[Fli4l_dev] bootzeit

[Hans Bachner]

Hallo Holger,

Holger Bruenjes schrieb am 01.08.2018 um 10:17:
> Hallo Alex
>
> Am 2018-08-01 um 09:02 schrieb Alexander Dahl:
>
>>>> hast Du den im Paketfilter für das interne Netzt (vermutlich IP_NET_1 im
>>>> INPUT Bereich den Zugriff erlaubt?
>>>
>>> hmm ja, aber was hat das mit ssh zu tun?
>>
>> Die INPUT chain regelt Zugriffe auf den Router selbst, keine gerouteten
>> Pakete. D.h. alle Dienste, die auf einem Port des Routers lauschen,
>> müssen über INPUT im Paketfilter bearbeitet werden. Wenn für INPUT der
>> default DROP oder REJECT sein sollte, musst Du den ssh-Port da
>> freigeben.
>
> Das ist nun in meinen Augen eine Koppelung von Abhaengigkeiten. Wenn
> SSH auf Port 22 erlaubt werden soll, kann das doch nicht von einer
> zusaetzlichen INPUT Regel abhaengig sein. bzw. ist nicht in der Doku
> erklaert, dass dafuer weitere Parameter in einer anderen Datei
> geschaltet werden muessen.

Nur weil du den SSH Dienst startest, heißt das ja nicht, dass er von 
überall her (WAN, evt. mehrere interne Netze) verwendet werden 
soll/darf. Es ist also durchaus sinnvoll, eine gezielte Freigabe über 
die INPUT Chain zu verlangen anstatt sofort alle Türen zu öffnen.

Ein anderes Beispiel für diese Strategie: wenn du das OPT_HTTPD 
aktivierst, möchtest du vermutlich auch nicht, dass das Web-Interface 
deines fli4l aus dem Internet angesprochen werden kann. Wenn du intern 
(daheim oder in einer Firma) ein eigenes Gäste-LAN konfigurierst, soll 
das Web-Interface vermutlich auch von dort her nicht benutzt werden 
können. Also: in der INPUT chain dien Zugriff explizit und gezielt erlauben.

>>> [...]
>
> Mag sein, dass mir nach all den Jahren, ohne den fli neu
> aufzusetzen, das Verstaendnis fuer die Zusammanhaenge fehlt.
> Alle die die Kiste 10mal am Tag zum testen neu aufsetzen haben da
> ein ganz anderes Wissen.

Schau in deine alte fli4l-Konfiguration - dort hast du Port 22 sicher 
auch explizit fürs LAN freigegeben.

Und nein, ich konfiguriere meinen fli4l nicht täglich neu. Wenn mein 
fli4l eine Uptime von unter einem Jahr hat, liegt das wahrscheinlich an 
einem Stromausfall bzw. einer geplanten Stromabschaltung. Zwischendurch 
ergänze ich höchstens Host-/DHCP-Einträge und bearbeite neben der rc.cfg 
auf dem Router dafür direkt die betreffenden Dateien in /etc/dnsmsq.d/ 
und /etc/hosts.d/ - dann reicht ein Restart des dnsmasq und nicht des 
ganzen Routers.

Daher habe ich auch die Boot-Zeit eigentlich noch nie ernsthaft 
beobachtet - mein fli4l daheim läuft auf einem 100MHz Pentium. Ja, der 
ist manchmal etwas zäh, vor allem bei der Anzeige der Accounting-Seiten 
(knapp 100 Einträge in der Hosts-Liste, davon selten mehr als zwei 
Dutzend aktiv). Ein Igel steht schon daneben - die Umstellung der 
Konfiguration auf die V4 kostet aber mehr Zeit, als ich bisher übrig 
hatte :-)

Schöne Grüße,
Hans.