SP-H IPv6 Prefix Delegation (mit Telekom-Adressen)

      ipt ip6tables --list-rules

      Quellcode

      1. ​-P INPUT ACCEPT
      2. -P FORWARD ACCEPT
      3. -P OUTPUT ACCEPT
      4. -N FORWARD_DT
      5. -N FORWARD_FIREWALL
      6. -N FORWARD_ICMP_LAN
      7. -N FORWARD_ICMP_WAN
      8. -N FORWARD_PREFIX
      9. -N FWD_ABUSE
      10. -N FWD_ABUSE_DFT
      11. -N FWD_ABUSE_USR
      12. -N FWD_BLACK_LIST
      13. -N INPUT_DT
      14. -N INPUT_FIREWALL
      15. -N INPUT_SERVICE
      16. -A INPUT ! -i br0 -p 47 -j ACCEPT
      17. -A INPUT -s fe80::1/128 -i ppp+ -p icmpv6 -m icmp6 --icmpv6-type 134 -j DROP
      18. -A INPUT ! -d fe80::1/128 -i br0 -p tcp -m multiport --dports 23,53,80,443 -j DROP
      19. -A INPUT ! -d fe80::1/128 -i br0 -p udp -m udp --dport 53 -j DROP
      20. -A INPUT -i br0 -m mark --mark 0x10/0x10 -j REJECT --reject-with icmp6-dst-unreachable
      21. -A INPUT -i lo -j ACCEPT
      22. -A INPUT -j INPUT_DT
      23. -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      24. -A INPUT -j INPUT_SERVICE
      25. -A INPUT -j INPUT_FIREWALL
      26. -A FORWARD -i br+ -m mark --mark 0x40000000/0x40000000 -j FWD_BLACK_LIST
      27. -A FORWARD -i br+ -m mark --mark 0x10000000/0x10000000 -j FWD_BLACK_LIST
      28. -A FORWARD -i br+ -m mark --mark 0x20000000/0x20000000 -j FWD_BLACK_LIST
      29. -A FORWARD -i br0 -m mark --mark 0x10/0x10 -j REJECT --reject-with icmp6-dst-unreachable
      30. -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
      31. -A FORWARD -j FORWARD_DT
      32. -A FORWARD -j FORWARD_PREFIX
      33. -A FORWARD -j FORWARD_FIREWALL
      34. -A FORWARD -i br0 -o ppp+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
      35. -A FORWARD -i br0 -o ppp+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
      36. -A FORWARD -i br0 -o gre+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
      37. -A FORWARD -i br0 -o gre+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
      38. -A OUTPUT -m mark --mark 0x40000000/0xf0000000 -j DROP
      39. -A OUTPUT -m mark --mark 0x10000000/0xf0000000 -j DROP
      40. -A OUTPUT -m mark --mark 0x20000000/0xf0000000 -j DROP
      41. -A OUTPUT -o nas+ -j DROP
      42. -A OUTPUT ! -o br+ -p icmpv6 -m icmp6 --icmpv6-type 137/0 -j DROP
      43. -A OUTPUT -s fe80::/10 ! -o br+ -j ACCEPT
      44. -A OUTPUT -d 2000::/3 ! -o br+ -j ACCEPT
      45. -A OUTPUT -o br0 -j ACCEPT
      46. -A OUTPUT -o lo -j ACCEPT
      47. -A OUTPUT -j DROP
      48. -A FORWARD_DT -i br0 -o rmnet0 -j REJECT --reject-with icmp6-addr-unreachable
      49. -A FORWARD_DT ! -i br+ -p icmpv6 -j FORWARD_ICMP_WAN
      50. -A FORWARD_FIREWALL -d fec0::/10 -o rmnet0 -j REJECT --reject-with icmp6-addr-unreachable
      51. -A FORWARD_FIREWALL -d fd00::/8 -o rmnet0 -j REJECT --reject-with icmp6-addr-unreachable
      52. -A FORWARD_FIREWALL -d fec0::/10 -o ppp256 -j REJECT --reject-with icmp6-addr-unreachable
      53. -A FORWARD_FIREWALL -d fd00::/8 -o ppp256 -j REJECT --reject-with icmp6-addr-unreachable
      54. -A FORWARD_FIREWALL -d fec0::/10 -o gre+ -j REJECT --reject-with icmp6-addr-unreachable
      55. -A FORWARD_FIREWALL -d fd00::/8 -o gre+ -j REJECT --reject-with icmp6-addr-unreachable
      56. -A FORWARD_FIREWALL -p icmpv6 -j FORWARD_ICMP_LAN
      57. -A FORWARD_FIREWALL -p icmpv6 -j REJECT --reject-with icmp6-addr-unreachable
      58. -A FORWARD_FIREWALL -d 2003:6:34a:a40::/60 -i gre+ -o br0 -j ACCEPT
      59. -A FORWARD_FIREWALL -d 2003:6:34a:a40::/60 -i ppp256 -o br0 -j ACCEPT
      60. -A FORWARD_FIREWALL ! -i br+ -j DROP
      61. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 128/0 -j ACCEPT
      62. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
      63. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
      64. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
      65. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
      66. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
      67. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 2 -j ACCEPT
      68. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
      69. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
