SP-H IPv6 Prefix Delegation (mit Telekom-Adressen)

danXde · 17. Mai 2018, 08:45

@bri50 eigentlich nicht. ip6tables sollte vorhanden sein. ..dann mal checken, ob ich das ausversehen mit umbenannt hatte.

Schick mir mal ein

ip6tables --list-rules,
ip6tables -t nat --list-rules

und

ip6tables -t mangle --list-rules,

Grüße

danXde

eMKay77 · 17. Mai 2018, 09:30

@danXde: hattest Du das nicht umbenannt und selbst unter neuem Namen aufgerufen, damit die SPH-Firmware es nicht ohne Dein Wissen nutzen und Dir in den Tables rumpfuschen kann?
(mir war so - weiß aber nicht, ob's in der aktuellen Version noch so ist...)

mfg, emkay

bri50 · 17. Mai 2018, 11:17

@eMKay77 yup - ist in der aktuellen Version genauso wie du beschrieben hast

bri50 · 17. Mai 2018, 11:35

ipt ip6tables --list-rules

Quellcode

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N FORWARD_DT
-N FORWARD_FIREWALL
-N FORWARD_ICMP_LAN
-N FORWARD_ICMP_WAN
-N FORWARD_PREFIX
-N FWD_ABUSE
-N FWD_ABUSE_DFT
-N FWD_ABUSE_USR
-N FWD_BLACK_LIST
-N INPUT_DT
-N INPUT_FIREWALL
-N INPUT_SERVICE
-A INPUT ! -i br0 -p 47 -j ACCEPT
-A INPUT -s fe80::1/128 -i ppp+ -p icmpv6 -m icmp6 --icmpv6-type 134 -j DROP
-A INPUT ! -d fe80::1/128 -i br0 -p tcp -m multiport --dports 23,53,80,443 -j DROP
-A INPUT ! -d fe80::1/128 -i br0 -p udp -m udp --dport 53 -j DROP
-A INPUT -i br0 -m mark --mark 0x10/0x10 -j REJECT --reject-with icmp6-dst-unreachable
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_DT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j INPUT_SERVICE
-A INPUT -j INPUT_FIREWALL
-A FORWARD -i br+ -m mark --mark 0x40000000/0x40000000 -j FWD_BLACK_LIST
-A FORWARD -i br+ -m mark --mark 0x10000000/0x10000000 -j FWD_BLACK_LIST
-A FORWARD -i br+ -m mark --mark 0x20000000/0x20000000 -j FWD_BLACK_LIST
-A FORWARD -i br0 -m mark --mark 0x10/0x10 -j REJECT --reject-with icmp6-dst-unreachable
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j FORWARD_DT
-A FORWARD -j FORWARD_PREFIX
-A FORWARD -j FORWARD_FIREWALL
-A FORWARD -i br0 -o ppp+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
-A FORWARD -i br0 -o ppp+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
-A FORWARD -i br0 -o gre+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
-A FORWARD -i br0 -o gre+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
-A OUTPUT -m mark --mark 0x40000000/0xf0000000 -j DROP
-A OUTPUT -m mark --mark 0x10000000/0xf0000000 -j DROP
-A OUTPUT -m mark --mark 0x20000000/0xf0000000 -j DROP
-A OUTPUT -o nas+ -j DROP
-A OUTPUT ! -o br+ -p icmpv6 -m icmp6 --icmpv6-type 137/0 -j DROP
-A OUTPUT -s fe80::/10 ! -o br+ -j ACCEPT
-A OUTPUT -d 2000::/3 ! -o br+ -j ACCEPT
-A OUTPUT -o br0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -j DROP
-A FORWARD_DT -i br0 -o rmnet0 -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_DT ! -i br+ -p icmpv6 -j FORWARD_ICMP_WAN
-A FORWARD_FIREWALL -d fec0::/10 -o rmnet0 -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -d fd00::/8 -o rmnet0 -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -d fec0::/10 -o ppp256 -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -d fd00::/8 -o ppp256 -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -d fec0::/10 -o gre+ -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -d fd00::/8 -o gre+ -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -p icmpv6 -j FORWARD_ICMP_LAN
