[GTER] Ubiquiti fw
Alexandre J. Correa - Onda Internet
alexandre at onda.net.br
Mon May 21 16:32:18 -03 2012
tem um bendito de um loop, olha so:
# create module list, skip ip/eb-tables
if [ -d /etc/modules.d/ ]; then
modules=`cd /etc/modules.d && ls`
modules=`echo $modules | tr " " "\n" | grep -v -E ".?.?-ipt-.*"`
modules=`echo $modules | tr " " "\n" | grep -v -E ".?.?-nf-conntrack.*"`
modules=`echo $modules | tr " " "\n" | grep -v -E ".?.?-ebtables.*"`
modules=`echo $modules | tr " " "\n" | grep -v -E ".?.?-ip6tables.*"`
# load modules
. /usr/etc/rc.d/rc.modules load ${modules}
fi
carrega tudo o que ha de tranquerada, (nao carrega iptables,ebtables e
nem conntrack)..
mas alguma(s) dependencia(s) desses modulos faz(em) o autoload !!
veja um radio 5.5 que esta em bridge sem nenhuma regra no firewall:
# lsmod | egrep 'nf|ipt|ppp' | wc -l
36
na 5.5:
# egrep '0|1' ./*
./bridge-nf-call-arptables:1
./bridge-nf-call-ip6tables:1
./bridge-nf-call-iptables:0
./bridge-nf-filter-pppoe-tagged:0
./bridge-nf-filter-vlan-tagged:0
realmente o call-iptables esta desligado...
na 5.3
XM.v5.3# egrep '0|1' ./*
./bridge-nf-call-arptables:1
./bridge-nf-call-ip6tables:1
./bridge-nf-call-iptables:0
./bridge-nf-filter-vlan-tagged:1
agora a coisa ficou seria... nao carregando os modulos o radio dobrou
performance..
Em 21/05/2012 16:07, Rubens Kuhl escreveu:
> O detalhe é que segundo a UBNT eles já desabilitariam isso quando não
> há regras de firewall... eles se interessaram pelo resultado que você
> conseguiu, e seria interessante ver o que acontece na 5.5 com essas
> opções que citei, inclusive ver o firmware padrão ligando/desligando
> essas opções.
>
>
> Rubens
>
>
> 2012/5/21 Alexandre J. Correa - Onda Internet<alexandre at onda.net.br>:
>> provavelmente estas variaveis vao ser mais simples... inclusive, vou ver se
>> sobra tempo e ja faço um "puxadinho" nas abas do firmware... desativar isto
>> ai tudo a cargo do fregues rsrssrsr :P
>>
>>
>> Em 21/05/2012 13:53, Rubens Kuhl escreveu:
>>> 2012/5/21 Alexandre J. Correa - Onda Internet<alexandre at onda.net.br>:
>>>> conntrack esta fora dessa 5.3.3-1 ... e o firmware nao usa ebtables para
>>>> fazer nada, nenhuma regra aparente..
>>>>
>>>> na 5.5, vou manter o ebtables (para filtrar pppoe-discovery e
>>>> pppoe-session)
>>> Talvez zerar via sysctl o arptables, iptables, ip6-tables e
>>> vlan-tagged mas deixar o pppoe-tagged ?
>>>
>>>
>>> /proc/sys/net/bridge/* Variables:
>>>
>>> bridge-nf-call-arptables - BOOLEAN
>>> 1 : pass bridged ARP traffic to arptables' FORWARD chain.
>>> 0 : disable this.
>>> Default: 1
>>>
>>> bridge-nf-call-iptables - BOOLEAN
>>> 1 : pass bridged IPv4 traffic to iptables' chains.
>>> 0 : disable this.
>>> Default: 1
>>>
>>> bridge-nf-call-ip6tables - BOOLEAN
>>> 1 : pass bridged IPv6 traffic to ip6tables' chains.
>>> 0 : disable this.
>>> Default: 1
>>>
>>> bridge-nf-filter-vlan-tagged - BOOLEAN
>>> 1 : pass bridged vlan-tagged ARP/IP/IPv6 traffic to
>>> {arp,ip,ip6}tables.
>>> 0 : disable this.
>>> Default: 1
>>>
>>> bridge-nf-filter-pppoe-tagged - BOOLEAN
>>> 1 : pass bridged pppoe-tagged IP/IPv6 traffic to {ip,ip6}tables.
>>> 0 : disable this.
>>> Default: 1
>>>
>>>> pensei hoje em utilizar uma CLI no estilo "cisco-like" e remover o http
>>>> por
>>>> completo...
>>>> lembro que existe um projeto de CLI assim no sourceforge, se alguem
>>>> souber o
>>>> nome, faz um tempo que vi e não recordo.
>>> libcli e {k,c}lish.
>>>
>>> http://sites.dparrish.com/libcli
>>> http://klish.googlecode.com/
>>> http://clish.sourceforge.net/
>>>
>>>
>>> Rubens
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>> Sócio-Administrador
>>
>> Onda Internet
>> www.onda.net.br
>>
>> IPV6 Ready !
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Sds.
Alexandre Jeronimo Correa
Sócio-Administrador
Onda Internet
www.onda.net.br
IPV6 Ready !
More information about the gter
mailing list