      70. -A FORWARD_ICMP_LAN -i br+ -p icmpv6 -m frag -j ACCEPT
      71. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 128 -j DROP
      72. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
      73. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
      74. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
      75. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
      76. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
      77. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 2 -j ACCEPT
      78. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
      79. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
      80. -A FORWARD_ICMP_WAN ! -i br+ -o br+ -p icmpv6 -m frag -j ACCEPT
      81. -A FORWARD_PREFIX ! -s 2003:6:34a:a00::/56 -i br0 -j REJECT --reject-with icmp6-dst-unreachable
      82. -A FWD_ABUSE -j FWD_ABUSE_DFT
      83. -A FWD_ABUSE -j FWD_ABUSE_USR
      84. -A FWD_BLACK_LIST -m mark --mark 0x80000000/0x80000000 -j RETURN
      85. -A FWD_BLACK_LIST -j DROP
      86. -A INPUT_DT -i br0 -p tcp -m multiport --dports 21 -j DROP
      87. -A INPUT_DT -i br0 -p udp -m multiport --dports 137,138 -j DROP
      88. -A INPUT_DT -i br0 -p tcp -m multiport --dports 139,445 -j DROP
      89. -A INPUT_DT ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 128 -j DROP
      90. -A INPUT_DT ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 2 -j ACCEPT
      91. -A INPUT_DT -p icmpv6 -m icmp6 --icmpv6-type 128/0 -m limit --limit 5/sec --limit-burst 1 -j ACCEPT
      92. -A INPUT_DT -s fe80::/10 -d fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
      93. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
      94. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
      95. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
      96. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
      97. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
      98. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
      99. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 133 -j ACCEPT
      100. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 134 -j ACCEPT
      101. -A INPUT_DT -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 135 -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
      102. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
      103. -A INPUT_DT -s fe80::/10 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 130 -j ACCEPT
      104. -A INPUT_DT -s fe80::/10 -p icmpv6 -m icmp6 --icmpv6-type 135 -j DROP
      105. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 129/0 -j ACCEPT
      106. -A INPUT_DT -s 2000::/3 -p icmpv6 -m icmp6 --icmpv6-type 135 -m limit --limit 10/sec --limit-burst 10 -j ACCEPT
      107. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/0 -j ACCEPT
      108. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/1 -j ACCEPT
      109. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/3 -j ACCEPT
      110. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 1/4 -j ACCEPT
      111. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/0 -j ACCEPT
      112. -A INPUT_DT -s 2000::/3 ! -i br+ -p icmpv6 -m icmp6 --icmpv6-type 3/1 -j ACCEPT
      113. -A INPUT_DT -s 2000::/3 -p icmpv6 -m icmp6 --icmpv6-type 135 -j DROP
      114. -A INPUT_DT -p icmpv6 -m icmp6 --icmpv6-type 128/0 -j DROP
      115. -A INPUT_DT ! -i br+ -p udp -m udp --dport 53 -j DROP
      116. -A INPUT_DT ! -i br+ -p udp -j ACCEPT
      117. -A INPUT_FIREWALL ! -i br0 -j DROP
      118. -A INPUT_FIREWALL -i br0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 10/sec --limit-burst 50 -j ACCEPT
      119. -A INPUT_FIREWALL -i br0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP
      120. -A INPUT_SERVICE -i ppp256 -p tcp -m tcp --dport 7547 -j ACCEPT
      121. -A INPUT_SERVICE -i ppp256 -p udp -m udp --dport 8081 -j ACCEPT
      122. -A INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      123. -A INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5061 -j ACCEPT
      124. -A INPUT_SERVICE -i rmnet0 -p tcp -m tcp --dport 7547 -j ACCEPT
      125. -A INPUT_SERVICE -i rmnet0 -p udp -m udp --dport 8081 -j ACCEPT

