[Ninux-Calabria] Attenti al NAT di openWRT

[Giuseppe De Marco]

Ragazzi non dico cosa e chi ma è grave vedere uscire da una ADSL di un
supernodo senza che questo sia stato voluto.

E' inoltre antipatico che questa raccomandazione sia stata fatta
diverse volte, ovvero:

IL NAT GENERICO FATTO CON OPENWRT DA LUCI FA SCHIFO

che significa ?

significa che abbiamo 4 zone coinvolte

POSTROUTING (classico, demanda a ...)
postrouting_rules ( standard di openWRT, che demanda a tutte le zone
col NAT attivo )
zone_wan_postrouting ( a sua volta demanda a postrouting_wan_rule )

Che succede dietro le quinte ?
Praticamente in batteria, in serie, le CHAIN di postrouting rules
vengono usate che senza NAT attivo tornano a postrouting_rules che le
scorre tutte fin quando non trova il nat, top-down.

Se abbiamo messo un NAT su una interfaccia succede che a tutte le
interfacce che fanno forwarding capiteranno sul NAT e useranno questo
a sbafo.

De facto la regola di openWRT è stupida e promiscua:

Chain zone_wan_postrouting (1 references)
 pkts bytes target     prot opt in     out     source
destination
 611K   39M postrouting_wan_rule  all  --  *      *       0.0.0.0/0
        0.0.0.0/0            /* user chain for postrouting */
 611K   39M MASQUERADE  all  --  *      *       0.0.0.0/0
0.0.0.0/0

Bene, lasciando queste regole automatiche a Luci che sinceramente poco
importano, io patcho questo schifo con una civilissima custom rule, la
seguente:

/usr/sbin/iptables -t nat -I zone_wan_postrouting  1 ! -s 10.87.x.0/24 -j RETURN

dove la x è la rete locale per la quale vogliamo il NAT, solo per
quella e non per tutti ! diamine !

questa raccomandazione è stata fatta anche durante la serata della CI
migration... Chi c'era sà.

Bene, da due mesi c'è un NAT che insieme ad un olsrd dyngw che spax ha
appena rimosso facevano navigare a sbafo chiunque avesse una istanza
olsrd sulal nostra WAN

Ascoltiamoci di più perchè ogni esperienza fa rete e questa riscrive la teoria.
G