-A FORWARD_FIREWALL -p icmpv6 -j REJECT --reject-with icmp6-addr-unreachable
-A FORWARD_FIREWALL -d 2003:6:34a:a40::/60 -i gre+ -o br0 -j ACCEPT
-A FORWARD_FIREWALL -d 2003:6:34a:a40::/60 -i ppp256 -o br0 -j ACCEPT
-A FORWARD_FIREWALL ! -i br+ -j DROP
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 128/0 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 2 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
-A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m frag -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 128 -j DROP
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 2 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
-A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m frag -j ACCEPT
-A FORWARD_PREFIX ! -s 2003:6:34a:a00::/56 -i br0 -j REJECT --reject-with icmp6-dst-unreachable
-A FWD_ABUSE -j FWD_ABUSE_DFT
-A FWD_ABUSE -j FWD_ABUSE_USR
-A FWD_BLACK_LIST -m mark --mark 0x80000000/0x80000000 -j RETURN
-A FWD_BLACK_LIST -j DROP
-A INPUT_DT -i br0 -p tcp -m multiport --dports 21 -j DROP
-A INPUT_DT -i br0 -p udp -m multiport --dports 137,138 -j DROP
-A INPUT_DT -i br0 -p tcp -m multiport --dports 139,445 -j DROP
-A INPUT_DT ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 128 -j DROP
-A INPUT_DT ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 2 -j ACCEPT
-A INPUT_DT -p icmpv6 -m icmp6 --icmpv6-type 128/0 -m limit --limit 5/sec --limit-burst 1 -j ACCEPT
-A INPUT_DT -s fe80::/10 -d fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 133 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 134 -j ACCEPT
-A INPUT_DT -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 135 -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
-A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 130 -j ACCEPT
-A INPUT_DT -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 135 -j DROP
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
-A INPUT_DT -s 2000::/3 -p icmpv6 -m icmp6 --icmpv6-type 135 -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
-A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
-A INPUT_DT -s 2000::/3 -p icmpv6 -m icmp6 --icmpv6-type 135 -j DROP
-A INPUT_DT -p icmpv6 -m icmp6 --icmpv6-type 128/0 -j DROP
-A INPUT_DT ! -i br+ -p udp -m udp --dport 53 -j DROP
-A INPUT_DT ! -i br+ -p udp -j ACCEPT
-A INPUT_FIREWALL ! -i br0 -j DROP
-A INPUT_FIREWALL -i br0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 50 -j ACCEPT
-A INPUT_FIREWALL -i br0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP
-A INPUT_SERVICE -i ppp256 -p tcp -m tcp --dport 7547 -j ACCEPT
-A INPUT_SERVICE -i ppp256 -p udp -m udp --dport 8081 -j ACCEPT
-A INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5061 -j ACCEPT
-A INPUT_SERVICE -i rmnet0 -p tcp -m tcp --dport 7547 -j ACCEPT
-A INPUT_SERVICE -i rmnet0 -p udp -m udp --dport 8081 -j ACCEPT

ipt ip6tables -t nat --list-rules

Quellcode

ip6tables v1.4.16.3: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
Perhaps ip6tables or your kernel needs to be upgraded.