      ipt ip6tables -t nat --list-rules

      Quellcode

      1. ​ip6tables v1.4.16.3: can't initialize ip6tables table `nat': Table does not exist (do you need to insmod?)
      2. Perhaps ip6tables or your kernel needs to be upgraded.
      ... und weil es nicht in eine Message passt

      ipt ip6tables -t mangle --list-rules

      Quellcode

      1. -P PREROUTING ACCEPT
      2. -P INPUT ACCEPT
      3. -P FORWARD ACCEPT
      4. -P OUTPUT ACCEPT
      5. -P POSTROUTING ACCEPT
      6. -N BLACK_LIST
      7. -N FORWARD_WAN_RULES
      8. -N FWD_FILTER_LIST
      9. -N PRE_FILTER_LIST
      10. -N PRE_LAN_SUBNET
      11. -N ROUTE_CTL_LIST
      12. -A PREROUTING -i br0 -j ROUTE_CTL_LIST
      13. -A PREROUTING -i br0 -j PRE_FILTER_LIST
      14. -A PREROUTING -j PRE_LAN_SUBNET
      15. -A PREROUTING -i br0 -j MARK --set-xmark 0x10/0x10
      16. -A FORWARD -i br0 -j FORWARD_WAN_RULES
      17. -A OUTPUT -p 47 -m mark --mark 0x5/0xf -j DSCP --set-dscp 0x30
      18. -A OUTPUT -m mark --mark 0xe/0xf -j MARK --set-xmark 0x0/0xf
      19. -A OUTPUT -m mark --mark 0x9/0xf -j MARK --set-xmark 0x0/0xf
      20. -A OUTPUT -p udp -m udp --dport 53 -j MARK --set-xmark 0x8/0xf
      21. -A OUTPUT -d 2000::/3 -m mark --mark 0x1000/0x1000 -j ROUTE_CTL_LIST
      22. -A POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j DSCP --set-dscp 0x30
      23. -A POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j MARK --set-xmark 0x5/0xf
      24. -A POSTROUTING -p 47 -m mark --mark 0x200000/0xf00000 -j MARK --set-xmark 0x0/0xf
      25. -A FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
      26. -A FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
      27. -A FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
      28. -A FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
      29. -A FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
      30. -A FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
      31. -A FORWARD_WAN_RULES -m dscp --dscp 0x18 -j MARK --set-xmark 0x2/0xf
      32. -A FORWARD_WAN_RULES -m dscp --dscp 0x18 -j ACCEPT
      33. -A FORWARD_WAN_RULES -j DSCP --set-dscp 0x00
      34. -A PRE_LAN_SUBNET -s fe80::/10 -i br0 -j ACCEPT
      35. -A PRE_LAN_SUBNET -s fd00::/8 -i br0 -j ACCEPT
      36. -A PRE_LAN_SUBNET -s ::/128 -i br0 -j ACCEPT
      37. -A PRE_LAN_SUBNET -i br0 -p icmpv6 -m icmp6 --icmpv6-type 136 -j ACCEPT
      38. -A PRE_LAN_SUBNET -s 2003:cf:WXYZ:d240::/60 -i br0 -j ACCEPT
      39. -A ROUTE_CTL_LIST -d 2003:cf:WXYZ:d240::/60 -j RETURN
      40. -A ROUTE_CTL_LIST -j BLACK_LIST
      41. -A ROUTE_CTL_LIST -m mark --mark 0x80000000/0x80000000 -j ACCEPT
      42. -A ROUTE_CTL_LIST -j FWD_FILTER_LIST
      @eMKay77 ...für IPv4 hatte ich das gemacht. IPv6 hingegen hatte ich nicht so rabiat angepasst und nur leicht umgeschrieben und mit dynamic versehen, das bei Scopewechsel auch der DHCP und die Firewall mitgezogen wird.

