[ninux-dev] Firmware nnxx Palermo configurazione

Nemesis nemesis at ninux.org
Wed Jan 18 10:42:34 CET 2017 

Riporto quello che ci siamo scritti in chat.

On 01/18/2017 09:53 AM, Nemesis wrote:
> Ciao Claudio,
> 
> innanzitutto grazie, ho due dubbi che spiego di seguito
> 
> Premessa: avevamo detto di includere queste configurazioni nel firmware,
> giusto?
> 
> 1. lì dove c'è "IP LIBERO LAN PALERMO", "IP LIBERO RETE PALERMO", o "IP
> LAN" sarebbe necessario includere qualcosa dinamicamente, se fosse così
> non possiamo includere questo tipo di configurazione nel firmware, ma
> dobbiamo tenerle in openwisp2 e cercare di riempire le variabili con un
> processo automatizzato, magari interfacciandoci con le API del sistema
> di gestione indirizzi (si accettano nuovi volontari per trovare un
> algoritmo efficente per implementare questa cosa!)

Includerò solo le parti statiche e implementeremo l'automazione della
scelta dell'IP in futuro.

> 2. la configurazione del firewall non contiene valori dinamici, quindi
> la potrei inserire così com'è nel firmware, è questo quello che vuoi? E'
> completa? 

La configurazione completa del firewall è:

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'lan'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option forward 'REJECT'
    option masq '1'
    option mtu_fix '1'
    option network 'wan wan6'
    option input 'ACCEPT'

config rule
    option name 'Allow-DHCP-Renew'
    option src 'wan'
    option proto 'udp'
    option dest_port '68'
    option target 'ACCEPT'
    option family 'ipv4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'

config rule
    option name 'Allow-DHCPv6'
    option src 'wan'
    option proto 'udp'
    option src_ip 'fe80::/10'
    option src_port '547'
    option dest_ip 'fe80::/10'
    option dest_port '546'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Input'
    option src 'wan'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    list icmp_type 'router-solicitation'
    list icmp_type 'neighbour-solicitation'
    list icmp_type 'router-advertisement'
    list icmp_type 'neighbour-advertisement'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config rule
    option name 'Allow-ICMPv6-Forward'
    option src 'wan'
    option dest '*'
    option proto 'icmp'
    list icmp_type 'echo-request'
    list icmp_type 'echo-reply'
    list icmp_type 'destination-unreachable'
    list icmp_type 'packet-too-big'
    list icmp_type 'time-exceeded'
    list icmp_type 'bad-header'
    list icmp_type 'unknown-header-type'
    option limit '1000/sec'
    option family 'ipv6'
    option target 'ACCEPT'

config include
    option path '/etc/firewall.user'

config zone
    option name 'ninux'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option network 'ninux'

config forwarding
    option dest 'wan'
    option src 'lan'

config forwarding
    option dest 'lan'
    option src 'ninux'

config forwarding
    option dest 'ninux'
    option src 'lan'


Nemesis

More information about the ninux-dev mailing list