Netz-Laufwerk

[Klops]

Wie kann man ein NAS-Laufwerk im Freifunk-Netz einbinden.

Einfach an den WAN-Port stöpseln?

[4huf]

Ne, so einfach wird das nicht gehen.
Am einfachsten wird das noch am LAN-Port gehen.
Dann bekommt das NAS eine IP vom FF-Router.
Dann musst du noch die Ports über Portweiterleitung einstellen.
Welche Protokolle sollen dann funktionieren ?
Ob SMB/Cifs geht weis ich nicht.
FTP ist ein problematisches Protokoll, ev. reicht Port 20 und 21 tcp.
Sonst brachst du noch etliche "High-Ports" und eine Begrenzung auf dem NAS.
Was kann das Teil noch für Protokolle ?

[tox]

so wie ich das verstanden habe, ist ein zugriff aus dem freifunk auf die lan-ports nicht so einfach möglich, wäre ja ein sicherheitsrisiko. du brauchst auf jeden fall eine zusätzliche iptables-regel.
vom automatischen zuweisen durch das dhcp des routers würde ich abraten, da sich die adresse ja auch verändern kann, wenn der router "bock" hat, dann müsste die regel erneut angepasst werden jedes mal. ich würde dem nas eine feste ip-adresse außerhalb des dhcp-bereichs, aber innerhalb des lanport-subnetzes geben, damit man die regeln fest machen kann.
ich kann mich irren, aber die regel könnte so aussehen:
iptables -t nat -I POSTROUTING -s 104.62.0.0/255.255.0.0 -d <lan-adresse des nas>/<netzmaske der lanports> MASQUERADE
dann geht erst mal alles ausm ff an das nas... ports kann der pfiffige freifunkler selbst eintragen in die regel

edit. ich wunder mich grad. is da natten an der stelle eigentlich richtig? müsste doch eigentlich forwarden sein... naja irgendjemand wird mich schon korrigieren

[Cyrus]

iptables -t nat -I POSTROUTING -s 104.62.0.0/255.255.0.0 -d <lan-adresse des nas>/<netzmaske der lanports> MASQUERADE
dann geht erst mal alles ausm ff an das nas... ports kann der pfiffige freifunkler selbst eintragen in die regel

edit. ich wunder mich grad. is da natten an der stelle eigentlich richtig? müsste doch eigentlich forwarden sein... naja irgendjemand wird mich schon korrigieren

NAT ist u.a. richtig nur du hast das falsche benutzt. DNAT wäre richtig bei Portforwarding.
Außerdem gibt niemand mehr Netzwerke mit Netzmasken an, die müssen in CIDR-Notation angegeben werden.

und allgemein ist die regel mist, für diesen zweck.
Wenn du genau weißt, dass das was du schreibst nicht stimmt, dann lass es bitte anstatt uns mit gefährlichem Halbwissen zu nerven und wenn du dich mit Netzwerken NAT und Firewalls auseinandersetzen willst so informier dich im Internet und kauf dir ein Buch bevor du andere dazu verleitest deine Fehler zu begehen.


@topic:
Ich empfehle freifunk-portfw-de Paket oder die NAS über OLSR-DMZ anzugeben, falls das Ding entsprechend abgesichert ist.

[tox]

Wenn du genau weißt, dass das was du schreibst nicht stimmt, dann lass es bitte anstatt uns mit gefährlichem Halbwissen zu nerven und wenn du dich mit Netzwerken NAT und Firewalls auseinandersetzen willst so informier dich im Internet und kauf dir ein Buch bevor du andere dazu verleitest deine Fehler zu begehen.

is ja schon gut! tut mir ja leid, wenn ich mich auch mal irre, aber ich bin nicht son imkompetenter blödmann, als den du mich grad hinstellst. mein gott, als ob es hier um absolute wahrheiten geht! n forum ist dafür da, lösungsvorschläge (die auch falsch sein können!) zu bringen, und nicht gottgleiches wissen, das du ja offensichtlich mit löffeln gegessen hast.

[tuxmos]

Wenn du genau weißt, dass das was du schreibst nicht stimmt, dann lass es bitte anstatt uns mit gefährlichem Halbwissen zu nerven und wenn du dich mit Netzwerken NAT und Firewalls auseinandersetzen willst so informier dich im Internet und kauf dir ein Buch bevor du andere dazu verleitest deine Fehler zu begehen.

is ja schon gut! tut mir ja leid, wenn ich mich auch mal irre, aber ich bin nicht son imkompetenter blödmann, als den du mich grad hinstellst. mein gott, als ob es hier um absolute wahrheiten geht! n forum ist dafür da, lösungsvorschläge (die auch falsch sein können!) zu bringen, und nicht gottgleiches wissen, das du ja offensichtlich mit löffeln gegessen hast.