      @bri50 danke, bin grad auf einer anderen Firmware unterwegs, da scheinen sie also wieder mal die Filter etwas umgebaut zu haben.

      Ich mach mal ein neues Package für die 3.7.1 fertig und ersetze es dann in der Komplettlösung.

      Grüße

      danXde
      @danXde wenn du schon gerade bei Anpassungen bist:

      Ich hatte in /opt/bin/dibbler-server-notify.sh im "add"-Abschnitt eine kleine Bereinigung angefügt. Ansonsten wächst die Datei so maßlos (jedenfalls bei mir).

      Brainfuck-Quellcode

      1. if [ "$STATUS" == "add" ]
      2. then
      3. if [ "$PREFIX1" == "" ]
      4. then
      5. echo "Prefix is empty ($STATUS/$REMOTE_ADDR) => leaving" >> $LOGFILE
      6. date >> $LOGFILE
      7. exit 0
      8. fi
      9. ip -6 route add $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256
      10. ip -6 route add $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 1024 table 200
      11. ip -6 route add $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 1024 table 201
      12. echo "/bin/ip -6 route del $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256" >> /opt/var/lib/dibbler/undo_ipv6_route.sh
      13. echo "/bin/ip -6 route del $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256 table 200" >> /opt/var/lib/dibbler/undo_ipv6_route.sh
      14. echo "/bin/ip -6 route del $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256 table 201" >> /opt/var/lib/dibbler/undo_ipv6_route.sh
      15. sort -u /opt/var/lib/dibbler/undo_ipv6_route.sh >/tmp/sort_route.sh
      16. mv -f /tmp/sort_route.sh /opt/var/lib/dibbler/undo_ipv6_route.sh
      17. chmod 777 /opt/var/lib/dibbler/undo_ipv6_route.sh
      18. if [ "$LOG" != "0" ]
      19. then
      20. echo "--- $1 -------------------------------------------------------" >> $LOGFILE
      21. date >> $LOGFILE
      22. echo "ADD: Routing $PREFIX1/$PREFIX1LEN via $REMOTE_ADDR dev $IFACE metric 256 enabled ..." >> $LOGFILE
      23. fi
      24. fi
      kurze zwischenfrage:
      was kann eigentlich dibbler was der dhcp6s der schon auf dem sph ist nicht kann? liesse sich dieser nicht auch durch eine irgendwie geartete ander config dazu überreden prefix delegation zu machen?

      (warte auf ein upgrade des dibbler paketes für fw 3.7.1 bevor ich es damit versuche (danke dafür danxde!) und wollte in der zwischenzeit herausfinden warum es überhaupt so harkt beim sph...)
      @danXde

      fw6.sh habe ich noch anpassen müssen, da beim Löschen einige Abhängigkeiten entfernt werden mussten