bri50 · 17. Mai 2018, 11:36

... und weil es nicht in eine Message passt

ipt ip6tables -t mangle --list-rules

Quellcode

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N BLACK_LIST
-N FORWARD_WAN_RULES
-N FWD_FILTER_LIST
-N PRE_FILTER_LIST
-N PRE_LAN_SUBNET
-N ROUTE_CTL_LIST
-A PREROUTING -i br0 -j ROUTE_CTL_LIST
-A PREROUTING -i br0 -j PRE_FILTER_LIST
-A PREROUTING -j PRE_LAN_SUBNET
-A PREROUTING -i br0 -j MARK --set-xmark 0x10/0x10
-A FORWARD -i br0 -j FORWARD_WAN_RULES
-A OUTPUT -p 47 -m mark --mark 0x5/0xf -j DSCP --set-dscp 0x30
-A OUTPUT -m mark --mark 0xe/0xf -j MARK --set-xmark 0x0/0xf
-A OUTPUT -m mark --mark 0x9/0xf -j MARK --set-xmark 0x0/0xf
-A OUTPUT -p udp -m udp --dport 53 -j MARK --set-xmark 0x8/0xf
-A OUTPUT -d 2000::/3 -m mark --mark 0x1000/0x1000 -j ROUTE_CTL_LIST
-A POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j DSCP --set-dscp 0x30
-A POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j MARK --set-xmark 0x5/0xf
-A POSTROUTING -p 47 -m mark --mark 0x200000/0xf00000 -j MARK --set-xmark 0x0/0xf
-A FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
-A FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
-A FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
-A FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
-A FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
-A FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
-A FORWARD_WAN_RULES -m dscp --dscp 0x18 -j MARK --set-xmark 0x2/0xf
-A FORWARD_WAN_RULES -m dscp --dscp 0x18 -j ACCEPT
-A FORWARD_WAN_RULES -j DSCP --set-dscp 0x00
-A PRE_LAN_SUBNET -s fe80::/10 -i br0 -j ACCEPT
-A PRE_LAN_SUBNET -s fd00::/8 -i br0 -j ACCEPT
-A PRE_LAN_SUBNET -s ::/128 -i br0 -j ACCEPT
-A PRE_LAN_SUBNET -i br0 -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
-A PRE_LAN_SUBNET -s 2003:cf:WXYZ:d240::/60 -i br0 -j ACCEPT
-A ROUTE_CTL_LIST -d 2003:cf:WXYZ:d240::/60 -j RETURN
-A ROUTE_CTL_LIST -j BLACK_LIST
-A ROUTE_CTL_LIST -m mark --mark 0x80000000/0x80000000 -j ACCEPT
-A ROUTE_CTL_LIST -j FWD_FILTER_LIST

danXde · 17. Mai 2018, 12:24

@eMKay77 ...für IPv4 hatte ich das gemacht. IPv6 hingegen hatte ich nicht so rabiat angepasst und nur leicht umgeschrieben und mit dynamic versehen, das bei Scopewechsel auch der DHCP und die Firewall mitgezogen wird.

@bri50 danke, bin grad auf einer anderen Firmware unterwegs, da scheinen sie also wieder mal die Filter etwas umgebaut zu haben.

Ich mach mal ein neues Package für die 3.7.1 fertig und ersetze es dann in der Komplettlösung.

Grüße

danXde

bri50 · 17. Mai 2018, 12:57

@danXde wenn du schon gerade bei Anpassungen bist:

Ich hatte in /opt/bin/dibbler-server-notify.sh im "add"-Abschnitt eine kleine Bereinigung angefügt. Ansonsten wächst die Datei so maßlos (jedenfalls bei mir).

Brainfuck-Quellcode

if [ "$STATUS" == "add" ]
then
if [ "$PREFIX1" == "" ]
then
echo "Prefix is empty ($STATUS/$REMOTE_ADDR) => leaving" >> $LOGFILE
date >> $LOGFILE
exit 0
fi
ip -6 route add $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256
ip -6 route add $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 1024 table 200
ip -6 route add $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 1024 table 201
echo "/bin/ip -6 route del $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256" >> /opt/var/lib/dibbler/undo_ipv6_route.sh
echo "/bin/ip -6 route del $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256 table 200" >> /opt/var/lib/dibbler/undo_ipv6_route.sh
echo "/bin/ip -6 route del $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256 table 201" >> /opt/var/lib/dibbler/undo_ipv6_route.sh
sort -u /opt/var/lib/dibbler/undo_ipv6_route.sh >/tmp/sort_route.sh
mv -f /tmp/sort_route.sh /opt/var/lib/dibbler/undo_ipv6_route.sh
chmod 777 /opt/var/lib/dibbler/undo_ipv6_route.sh
if [ "$LOG" != "0" ]
then
echo "--- $1 -------------------------------------------------------" >> $LOGFILE
date >> $LOGFILE
echo "ADD: Routing $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256 enabled ..." >> $LOGFILE
fi
fi