Vorsicht. Du verrennst Dich da. Im Grunde kann ein Lösungsvorschlag schon mal falsch sein und um Gottgleiches Wissen gehts hier auch nicht. Es geht eher darum, wie man es schreibt. Also, wenn ich mir nicht sicher bin, dann stelle ich den Text mit einem "Ich glaube..." oder "Vielleicht..." usw. rein. Relativwendungen gibts genug. Du schreibst meistens recht absolut. "Scanner im Netzwerk? Kenn ich nicht, gibts nicht" und das Nervt (nicht nur mich). Dann sind auf Dauer solche Reaktionen kein Wunder. Du musst auch nicht der Erste mit einer Antwort sein. Es wird Dir keiner Honorieren. Wenn Du Dir unsicher bist, lies lieber selber noch mal nach und antworte dann. Damit ist uns allen mehr geholfen, Dich eingeschlossen.

René

[PapaBaer]

Und da muss ich leider auch noch mal drauf hauen,

Im Grunde kann ein Lösungsvorschlag schon mal falsch sein und um Gottgleiches Wissen gehts hier auch nicht.

Das stimmt und so lange es sich "nur" um den Netzwerk-Scanner handelt nervt das vielleicht, aber es fällt noch keiner tot vom Sessel. Aber wir reden hier von Firewall-Regeln und es geht dabei um Sicherheit. Hier führt ein falscher Eintrag womöglich dazu, dass es zwar geht, aber dann inklusive Sicherheitslücke. Eine falsche NAT-Regel gibt auch gern mal das komplette LAN im Freifunk frei. Firewalls sind ein komlexes Thema und kein PLatz für try and error.

Ich verlass mich da auch lieber auf Aussagen von Cyrus oder se, wenn ich mit meinem Shorewall-Wissen nicht weiter komme, ohne mich dann furchtbar schlecht zu fühlen, weil ich nicht schlau genug bin.

Stefan

[Klops]

naja, diese ganze Port-forward-backward-Geschichte scheint mir mächtig kompliziert für Otto-Normal Freifunker.

Könnte man nicht einfach eine Firmware-Version aufsetzen wo ich das Teil an den WAN-Port hänge und der Inhalt der Festplatte mit unter "Home->Dienste" erscheint ?

[PapaBaer]

Nicht gleich aufgeben, es ist eigentlich gar nicht so schwer.

ich empfehle freifunk-portfw-de Paket

Das macht die Firewall-Regeln selber und alles ist gut. Such dir n Protokoll raus, was die Kiste spricht. Wenn es HTTP kann, wäre das super, weil nur ein Port und fertig. Dann gibst du dem Ding ne Feste IP und leitest mit dem portfw-de den Port des Protokolls auf die IP durch. Wenn du HTTP hast, dann nimm von außen nen anderen Port als die 80 und leite es nur auf die 80 durch, sonst schießt du dir das Webinterface des Routers weg. Am Ende kündigts du deinen Dienst noch schön am WRT an, damit wir alle sehen, dass du da bist und uns an deinem NAS bedienen können

Anderen Protokolle benutzen meist mehr als einen Port und es wäre die Frage, ob man die am NAS enstprechend zurecht biegen kann. Was für ein NAS hast du denn?

Stefan

P.S. oder einfach mit Router und NAS beim näxten Treffen aufschlagen

[Klops]

Ich habe noch kein NAS, jedoch gerade ein NDAS angetüdert.

Da kam mir der Gedanke, dass es eine Super Lösung wäre, wenn die Leute einfach ein NAS an den FF-AP stecken könnten und so Zeugs anbieten was man halt schon so hat.

Fazit für mich: Wenn NAS, dann HTTP.

[Cyrus]

So Plug&Play ist das leider nicht machbar, weil die FF-Firmware ja nicht weiß ob du dein NAS für dich privat betrieben willst oder dem Netz zur Verfügung stellen willst wenn du es da anstöpselst. Ich kann aber schon versprechen, mit der neuen Firmware wird die Portweiterleitung um einiges unkomplizierter werden und auch FTP wird problemlos möglich sein.