Zunächst einmal ein fettes Dankeschön an die fleißigen Member dieses Boards !!!
Ich habe gedacht, dass der SPH totaler Schrott ist, doch mit telnet-Zugang lässt sich doch noch einiges rauskitzeln.
Ich wollte ein Setup haben, sodass ich einen weiteren Router hinter den SPH klemmen kann, VOIP soll jedoch weiterhin vom SPH verwaltet werden.
Des weiteren benötigte ich die Prefix Deligation.
Ich habe ein rudimentäres Setup auf meinem SPH aufgespielt:
-Telnet-aktivieren
-Enderungen-auf-USB-auslagern
-SP-H-ohne-SIPPROXY
-SP-H-IPv6-Prefix-Delegation(mit-Telekom-Adressen)
/opt/bin/firwall-ipv4.sh:
Vielleicht kann jemand das Setting gebrauchen
Die Ports und Adressen müssen natürlich angepasst werden.
Für Optimierungsvorschläge bin ich auf jeden Fall dankbar!
DIe "richtige" Firewall werde ich nun mit nftables aufsetzen.
Ich habe gedacht, dass der SPH totaler Schrott ist, doch mit telnet-Zugang lässt sich doch noch einiges rauskitzeln.
Ich wollte ein Setup haben, sodass ich einen weiteren Router hinter den SPH klemmen kann, VOIP soll jedoch weiterhin vom SPH verwaltet werden.
Des weiteren benötigte ich die Prefix Deligation.
Ich habe ein rudimentäres Setup auf meinem SPH aufgespielt:
-Telnet-aktivieren
-Enderungen-auf-USB-auslagern
-SP-H-ohne-SIPPROXY
-SP-H-IPv6-Prefix-Delegation(mit-Telekom-Adressen)
/opt/bin/firwall-ipv4.sh:
Quellcode
-
- #/bin/sh
- #address of SpeedPort Hybrid
- SPH_IP="192.168.1.1"
- #network of SpeedPort Hybrid
- SPH_NETWORK="192.168.1.0"
- #address of the router behind the SpeedPort Hybrid
- ROUTER_BEHIND_SPH_IP="192.168.1.3"
- #network of the router behind the SpeedPort Hybrid
- ROUTER_BEHIND_SPH_NETWORK="192.168.2.0"
- #address range which will be forwarded
- FORWARD_PORT_RANGE="1:1023"
- echo "Setze Policies"
- ipt iptables --flush
- ipt iptables --delete-chain
- ipt iptables -P INPUT DROP
- ipt iptables -P FORWARD ACCEPT
- ipt iptables -P OUTPUT ACCEPT
- echo "Grant Loopback"
- ipt iptables -A INPUT -i lo -j ACCEPT
- ipt iptables -A OUTPUT -o lo -j ACCEPT
- echo "Grant all what was opened from 'inside'"
- ipt iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- echo "Grant internal traffic"
- ipt iptables -A INPUT -s $SPH_NETWORK/24 -j ACCEPT
- ipt iptables -A INPUT -s $ROUTER_BEHIND_SPH_NETWORK/24 -j ACCEPT
- echo "Drop missconfigured Windows-Machines"
- ipt iptables -A INPUT -d 169.254.0.0/16 -i br0 -j DROP
- ipt iptables -A INPUT -s 169.254.0.0/16 ! -i br0 -j DROP
- ipt iptables -A INPUT -s 127.0.0.0/8 ! -i br0 -j DROP
- echo "Allow VOIP"
- ipt iptables -A INPUT -i ppp256 -p igmp -j ACCEPT
- ipt iptables -A INPUT -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
- ipt iptables -A INPUT -i ppp256 -p udp -m udp --dport 5061 -j ACCEPT
- ipt iptables -A INPUT -i ppp256 -p udp -m udp --dport 7070:7089 -j ACCEPT
- ipt iptables -A INPUT -i gre+ -p udp -m udp --dport 7070:7089 -j ACCEPT
- ipt iptables -A INPUT -i gre+ -p udp -m udp --dport 5060 -j ACCEPT
- ipt iptables -A INPUT -i gre+ -p udp -m udp --dport 5061 -j ACCEPT
- ipt iptables -A INPUT -i gre+ -p udp -m udp --dport 50000:50019 -j ACCEPT
- echo "Setup FORWARD Chain"
- ipt iptables -A FORWARD -d $ROUTER_BEHIND_SPH_IP/32 -i gre+ -p udp -m multiport --dport $FORWARD_PORT_RANGE -j ACCEPT
- ipt iptables -A FORWARD -d $ROUTER_BEHIND_SPH_IP/32 -i gre+ -p tcp -m multiport --dport $FORWARD_PORT_RANGE -j ACCEPT
- ipt iptables -A FORWARD -d $ROUTER_BEHIND_SPH_IP/32 -i ppp256 -p udp -m multiport --dport $FORWARD_PORT_RANGE -j ACCEPT
- ipt iptables -A FORWARD -d $ROUTER_BEHIND_SPH_IP/32 -i ppp256 -p tcp -m multiport --dport $FORWARD_PORT_RANGE -j ACCEPT
- echo "Setup NAT"
- ipt iptables -t nat --flush
- ipt iptables -t nat --delete-chain
- ipt iptables -t nat -P PREROUTING ACCEPT
- ipt iptables -t nat -P INPUT ACCEPT
- ipt iptables -t nat -P OUTPUT ACCEPT
- ipt iptables -t nat -P POSTROUTING ACCEPT
- ipt iptables -t nat -A POSTROUTING -o gre+ -j MASQUERADE
- ipt iptables -t nat -A POSTROUTING -o ppp256 -j MASQUERADE
- ipt iptables -t nat -A PREROUTING -i gre+ -m multiport -p tcp --dport $FORWARD_PORT_RANGE -j DNAT --to-destination $ROUTER_BEHIND_SPH_IP
- ipt iptables -t nat -A PREROUTING -i gre+ -m multiport -p udp --dport $FORWARD_PORT_RANGE -j DNAT --to-destination $ROUTER_BEHIND_SPH_IP
- ipt iptables -t nat -A PREROUTING -i ppp256 -m multiport -p tcp --dport $FORWARD_PORT_RANGE -j DNAT --to-destination $ROUTER_BEHIND_SPH_IP
- ipt iptables -t nat -A PREROUTING -i ppp256 -m multiport -p udp --dport $FORWARD_PORT_RANGE -j DNAT --to-destination $ROUTER_BEHIND_SPH_IP
Vielleicht kann jemand das Setting gebrauchen
Die Ports und Adressen müssen natürlich angepasst werden.
Für Optimierungsvorschläge bin ich auf jeden Fall dankbar!
DIe "richtige" Firewall werde ich nun mit nftables aufsetzen.
Ich weiß, dass ich nicht weiß