mchack · 17. Mai 2018, 14:14

kurze zwischenfrage:
was kann eigentlich dibbler was der dhcp6s der schon auf dem sph ist nicht kann? liesse sich dieser nicht auch durch eine irgendwie geartete ander config dazu überreden prefix delegation zu machen?

(warte auf ein upgrade des dibbler paketes für fw 3.7.1 bevor ich es damit versuche (danke dafür danxde!) und wollte in der zwischenzeit herausfinden warum es überhaupt so harkt beim sph...)

danXde · 17. Mai 2018, 15:24

@mchack sagen wir mal so, der Dippler kann IPv6 PD und man kann ihn komplett konfigurieren. die Konfigurationsmöglichkeiten habe ich beim dhcp6s vermisst.

Grüße

danXde

danXde · 17. Mai 2018, 15:48

@bri50 ...ich habe bei mir das Logging auf 0, dann fällt es nicht so auf.

@bri50 @mchack ...habe das neue Paket hochgeladen.

Grüße

danXde

bri50 · 17. Mai 2018, 19:25

@danXde prima - aber ip6tables gibt es nach wie vor nur als ip6tables.o

bri50 · 17. Mai 2018, 21:52

@danXde

fw6.sh habe ich noch anpassen müssen, da beim Löschen einige Abhängigkeiten entfernt werden mussten

Quellcode

#!/bin/sh
#
# clean-up ip6tables
#
ipt ip6tables -D INPUT_SERVICE -i ppp256 -p tcp -m tcp --dport 7547 -j ACCEPT
ipt ip6tables -D INPUT_SERVICE -i ppp256 -p udp -m udp --dport 8081 -j ACCEPT
ipt ip6tables -D INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
ipt ip6tables -D INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5061 -j ACCEPT
ipt ip6tables -D INPUT_SERVICE -i rmnet0 -p tcp -m tcp --dport 7547 -j ACCEPT
ipt ip6tables -D INPUT_SERVICE -i rmnet0 -p udp -m udp --dport 8081 -j ACCEPT
ipt ip6tables -D INPUT -j INPUT_SERVICE
ipt ip6tables -X INPUT_SERVICE
ipt ip6tables -D FORWARD -i br0 -o ppp+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
ipt ip6tables -D FORWARD -i br0 -o ppp+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
ipt ip6tables -D FORWARD -i br0 -o gre+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
ipt ip6tables -D FORWARD -i br0 -o gre+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
#ipt ip6tables -D FWD_ABUSE -m limit --limit 1/min -j LOG --log-level 1
#ipt ip6tables -D FWD_ABUSE -j DROP
ipt ip6tables -D FWD_ABUSE -j FWD_ABUSE_DFT
ipt ip6tables -D FWD_ABUSE -j FWD_ABUSE_USR
ipt ip6tables -X FWD_ABUSE
ipt ip6tables -F FWD_ABUSE_DFT
ipt ip6tables -X FWD_ABUSE_DFT
ipt ip6tables -D FORWARD -i br+ -m mark --mark 0x40000000/0x40000000 -j FWD_BLACK_LIST
ipt ip6tables -D FORWARD -i br+ -m mark --mark 0x10000000/0x10000000 -j FWD_BLACK_LIST
ipt ip6tables -D FORWARD -i br+ -m mark --mark 0x20000000/0x20000000 -j FWD_BLACK_LIST
ipt ip6tables -F FWD_BLACK_LIST
ipt ip6tables -X FWD_BLACK_LIST
ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
ipt ip6tables -t mangle -D POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j DSCP --set-dscp 0x30
ipt ip6tables -t mangle -D POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j MARK --set-xmark 0x5/0xf

danXde · 17. Mai 2018, 22:55

@bri50 ..ok, dann die beiden Sachen noch eingepflegt.

