Skip to content

Add recipe for allowing and denying internet for LAN through server#97

Open
mtreinik wants to merge 9 commits into
mainfrom
feature/allow-internet-for-lan
Open

Add recipe for allowing and denying internet for LAN through server#97
mtreinik wants to merge 9 commits into
mainfrom
feature/allow-internet-for-lan

Conversation

@mtreinik
Copy link
Copy Markdown
Contributor

@mtreinik mtreinik commented Mar 24, 2026

No description provided.

@mtreinik mtreinik force-pushed the feature/allow-internet-for-lan branch from 7e58a9d to 601c0de Compare March 25, 2026 11:01
linuswillner
linuswillner approved these changes Mar 25, 2026
View reviewed changes
Copy link
Copy Markdown
Contributor

@linuswillner linuswillner left a comment
edited
Loading

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Kouluille annettavana testinä tämä on varmaan oikein OK. Nyt pitää sitten vain julkaista tämä tästä haarasta ilman, että työn alla olevat examnet-muutokset lehahtavat vahingossa tuotantoon samalla

@mtreinik mtreinik marked this pull request as draft March 26, 2026 21:04
@mtreinik
Copy link
Copy Markdown
Contributor Author

mtreinik commented Mar 26, 2026

Juteltiin, että ei ehkä julkaista tätä vielä ytl-linux-tasks:ina

@mtreinik mtreinik force-pushed the feature/allow-internet-for-lan branch from f121c95 to 0011493 Compare April 7, 2026 07:44
@mtreinik mtreinik marked this pull request as ready for review April 7, 2026 19:37
@mtreinik
Copy link
Copy Markdown
Contributor Author

mtreinik commented Apr 7, 2026

Tähän PR:ään on lisätty examnetiin tarvittavat muutokset, jotta liikenne suljetusta koeverkosta voidaan päästää vain tietyille Microsoftin palvelimille.

Jätin tähän vielä talteen aikaisemmat skriptit, joilla voi avata/sulkea kaiken liikenteen koeverkosta ulospäin, mutta niitä ei ole tarkoitus julkaista.

linuswillner
linuswillner reviewed Apr 8, 2026
View reviewed changes
Copy link
Copy Markdown
Contributor

@linuswillner linuswillner left a comment
edited
Loading

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Tässä kaadetaan nyt taas yksi dimensio lisää monimutkaisuutta tuohon examnettiin. Tästä on vauhdilla tulossa ihan lukukelvottoman vaikea ymmärtää. Pitäisikö tuosta iptablesin manipuloinnista tehdä eri skripti ja/tai siirtää jotain template-tiedostoiksi? Nyt noita tiedostojen sisältöjä hillotaan tuolla skriptin sisässä ja lopulta kukaan ei tiedä miten mikään muodostuu.

Sen lisäksi mua risoo se, että tästä examnet-skriptistä on tulossa ja osittain jo tullutkin semmoinen jumalaskripti joka tekee kaiken ja keittää kahvit päälle. Meillä alkaa selvästi olemaan liikaa puuroja ja vellejä samassa kulhossa. Pitäisikö tuota muutenkin jotenkin splittailla ja/tai tehdä se jollain teknologialla, joka soveltuu paremmin tämän kokoiseen projektiin kuin miksi tuo examnet on paisunut, kuin Bash?

En ole myöskään ihan vakuuttunut, että tuo null-route DNS:llä on enää kannattava, jos meillä kuitenkin on olemassa oikea palomuuri. Se johtaa esim. siihen "KTP sai DHCP:n toiselta KTP:ltä eikä netti toimi"-ongelmaan. Jos KTP rejektoisi pyynnöt mualle kuin sallittuihin osoitteisiin suoraviivaisesti, ei vastaamalla että "juu tää löytyi ja se on tyhjyydessä", sekin saattaisi toimia samalla oikein.

Kaikkia näitä ei tarvitse tehdä just nyt, mutta tekisin nyt edes jotain sen eteen että tää examnet ei paisuisi kuin pullataikina loputtomiin.

@mtreinik mtreinik force-pushed the feature/allow-internet-for-lan branch from e7b6be9 to eee8e83 Compare April 14, 2026 06:50
mtreinik added 6 commits April 14, 2026 09:54
@mtreinik
Add recipe for allowing and denying internet for LAN through server
c8460aa
@mtreinik
Disable/enable null route that prevents DNS queries to internet
d908d0e
@mtreinik
Add LAN to WAN forwarding for list of allowed domains with dnsmasq+ip…
e84161b 
…set+iptables
@mtreinik
Add flag --configure-only-static-local-dns
7808006 
- This flag runs only the part of the examnet script which uses the certificate to configure static DNS records.
- This part can be run separately after the certificate has been downloaded.

# Conflicts:
#	packages/ytl-linux-digabi2-examnet/ytl-linux-digabi2-examnet
@mtreinik
Add real Microsoft domains that should be allowlisted
72d19d9
@mtreinik
Add automatic happy path tests for examnet
db07330 
- examnet script supports flag --not-root which allows running the script as non-root user
- call external programs as they are found in path
- allow overriding paths
- add automatic tests that call the examnet script
@mtreinik mtreinik force-pushed the feature/allow-internet-for-lan branch 3 times, most recently from fa0b57c to 9bb40aa Compare April 14, 2026 18:44
@mtreinik mtreinik force-pushed the feature/allow-internet-for-lan branch from 9bb40aa to 8dd0cf7 Compare April 14, 2026 18:46
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@linuswillner linuswillner linuswillner approved these changes

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@mtreinik @linuswillner