[Ninux-Wireless] SAR

Michele Favara Pedarsi mfp a meganetwork.org
Dom 6 Dic 2009 04:53:29 CET


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Il 05/12/09 12:03, Claudio ha scritto:
> Ciao a tutti,
> sto cercando qualcuno che sia interessato a realizzare un firmware
> basato su openwrt in cui gli utenti possano collegarsi in ipsec sul
> wifi e possano uscire a discrezione sulla connessione adsl oppure su
> rete tor [1].
> 
> La bozza di idea è su
> http://claudyus.altervista.org/dokuwiki/_media/progetti:sar-r0.pdf
> 
> Il progetto coinvolgerà openwrt, olsrd (opzionale?), ipsec, iptables,
> interfaccia web semplice in cgi. Chiunque voglia aiutarmi è benvenuto!
> 
> Cerco aiuto in particolare per la realizzazione dell'interfaccia web e
> idee su come smistare pacchetti usando iptables.
> Idee?

iptables... non so se lartc e' ancora il nonplusultra, ma illo dice:

iptables -A xxx -p 50 -j pippo
iptables -A xxx -p 51 -j pippo

- -p, --protocol [!] protocol
    The protocol of the rule or of the packet to check. The specified
protocol can be one of tcp, udp, icmp, or all, or it can be a numeric
value, representing one of these protocols or a different one. A
protocol name from /etc/protocols is also allowed. A "!" argument before
the protocol inverts the test. The number zero is equivalent to all.
Protocol all will match with all protocols and is taken as default when
this option is omitted.

gre     47      GRE             # General Routing Encapsulation
esp     50      IPSEC-ESP       # Encap Security Payload [RFC2406]
ah      51      IPSEC-AH        # Authentication Header [RFC2402]

Quindi apparentemente puoi selezionare il traffico IPsec. Io direi che
quello IPsec e' -j ACCEPT, quello non IPsec lo mandi in
TransparentSplashPage (for more info, auth, ninux-compliancy?, etc) e/o
lo intubi in PrivoxyTor. Prendi uno script che fa la splash page e
aggiungici una riga in cima... ma bisogna provare...

> Commenti? Volontari?

Fra l'altro mi sembra una soluzione stilosa al Chicken-Pisanu-Problem:
chi ha un account IPsec esce dal suo IP locato-chissa'-dove-cazzi-Suoi,
chi non ha un account IPsec esce dall'IP locato-chissa'-dove-cazzi-Loro,
ed essendo tutto aperto il titolare del nodo non e' identificabile
univocamente come autore di una qualunque telecomunicazione. Quindi
ingiudicabile. Si puo' proporre senza dire fesserie sulla legalita', a
chi lo stai proponendo.

Mi piace. Se confezioni una build preliminare con tutti i binari al
posto loro (anche senza web; mi serve un testbed; anche solo la conf
della buildroot rXXXX che io butto dentro con un tar, un cp, seleziono
l'architettura, e compila tutto da sola), mandami una mail che provo a
far funzionare la parte iptables (se riesco ti mando tutto); btw, un
terminale IPsec ce l'ho (nokia sulla carta dice che supporta IPsec), e
vorrei capire quanto pesa quella soluzione su un cellulare di 3 anni fa.

ciao

Michele
-----BEGIN PGP SIGNATURE-----
Version: GnuPG/MacGPG2 v2.0.12 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJLGyq5AAoJEFzfC+k+2/nh+bkH/1jkiAO5ajgwMMvxArvNM+6i
HRQaKcYa+Uhh8dFSzqZwKjuwJ3HsOasWon34JWbGYrnrCJhsocCEUimHX4TajKWB
wx+LTsP5/1ICYw7JPYdrn/MCYFUgotsytJNvJ3R+OUghvnGLtoUfgyeZ3wm4G+zI
UvTOrAqY8/txVMW5bg+iMzdoRSb68ch3ed/mNi3lPidw7ra3b2R7JrsInNK6CyJI
zhT87BLpdnHd377kvlJxS2cgLRAZ27mjZekU4i7uZhqNI/A3DIvwrSQmPal7l70v
syzD40mLzyvhTzursRHaY0+bITK9F7J8EokkLAkwJfV+IxpZteUTgcmriHeEqAA=
=F9nz
-----END PGP SIGNATURE-----



Maggiori informazioni sulla lista Wireless