oder in einer Firma) ein eigenes Gäste-LAN konfigurierst, soll
das Web-Interface vermutlich auch von dort her nicht benutzt werden
können. Also: in der INPUT chain dien Zugriff explizit und gezielt erlauben.
>>> [...]
>
> Mag sein, dass mir nach all den Jahren, ohne den fli neu
> aufzusetzen, das Verstaendnis fuer die Zusammanhaenge fehlt.
> Alle die die Kiste 10mal am Tag zum testen neu aufsetzen haben da
> ein ganz anderes Wissen.
Schau in deine alte fli4l-Konfiguration - dort hast du Port 22 sicher
auch explizit fürs LAN freigegeben.
Und nein, ich konfiguriere meinen fli4l nicht täglich neu. Wenn mein
fli4l eine Uptime von unter einem Jahr hat, liegt das wahrscheinlich an
einem Stromausfall bzw. einer geplanten Stromabschaltung. Zwischendurch
ergänze ich höchstens Host-/DHCP-Einträge und bearbeite neben der rc.cfg
auf dem Router dafür direkt die betreffenden Dateien in /etc/dnsmsq.d/
und /etc/hosts.d/ - dann reicht ein Restart des dnsmasq und nicht des
ganzen Routers.
Daher habe ich auch die Boot-Zeit eigentlich noch nie ernsthaft
beobachtet - mein fli4l daheim läuft auf einem 100MHz Pentium. Ja, der
ist manchmal etwas zäh, vor allem bei der Anzeige der Accounting-Seiten
(knapp 100 Einträge in der Hosts-Liste, davon selten mehr als zwei
Dutzend aktiv). Ein Igel steht schon daneben - die Umstellung der
Konfiguration auf die V4 kostet aber mehr Zeit, als ich bisher übrig
hatte :-)
Schöne Grüße,
Hans.
Mehr Informationen über die Mailingliste Fli4l_dev