      Quellcode

      1. ​#!/bin/sh
      2. #
      3. # clean-up ip6tables
      4. #
      5. ipt ip6tables -D INPUT_SERVICE -i ppp256 -p tcp -m tcp --dport 7547 -j ACCEPT
      6. ipt ip6tables -D INPUT_SERVICE -i ppp256 -p udp -m udp --dport 8081 -j ACCEPT
      7. ipt ip6tables -D INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5060 -j ACCEPT
      8. ipt ip6tables -D INPUT_SERVICE -i ppp256 -p udp -m udp --dport 5061 -j ACCEPT
      9. ipt ip6tables -D INPUT_SERVICE -i rmnet0 -p tcp -m tcp --dport 7547 -j ACCEPT
      10. ipt ip6tables -D INPUT_SERVICE -i rmnet0 -p udp -m udp --dport 8081 -j ACCEPT
      11. ipt ip6tables -D INPUT -j INPUT_SERVICE
      12. ipt ip6tables -X INPUT_SERVICE
      13. ipt ip6tables -D FORWARD -i br0 -o ppp+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
      14. ipt ip6tables -D FORWARD -i br0 -o ppp+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
      15. ipt ip6tables -D FORWARD -i br0 -o gre+ -p tcp -m multiport --dports 25,465,587 -j FWD_ABUSE
      16. ipt ip6tables -D FORWARD -i br0 -o gre+ -p udp -m multiport --dports 25,465,587 -j FWD_ABUSE
      17. #ipt ip6tables -D FWD_ABUSE -m limit --limit 1/min -j LOG --log-level 1
      18. #ipt ip6tables -D FWD_ABUSE -j DROP
      19. ipt ip6tables -D FWD_ABUSE -j FWD_ABUSE_DFT
      20. ipt ip6tables -D FWD_ABUSE -j FWD_ABUSE_USR
      21. ipt ip6tables -X FWD_ABUSE
      22. ipt ip6tables -F FWD_ABUSE_DFT
      23. ipt ip6tables -X FWD_ABUSE_DFT
      24. ipt ip6tables -D FORWARD -i br+ -m mark --mark 0x40000000/0x40000000 -j FWD_BLACK_LIST
      25. ipt ip6tables -D FORWARD -i br+ -m mark --mark 0x10000000/0x10000000 -j FWD_BLACK_LIST
      26. ipt ip6tables -D FORWARD -i br+ -m mark --mark 0x20000000/0x20000000 -j FWD_BLACK_LIST
      27. ipt ip6tables -F FWD_BLACK_LIST
      28. ipt ip6tables -X FWD_BLACK_LIST
      29. ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
      30. ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
      31. ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p udp -m udp --dport 123 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
      32. ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j MARK --set-xmark 0x3/0xf
      33. ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x18 -j DSCP --set-dscp 0x20
      34. ipt ip6tables -t mangle -D FORWARD_WAN_RULES -p tcp -m tcp --dport 80 -m dscp --dscp 0x20 -m mark --mark 0x3/0xf -j ACCEPT
      35. ipt ip6tables -t mangle -D POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j DSCP --set-dscp 0x30
      36. ipt ip6tables -t mangle -D POSTROUTING ! -o br+ -p udp -m udp --dport 5060 -m mark --mark 0x200000/0x200000 -j MARK --set-xmark 0x5/0xf
      @danXde vielen dank dafür!
      Ich bin leider immer noch nicht weiter (Nachtschicht -> wenig Zeit für den Sph) aber ich hab jetzt mal den _bootstrap_.tgz.zip auf den sph übertragen (übrigens per netcat ["busybox-mips nc -l -p 10000 > _bootstrap_.tgz.zip" auf dem speedport und "nc 192.168.1.1 10000 < _bootstrap_.tgz.zip" auf dem pc] supercool :D (wget direkt von stricted.net ging nämlich nicht) aber leider immer noch nicht den bootstrap an sich durchgeführt.

      Ich habe bedenken weil die komplettlösung so ein riesen paket ist inclusive zsh und vnstat und klimbim und alten logfiles (z.b. var/log/dropbear.log -> 'dlucke' sollte die evtl. mal löschen ;) usw. und würde gerne nur das nötigste installieren (vorerst ausschliesslich dibbler) und dann vielleicht modular weitere dinge hinzufügen. Soll jetzt aber nicht undankbar klingen. Wenn ich's schaff ein aktualisiertes nur dibbler paket zu schnüren lad ich's gern hier hoch... aber erstma gucken ob ich's überhaupt hinbekomme...
      @danXde

      Da sich wahrscheinlich auch in Zukunft die ipv6 Regeln ändern werden, habe ich meine fw6.sh wie folgt abgeändert:

      Quellcode

      1. ​#!/opt/bin/bash
      2. #
      3. # clean-up ip6tables
      4. #
      5. remove_filter() {
      6. ipt ip6tables -S | grep "$1" | grep '\-A' | while read -r line ; do
      7. del=${line/-A/-D}
      8. #echo "removing filter $del"
      9. ipt ip6tables $del
      10. done
      11. ipt ip6tables -F $1
      12. ipt ip6tables -Z $1
      13. ipt ip6tables -X $1
      14. }
      15. remove_mangle() {
      16. ipt ip6tables -t mangle -S | grep "$1" | grep '\-A' | grep '\-\-dport' | while read -r line ; do
      17. del=${line/-A/-D}
      18. #echo "removing mangle $del"
      19. ipt ip6tables -t mangle $del
      20. done
      21. }
      22. remove_filter INPUT_SERVICE
      23. remove_filter FWD_ABUSE_DFT
      24. remove_filter FWD_ABUSE_USR
      25. remove_filter FWD_BLACK_LIST
      26. remove_filter FWD_ABUSE
      27. remove_mangle FORWARD_WAN_RULES
      28. remove_mangle POSTROUTING


      Grüße, bri50
      @bri50 kann man so machen (sieht auf den ersten Blick gut aus.) Mit den IPv6-Regeln muss man schauen, wohin die Reise gehen soll.