Schönen Abend!

danXde

mchack · 18. Mai 2018, 15:53

@danXde vielen dank dafür!
Ich bin leider immer noch nicht weiter (Nachtschicht -> wenig Zeit für den Sph) aber ich hab jetzt mal den _bootstrap_.tgz.zip auf den sph übertragen (übrigens per netcat ["busybox-mips nc -l -p 10000 > _bootstrap_.tgz.zip" auf dem speedport und "nc 192.168.1.1 10000 < _bootstrap_.tgz.zip" auf dem pc] supercool

(wget direkt von stricted.net ging nämlich nicht) aber leider immer noch nicht den bootstrap an sich durchgeführt.

Ich habe bedenken weil die komplettlösung so ein riesen paket ist inclusive zsh und vnstat und klimbim und alten logfiles (z.b. var/log/dropbear.log -> 'dlucke' sollte die evtl. mal löschen

usw. und würde gerne nur das nötigste installieren (vorerst ausschliesslich dibbler) und dann vielleicht modular weitere dinge hinzufügen. Soll jetzt aber nicht undankbar klingen. Wenn ich's schaff ein aktualisiertes nur dibbler paket zu schnüren lad ich's gern hier hoch... aber erstma gucken ob ich's überhaupt hinbekomme...

bri50 · 18. Mai 2018, 21:21

@mchack

wie groß ist denn dein USB-Stick? Meiner ist der kleinste Thumbnail-Stick, den ich finden konnte: 16GB
Und trotz massiger Logs, zusätzlicher Tools und Skripte, nutze ich gerade mal 2% => also keine Sorge

bri50 · 18. Mai 2018, 21:26

@danXde

Da sich wahrscheinlich auch in Zukunft die ipv6 Regeln ändern werden, habe ich meine fw6.sh wie folgt abgeändert:

Quellcode

#!/opt/bin/bash
#
# clean-up ip6tables
#
remove_filter() {
ipt ip6tables -S | grep "$1" | grep '\-A' | while read -r line ; do
del=${line/-A/-D}
#echo "removing filter $del"
ipt ip6tables $del
done
ipt ip6tables -F $1
ipt ip6tables -Z $1
ipt ip6tables -X $1
}
remove_mangle() {
ipt ip6tables -t mangle -S | grep "$1" | grep '\-A' | grep '\-\-dport' | while read -r line ; do
del=${line/-A/-D}
#echo "removing mangle $del"
ipt ip6tables -t mangle $del
done
}
remove_filter INPUT_SERVICE
remove_filter FWD_ABUSE_DFT
remove_filter FWD_ABUSE_USR
remove_filter FWD_BLACK_LIST
remove_filter FWD_ABUSE
remove_mangle FORWARD_WAN_RULES
remove_mangle POSTROUTING

Grüße, bri50

danXde · 19. Mai 2018, 13:45

@bri50 kann man so machen (sieht auf den ersten Blick gut aus.) Mit den IPv6-Regeln muss man schauen, wohin die Reise gehen soll.

@mchack ...es ist eben nicht nur der dibbler, sondern ein Konstrukt aus dibbler, iptables und crond. Wenn Du Teile der Installation nicht brauchst, dann kannst Du im boootstrap_init.sh (zu finden im _bootstrap_ mit # einfach die nichtbenötigten Sachen auskommentieren. Ich werde aber nicht mehere unterschiedliche Setup's pflegen, sondern nur welche ich auch betreibe. ...schon um es wenigstens testen zu können. Ansonsten habe ich schon versucht Balast zwischen V2 und V3 abzuwerfen. ..ja die beiden Logfiles sind mir dabei durch die Lappen gegangen. ...aber so groß waren die nun auch nicht. > LOGFILE hilft da weiter.

