© 2002-01-18 Jørgen Thomsen, jth@jth.net

Brug jth.nets
godkendte navneservere
til dine domæner!

Forslag til ny standardkonfiguration

Dette er beregnet til alle de private, der bestiller Pro@ccess ADSL og som har et andet behov end virksomheder. En privatperson, der bestiller Pro@ccess ADSL gør det formodentlig for at få en fast IP-adresse til Internet-spil og/eller til en enkelt server. Det kunne være fx. en Linux maskine som server og 2 Win98 maskiner på et LAN til surf og spil. Det er et krav, at mindst een maskine hos kunden har helt uhindret adgang til Internettet og kan bruges til almindeligt anvendte programmer som ICQ, NetMeeting mv.

Det forlyder, at priserne på Speedstream 5711 og Cisco 1401 er henholdsvis ca. 4350 og 5300 kr.

NAT/PAT opsættes som følger, idet den eksterne faste IP-adresse ikke indgår i NAT oversættelsen ved udgående requests.

Officielle portnumre  
Servicenavne og forkortelser
Protokolnumre

Nedenfor listes de øvrige specielle ting i konfigurationen. Da dette er en standardkonfiguration, og Tele Danmark har et ønske om at begrænse kundernes adgang til routeren m.m., så indlægges der også nogle begrænsninger (som i vers. 1.05 af dette forslag er lettet lidt).

• PVC værdien på ATM interfacet er 101 (RFC 1483) og protokol er RAWIP
• Domain Name Servere sættes til 193.162.159.194 og 193.162.145.130
• Webbaseret ping til router kan foretages fra Albertslund g1 routeren (195.249.4.165) via http://noc.tele.dk/cgi-bin/lg.cgi
• Al trafik med undtagelse af pings til router fra LAN afvises (1.05: adgang fra LAN og offentlig IP-adresse)
• NETBIOS trafik til/fra Internet blokeres
• Routerens simple firewall aktiveres
• Ingen adgang til WEB GUI interfacet i routeren (1.05: adgang fra LAN og offentlig IP-adresse)
• Ingen trafik til Tele Danmarks overvågningsmaskiner
• Telnet og SNMP til router kun fra Tele Danmarks overvågningsmaskiner (1.05: adgang fra LAN og offentlig IP-adresse)

Værktøj til folk med egen SpeedStream 5711 router

BAT-filerne nedenfor genererer router-kommandoer i 3 filer conf1.bat, conf2.bat samt conf3.bat, som med TFTP (copy tftp@<PC IP-adresse>:conf1.bat conf1.bat, husk eth ip filter flush input) skal overføres til routeren, hvorefter de eksekveres i routeren med kommandoen execute conf1.bat. Denne kommando starter en konfigurationsprocess med flere boots af routeren og automatisk eksekvering af conf2.bat og conf3.bat.
Efter download, så tast conf5711 eller cnf5711s for at få en kort vejledning.
I v. 1.10 er parametrene ændret, så man angiver linjehastigheden (256, 512, osv) aht upload. Tidligere var den fast 256 Kbps medmindre man selv ændrede den i conf2.bat. Password er standard 'admin' efter konfiguration. Kan ændres med system admin 'password' .

• DOS/Windows BAT-fil. Konfiguration: router <-> LAN v. 1.12 25-5-3-2001 (simpel firewall)
  OBS. Anvend kun version 1.04 fra 6-12-2000 eller senere versioner
• Ditto, men til router <-> server <-> hub <-> LAN opstilling v. 1.12 25-5-2001(simpel firewall)

  Firewall indstillinger i v. 1.12
  

  • blokerer for NETBIOS trafik både på sædvanlige porte og Microsoft port 445 (445 bruges af noget VPN)
  • blokerer for syslog
  • blokerer for ukurante afsenderadresser fx. udgivende sig for LAN adresser (0.x.x.x, 10.x.x.x, 127.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x)
  • blokerer for pakker med forkert modtageradresse (a.b.c.d er den offtl. IP-adresse)
  • accepterer kun pings fra Tele Danmarks servere og Albertslund g1 routeren
  • blokerer alle indgående ICMP pakker undtagen Echo Reply (0), Destination Unreachable (3) og Source Quench
  • blokerer alle udgående ICMP pakker undtagen Echo Request (8) dvs. ping og traceroute. Man kommer til at optræde som et 'sort' hul, der hverken svarer på pings eller traceroute eller hacker pakker i øvrigt.

