Fastd peer IP blacklisting am server/fastd.conf ?

fuzzle · 4. August 2016 um 04:53

unter der annahme jemand hat einen validen fastd pubkey am server hinterlegt und dieser jemand versuht sich via einer ip xy mit dem server zu verbinden …

konkret : jemand versucht sich aus dem freifunknetz von uns (ffrl exit ip) mit einem fstd server von uns zu verbinden, so ein henne - ei ding – oder freifunk durch freifunk … macht keinen sinn

jemand sowas schon geschickt eingebaut … bspw. in die fastd.conf oder ähnliches … denke da über on connect und $PEER_ADDRESS gegen eine blacklist zu checken
danke für Hinweise

Comacho · 4. August 2016 um 08:00

iptables -A INPUT -p udp --dport {fastD-port} -s {ffrl-exit-ip} -j DROP

warum so kompliziert?

fuzzle · 4. August 2016 um 08:02

ja dacht ich mir auch, aber zu sehen welcher key das versucht is schon auch spannend, hilft beim debuggen vor ort

steneu · 4. August 2016 um 09:25

Ich hab das mal irgendwo gesehen und bei mir so eingebaut:

on verify "fastd-blacklist.sh $PEER_KEY";   #alle keys die nicht auf der blacklist stehen sind erlaubt
#on verify "true";                          #alle keys sind erlaubt (blacklist wird nicht genutzt)
#on verify "false";                         #nur eingetragene keys sind erlaubt

und die fastd-blacklist.sh sieht so aus:

#!/bin/bash
PEER_KEY=$1

if /bin/grep -Fq $PEER_KEY /etc/fastd/fastd-blacklist.json; then
   exit 1
else
   exit 0
fi

und noch die fastd-blacklist.json

{
  "peers": 
  [
    {
      "pubkey": "78a61042764d1f3dae43c48a0978eaf6f8768fd1b263e27bf7299f6d47f66ac0",
      "comment": "dummy eintrag"
    },
    {
      "pubkey": "418cbe17f3214abfaba7f23d67ea21ac0d521b19d0abc532e139bb7904187501",
      "comment": "dummy eintrag"
    }
  ]
}

fuzzle · 4. August 2016 um 10:52

@steneu … und der exitwert != 0 im onverify führt dann dazu das das einloggen nicht klappt ?

adorfer · 4. August 2016 um 15:37

Das gezeigte Script kann nur 0 oder 1 zurückliefern.
Aber Rückgabewert von „false“ sollten meiner Ansicht nach auch funktionieren.
Ein nicht vorhandenes Script oder eine nicht vorhandene blacklist-Datei führt ebenso zu „niemand kommt herein.“

anon68922371 · 22. Mai 2017 um 23:21

Lassen sich auch alle Keys blacklisten, die in einem peers Ordner liegen?

Ich möchte auf einem GW nur Verbindungen von Knoten erlauben die nicht im Netz registriert sind.

adorfer · 23. Mai 2017 um 00:45

Du rufst ein Shellscript auf.
Und wenn das mit einem Code ungleich 0 zurückkommt, dann fliegt der Client beim Fastd kommentarlos raus.

Sprich: Was Du da mit der shellscript machst, das sei Dir überlassen. Entweder lustige grep-Einzeiler, oder eben was python oder awk so hergeben.

anon68922371 · 23. Mai 2017 um 06:58

Jo wie das hier funktioniert hatte ich gesehen. Das Problem dabei ist ich müsste erstmal 1200 Keys in die Json bringen.

Daher die Frage, ob man mit so einfach Blacklisten kann wie man peers inkludiert.

adorfer · 23. Mai 2017 um 12:17

Es muss doch kein json sein, eine beliebige Ascii-Liste reicht auch.
Du kannst ja durchaus einen find/exec/grep machen.

rotanid · 25. Mai 2017 um 00:59

in der Datei dann eine Liste der fastd keys (mit beliebigem Text dahinter, z.B. als Kommentar)

adorfer · 25. Mai 2017 um 01:04

@anon68922371
Falls es nicht passen sollte, dann beschreibe mal, was Du da GENAU hast. Also ein Verzeichnis. Oder eine Gruppe von Dateien, die zu einem Wildcard passen o.ä.

rubo77 · 1. Februar 2018 um 13:57

habe das mal in ein update script gepackt, das man auf einem gateway einfach ausführen kann:

FASTDPATH=/etc/fastd/ffnord-mvpn

cat >>/etc/fastd/fastd-blacklist.sh << EOF
#!/bin/bash
  PEER_KEY=$1
  if /bin/grep -Fq $PEER_KEY /etc/fastd/fastd-blacklist.json; then
       exit 1
  else
       exit 0
  fi
EOF

chmod +x /etc/fastd/fastd-blacklist.sh
rm /etc/fastd/fastd-blacklist.json
cat >>/etc/fastd/fastd-blacklist.json<< EOF
{
  "peers": 
  [
    {
      "pubkey": "78a61042764d1f3dae43c48a0978eaf6f8768fd1b263e27bf7299f6d47f66ac0",
      "comment": "dummy eintrag"
    },
    {
      "pubkey": "78a61042764d1f3dae43c48a0978eaf6f8768fd1b263e27bf7299f6d47f66ac0",
      "comment": "dummy eintrag"
    },
   
  ]
}
EOF

sed -i 's~on verify "true";~on verify "/etc/fastd/fastd-blacklist.sh $PEER_KEY";~g' $FASTDPATH/fastd.conf

service fastd stop
service fastd start

adorfer · 1. Februar 2018 um 14:56

Das ist ja das übliche Verfahren. Aber warum eigentlich als json?
(Das frage ich mich schon seit Jahren…)
Wenn man da eh nur „blöde“ durchgrept zeilenweise, warum dann nicht einfach nur CSV oder html…
Also im Ernst: aus welcher Toolchain bekommt man das so als json, dass man das dann per Cut&Paste da hineinfallen lassen könnte?

MisterCrumble · 1. Februar 2018 um 15:45

hallo,

wenn du ein script hast das dir neigbours aus einer alfred.json rausparst als bsp