Grüße

danXde

mchack · 19. Mai 2018, 17:20

@bri50 ich nehme an das letzte script geht nicht mit /bin/sh?

ok, dann muss bash auch noch mit rauf

jo usb stick is groß genug (32gb) und ich mach mir auch eher sorgen etwas zu übersehen und so ein loch aufzureissen im sph, der ja doch ein einstiegstor in mein netz ist. Aber naja, ich guck einfach mal wie weit ich komme und am ende aktivier ich dann einfach die komplettlösung

@danXde ja stimmt. so werd ich's am ende machen. Aber erstmal rumprobieren :), du musst dass dann natürlich nicht supporten. eh klar.

Ich sammel mal ein bischen was mir auffällt:

z.B. crond war früher ein symlink auf busybox-mips und is jetzt ein eigenes executable (grösser als busybox sogar) -> ah ok wahrscheinlich beim kopieren kaputgegangen (is mir auch grad passiert und somit schlicht ein umbenanntes busybox-mips.)
busybox-mips is glaub ich nicht die neueste version die emkay bereitgestellt hat (1.28.1) sondern eher noch eine von '16
/opt/orig/bin - ich wollte nur nochmal nachfragen sind das die neuesten files aus fw 3.7.1 oder noch aus einer älteren fw? (hab keine unterschiede entdeckt, wollte nur sicher gehen. - so oder so werd ich's erst mal ohne probieren. (dibbler sollte doch auch funktionieren ohne igmp und ip(6)tables umzubenennen/verbiegen, richtig?. ich versuch's mal mit nem einfachen "ln -s /bin/xtables-multi /opt/bin/ipt" um die fw.sh und fw6.sh nicht umschreiben zu müssen))
fw.sh - Ich versteh's einfach nicht. sorry. gibt's irgendwo nen thread wo erklärt wird was da passiert? baut das die originale fw nach mit änderungen oder ist das alles eine eigene kreation? kann nicht einfach die originale fw weiterlaufen? hier wären mehr kommentare echt nützlich, ich bin nämlich ziemlicher iptables-analphabet.
(In diesem zusammenhang @bri50 würdest du deine fw.sh teilen? du sagtest da ist ziemlich durchzug zum usg und ich hab ein änliches setup (nur zu einem erl3 fände es interessant zu sehen wie du das gemacht hast.)
was macht route.sh? 1. löscht eine route zum lte modul? warum? 2. macht ne route zu 217.0.0.0 über ppp256 - das is um voip über die dsl leitung zu routen? is das nicht eh über die fw weboberfläche einzustellen und deshalb redundant? ich versuch's mal wegzulassen

ok ich poste das jetzt ohne irgendwas auf dem sph probiert zu haben. melde mich wieder wenn ich ein sehr verschlanktes bootstrap auch mal ausprobiert hab.

(dann vermutlich sinnvoller

danXde · 19. Mai 2018, 18:15

@mchack ...naja Optimierung habe ich nicht ausgeschlossen. Updates habe ich auch immer wieder einfliessen lassen. Die neue busybox-mips kann man ja auch reinpacken. Eigentlich sollten das dann alles Symlink's. sein. Ist wohl beim Zusammenpacken was. daneben gegangen oder beim auspacken -h nicht mit angegeben. Die ipt war auf die alte busybox von Telekom gelinkt. Bisher war ich bei dem Thema relativ allein auf weiter Flur und habe auch wenig Feedback erhalten. Bei mir selbst ist das Setup in Gebrauch und läuft stabil. Allerdings ziehe ich jetzt nicht jedes mal davon ein Image, da dadurch immer mal wieder zu viele Daten in Logfiles und schlimmer im Setup enthalten waren.