      @mchack ...es ist eben nicht nur der dibbler, sondern ein Konstrukt aus dibbler, iptables und crond. Wenn Du Teile der Installation nicht brauchst, dann kannst Du im boootstrap_init.sh (zu finden im _bootstrap_ mit # einfach die nichtbenötigten Sachen auskommentieren. Ich werde aber nicht mehere unterschiedliche Setup's pflegen, sondern nur welche ich auch betreibe. ...schon um es wenigstens testen zu können. Ansonsten habe ich schon versucht Balast zwischen V2 und V3 abzuwerfen. ..ja die beiden Logfiles sind mir dabei durch die Lappen gegangen. ...aber so groß waren die nun auch nicht. > LOGFILE hilft da weiter.

      Grüße

      danXde
      @bri50 ich nehme an das letzte script geht nicht mit /bin/sh? :/ ok, dann muss bash auch noch mit rauf ;)
      jo usb stick is groß genug (32gb) und ich mach mir auch eher sorgen etwas zu übersehen und so ein loch aufzureissen im sph, der ja doch ein einstiegstor in mein netz ist. Aber naja, ich guck einfach mal wie weit ich komme und am ende aktivier ich dann einfach die komplettlösung ;)

      @danXde ja stimmt. so werd ich's am ende machen. Aber erstmal rumprobieren :), du musst dass dann natürlich nicht supporten. eh klar.

      Ich sammel mal ein bischen was mir auffällt:
      • z.B. crond war früher ein symlink auf busybox-mips und is jetzt ein eigenes executable (grösser als busybox sogar) -> ah ok wahrscheinlich beim kopieren kaputgegangen (is mir auch grad passiert und somit schlicht ein umbenanntes busybox-mips.)
      • busybox-mips is glaub ich nicht die neueste version die emkay bereitgestellt hat (1.28.1) sondern eher noch eine von '16
      • /opt/orig/bin - ich wollte nur nochmal nachfragen sind das die neuesten files aus fw 3.7.1 oder noch aus einer älteren fw? (hab keine unterschiede entdeckt, wollte nur sicher gehen. - so oder so werd ich's erst mal ohne probieren. (dibbler sollte doch auch funktionieren ohne igmp und ip(6)tables umzubenennen/verbiegen, richtig?. ich versuch's mal mit nem einfachen "ln -s /bin/xtables-multi /opt/bin/ipt" um die fw.sh und fw6.sh nicht umschreiben zu müssen))
      • fw.sh - Ich versteh's einfach nicht. sorry. gibt's irgendwo nen thread wo erklärt wird was da passiert? baut das die originale fw nach mit änderungen oder ist das alles eine eigene kreation? kann nicht einfach die originale fw weiterlaufen? hier wären mehr kommentare echt nützlich, ich bin nämlich ziemlicher iptables-analphabet.
      • (In diesem zusammenhang @bri50 würdest du deine fw.sh teilen? du sagtest da ist ziemlich durchzug zum usg und ich hab ein änliches setup (nur zu einem erl3 ;) fände es interessant zu sehen wie du das gemacht hast.)
      • was macht route.sh? 1. löscht eine route zum lte modul? warum? 2. macht ne route zu 217.0.0.0 über ppp256 - das is um voip über die dsl leitung zu routen? is das nicht eh über die fw weboberfläche einzustellen und deshalb redundant? ich versuch's mal wegzulassen ;)
      ok ich poste das jetzt ohne irgendwas auf dem sph probiert zu haben. melde mich wieder wenn ich ein sehr verschlanktes bootstrap auch mal ausprobiert hab. ;) (dann vermutlich sinnvoller ;)
      @mchack ...naja Optimierung habe ich nicht ausgeschlossen. Updates habe ich auch immer wieder einfliessen lassen. Die neue busybox-mips kann man ja auch reinpacken. Eigentlich sollten das dann alles Symlink's. sein. Ist wohl beim Zusammenpacken was. daneben gegangen oder beim auspacken -h nicht mit angegeben. Die ipt war auf die alte busybox von Telekom gelinkt. Bisher war ich bei dem Thema relativ allein auf weiter Flur und habe auch wenig Feedback erhalten. Bei mir selbst ist das Setup in Gebrauch und läuft stabil. Allerdings ziehe ich jetzt nicht jedes mal davon ein Image, da dadurch immer mal wieder zu viele Daten in Logfiles und schlimmer im Setup enthalten waren.