  # Firewalling
  # Block WAN packets with source address from LAN
  eth ip firewall on
  system syslogport disabled
  system addsyslogfilter LAN
  
  # Begin rules for input list
  remote ipfilter flush  input internet
  remote ipfilter insert 0 input drop -c 0 -dp 137:139 internet
  remote ipfilter insert 1 input drop -c 0 -dp 445 internet
  remote ipfilter insert 2 input drop -c 0 -sa 0.0.0.0 -sm 255.0.0.0 internet
  remote ipfilter insert 3 input drop -c 0 -sa 10.0.0.0 -sm 255.0.0.0 internet
  remote ipfilter insert 4 input drop -c 0 -sa 127.0.0.0 -sm 255.0.0.0 internet
  remote ipfilter insert 5 input drop -c 0 -sa 172.16.0.0:172.31.255.255 internet
  remote ipfilter insert 6 input drop -c 0 -sa 192.168.0.0 -sm 255.255.0.0 internet
  remote ipfilter insert 7 input drop -c 0 -sa <off. IP-adr> internet
  remote ipfilter insert 8 input accept -c 0 -p icmp -sp 0 -dp 0 internet
  remote ipfilter insert 9 input accept -c 0 -p icmp -sp 3:4 internet
  remote ipfilter insert 10 input accept -c 0 -p icmp -sp 11 internet
  remote ipfilter insert 11 input accept -c 0 -p icmp -sa 193.162.146.71:193.162.146.72 -dp 0 internet
  remote ipfilter insert 12 input accept -c 0 -p icmp -sa 193.162.146.71:193.162.146.72 -dp 8 internet
  remote ipfilter insert 13 input accept -c 0 -p icmp -sa 195.249.4.165 -dp 0 internet
  remote ipfilter insert 14 input accept -c 0 -p icmp -sa 195.249.4.165 -dp 8 internet
  remote ipfilter insert 15 input drop -c 0 -p icmp internet
  remote ipfilter insert 16 input accept -c 0 -da <off. IP-adr> internet
  remote ipfilter insert 17 input drop -c 0 internet
  # End rules for input list
  
  
  # Begin rules for output list
  remote ipfilter flush  output internet
  remote ipfilter insert 0 output accept -c 0 -v -p icmp -sa <off. IP-adr> -sp 8 internet
  remote ipfilter insert 1 output accept -c 0 -da 193.162.146.71:193.162.146.72 internet
  remote ipfilter insert 2 output accept -c 0 -da 195.249.4.165 internet
  remote ipfilter insert 3 output drop -c 0 -p icmp internet
  remote ipfilter insert 4 output accept -c 0 -sa <off. IP-adr> internet
  remote ipfilter insert 5 output drop -c 0 -v internet
  # End rules for output list
  
  # Change Albertslund g1 address in pre 1.08 configurations
  system addIProutingtable 195.249.4.165 TDK
  system delIProutingtable 195.249.2.45 TDK
  

  Albertslund g1 har ændret IP-adresse fra 195.249.2.45 til 195.249.4.165.
• Efficient Trivial FTP program til overførsel af data til/fra router (Windows)
  Det forlyder også at UNIX/Linux in.tftpd programmet skulle kunne bruges.
• Beskrivelser af stik bl.a. DB-9 og RJ-45

Routerlistninger

• TDK standardkonfiguration for 5711, ultimo 2000
• TDK standardkonfiguration for 5711, ultimo 2001 18-01-2002
• TDK standardkonfiguration for 5781 13-11-2001
• router <-> LAN
• router <-> server <-> hub <-> LAN

Advarsel: Routerkonfigurering er ikke en simpel ting! Overvej nøje, hvad du kaster dig ud i. Man kan ikke uden ekstra viden bruge ovennævnte til at konfigurere Tele Danmarks router, hvad man i øvrigt heller ikke må ifølge abonnementsbetingelserne.