Ich habe halt am SPH auch soweit entschlackt, das die CPU halt mehr im Leerlauf ist. Und Multicast macht an meinem Anschluss kein Sinn, daher auch kein igmp.

Dippler kann auch ohne Anpassung der IPv6 Tables (mit dem fw6.sh) laufen. Das Update-Script muss aber die ip6table so anpassen, das der Prefix für IPv6 PD entsprechend freigeschaltet wird, damit man dann am nachfolgenden Router auch eingehende Freischaltungen vornehmen kann.

Ich habe iptables entfernt, damit von Telekom nicht die Firewall (ipv4) umkonfiguriert wird, sie schieben ja regelmäßig ihre Abuse-Einträge drauf. Das Fw-Setup im fw.sh ist das Telekom-Setup aber etwas entschlackt und dann so getunned, das die Firewall für die Fritz.Box optimiert ist. Die Route ist ausschliesslich wegen der Telefonie da und sollte eventuell nicht nötig sein. Schaden tut sie aber auch nicht, da über LTE nur eine IPv6 Verbindung zu Telekom aufgebaut wird und die Telefonie über die Tunnenverbindung nicht supported wird.

Im Ordner orig/bin sind die binary's aus dem originalen 3.7.1 kopiert.

Ich hoffe, ich habe alle Punkte erwischt.

Ansonsten, ich habe nicht gesagt, das ich niemand supporte, ich pflege hier nur nich x Setup's, die ich nicht testen kann. Wenn Du konkrete Fragen hast, kannst du dich gerne melden. ...hin uns wieder mache ich auch 'ne Teamviewer Session um zu schauen, wo's noch klemmt.

Grüße

danXde

mchack · 20. Mai 2018, 15:27

Vielen Dank für die interessanten erklärungen, hilft wirklich beim verstehen der entscheidungen.

Was sind denn diese "abuse-regeln" der telekom? Sperren die da irgendwelche Spammer oder versuchen die mich daran zu hindern spam zu verschicken falls mein rechner mit malware verseucht wird oder ähnliches?
Apropos wie könnte die Telekom eigentlich fw regeln nachträglich updaten, ich dachte für sowas müsste "Easy Support" oder wie das heisst aktiviert sein. Oder pollt die firmware tatsächlich einen server und holt sich da regelmässig neue Iptable Regeln ab? Wenn ja müsste sich ja rausfinden lassen welches binary das macht und dass dann sperren? wäre auf jeden fall interessant zu wissen.

was die Prefix Delegation betrifft, ich steig da eh immer noch nicht ganz durch wie das alles funktioniert (mein kopf is zu klein

radvd und dibbler scheinen ja irgendwie dasselbe zu machen. mir is das alles immer noch unklar. Einen Wechsel der Ip merken wir durch pollen der /var/radvd/radvdbr0.conf jede minute via cronjob der passiert aber normal nur alle 4 tage oder nach reboot, da wäre es doch schlau zu versuchen das im system einzubinden, hab ich gedacht

nur wie?!? Ich hab jetzt mal versucht die zeile "script /opt/bin/dhcp6update.sh" in /var/wan/ppp256/dhcp6c.conf einzufügen. Theoretisch würde das bei jedem ipv6 addresswechsel aufgerufen werden. überlebt nur keinen reboot

dass versteh ich auch nicht so recht wo diese files in /var alle herkommen und wie ich die verändern kann das verändert bleiben.

und wieso die ihre configfiles nicht einfach in /etc ablegen wie normale menschen

grr

SP-H IPv6 Prefix Delegation (mit Telekom-Adressen)

Quellcode

Quellcode

Quellcode

Brainfuck-Quellcode

Quellcode

Quellcode

Teilen

Benutzer online 82

Ähnliche Themen