      Ich habe halt am SPH auch soweit entschlackt, das die CPU halt mehr im Leerlauf ist. Und Multicast macht an meinem Anschluss kein Sinn, daher auch kein igmp.

      Dippler kann auch ohne Anpassung der IPv6 Tables (mit dem fw6.sh) laufen. Das Update-Script muss aber die ip6table so anpassen, das der Prefix für IPv6 PD entsprechend freigeschaltet wird, damit man dann am nachfolgenden Router auch eingehende Freischaltungen vornehmen kann.

      Ich habe iptables entfernt, damit von Telekom nicht die Firewall (ipv4) umkonfiguriert wird, sie schieben ja regelmäßig ihre Abuse-Einträge drauf. Das Fw-Setup im fw.sh ist das Telekom-Setup aber etwas entschlackt und dann so getunned, das die Firewall für die Fritz.Box optimiert ist. Die Route ist ausschliesslich wegen der Telefonie da und sollte eventuell nicht nötig sein. Schaden tut sie aber auch nicht, da über LTE nur eine IPv6 Verbindung zu Telekom aufgebaut wird und die Telefonie über die Tunnenverbindung nicht supported wird.

      Im Ordner orig/bin sind die binary's aus dem originalen 3.7.1 kopiert.

      Ich hoffe, ich habe alle Punkte erwischt.

      Ansonsten, ich habe nicht gesagt, das ich niemand supporte, ich pflege hier nur nich x Setup's, die ich nicht testen kann. Wenn Du konkrete Fragen hast, kannst du dich gerne melden. ...hin uns wieder mache ich auch 'ne Teamviewer Session um zu schauen, wo's noch klemmt.

      Grüße

      danXde

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „danXde“ ()

      Vielen Dank für die interessanten erklärungen, hilft wirklich beim verstehen der entscheidungen. :D
      Was sind denn diese "abuse-regeln" der telekom? Sperren die da irgendwelche Spammer oder versuchen die mich daran zu hindern spam zu verschicken falls mein rechner mit malware verseucht wird oder ähnliches?
      Apropos wie könnte die Telekom eigentlich fw regeln nachträglich updaten, ich dachte für sowas müsste "Easy Support" oder wie das heisst aktiviert sein. Oder pollt die firmware tatsächlich einen server und holt sich da regelmässig neue Iptable Regeln ab? Wenn ja müsste sich ja rausfinden lassen welches binary das macht und dass dann sperren? wäre auf jeden fall interessant zu wissen.

      was die Prefix Delegation betrifft, ich steig da eh immer noch nicht ganz durch wie das alles funktioniert (mein kopf is zu klein ;) radvd und dibbler scheinen ja irgendwie dasselbe zu machen. mir is das alles immer noch unklar. Einen Wechsel der Ip merken wir durch pollen der /var/radvd/radvdbr0.conf jede minute via cronjob der passiert aber normal nur alle 4 tage oder nach reboot, da wäre es doch schlau zu versuchen das im system einzubinden, hab ich gedacht ;) nur wie?!? Ich hab jetzt mal versucht die zeile "script /opt/bin/dhcp6update.sh" in /var/wan/ppp256/dhcp6c.conf einzufügen. Theoretisch würde das bei jedem ipv6 addresswechsel aufgerufen werden. überlebt nur keinen reboot :(
      dass versteh ich auch nicht so recht wo diese files in /var alle herkommen und wie ich die verändern kann das verändert bleiben. :/ und wieso die ihre configfiles nicht einfach in /etc ablegen wie normale menschen ;) grr