VPN Login von innerhalb des Meshs blockieren (block fastd over fastd)

MrMM · 6. September 2015 um 14:44

Hallo Supenode Admins,

ich habe immer wieder Spezial-Spezialisten die es schaffen durch in Reihe schalten einen Freifunkrouter einen VPN Tunnel durch den VPN Tunnel eines anderen Freifunk Routers aufbauen zu lassen.
Das ganze sorgt dann auch immer direkt für Zombi Traffic und verschlechter allgemein die MeshVPN Qualität an dem entsprechenden Supernode.

Ich bin der Meinung irgendwo bereits ein Feriges Skript gegen solche Kandidaten gefunden zu haben, @CHRlS oder @thomasDOTwtf war das eventuell von einem von euch?

CHRlS · 6. September 2015 um 15:00

Suchst Du vielleicht das:

# Block Fastd over Fastd
iptables -A INPUT -s 10.0.0.0/8 -p udp -m udp --dport 10000 -m limit --limit 2/sec -j LOG --log-prefix 'fastd over mesh: '
iptables -A INPUT -s 10.0.0.0/8 -p udp -m udp --dport 10000 -j REJECT --reject-with icmp-admin-prohibited
iptables -A FORWARD -s 10.0.0.0/8 -p udp -m udp --dport 10000 -m limit --limit 2/sec -j LOG --log-prefix 'fastd over mesh: '
iptables -A FORWARD -s 10.0.0.0/8 -p udp -m udp --dport 10000 -j REJECT --reject-with icmp-admin-prohibited

ip6tables -A INPUT -s 2a03:2260:50::/44 -p udp -m udp --dport 10000 -m limit --limit 2/sec -j LOG --log-prefix 'fastd over mesh: '
ip6tables -A INPUT -s 2a03:2260:50::/44 -p udp -m udp --dport 10000 -j REJECT --reject-with icmp6-adm-prohibited
ip6tables -A FORWARD -s 2a03:2260:50::/44 -p udp -m udp --dport 10000 -m limit --limit 2/sec -j LOG --log-prefix 'fastd over mesh: '
ip6tables -A FORWARD -s 2a03:2260:50::/44 -p udp -m udp --dport 10000 -j REJECT --reject-with icmp6-adm-prohibited

…das unterbindet alle Tunnelaufbauten aus den Freifunk IP-Kreisen (musst Du IPv6 und die Ports natürlich noch anpassen!) und logged ins Syslog, wenn es ein Router versucht…

MrMM · 6. September 2015 um 15:09

Okay, ich hatte daran gedacht es in das on verify Skript einzubauen das auch die Blacklist überprüft.

Deine Methode ist natürlich sehr elegant, danke.

CHRlS · 6. September 2015 um 15:10

Das ginge natürlich auch

entstammt übrigens der Feder von @Barbarossa und @fragstone

fragstone · 6. September 2015 um 15:17

Wurde inzwischen im übrigen angepasst

iptables -A INPUT -s 185.66.192.0/22 -i eth0 -p udp -m udp --dport 10000 -m limit --limit 2/sec -j LOG --log-prefix 'fastd over mesh: '
iptables -A INPUT -s 185.66.192.0/22 -i eth0 -p udp -m udp --dport 10000 -j REJECT --reject-with icmp-admin-prohibited
ip6tables -A INPUT -s 2a03:2260::/30 -i eth0 -p udp -m udp --dport 10000 -m limit --limit 2/sec -j LOG --log-prefix 'fastd over mesh: '
ip6tables -A INPUT -s 2a03:2260::/30 -i eth0 -p udp -m udp --dport 10000 -j REJECT --reject-with icmp6-adm-prohibited

Damit keine Verbindungen auf Port 10000 != Freifunk FastD gedropped werden.
Dieses muss natürlich auch für die anderen FastD Ports angepasst werden.