Moin!
Ich habe hier eine Gateway-VM, die einen Tunnel zu Hide.me aufrecht erhält und alle Geräte eines (im ganzen Haus verfügbaren) VLANs durch diesen Tunnel ins Internet (nach Holland) leitet. Dazu laufen auf der VM folgeden iptables-Regeln:
iptables -A FORWARD -s 192.168.42.0/24 -i eth0.42 -o eth0 -m conntrack --ctstate NEW -j REJECT iptables -A FORWARD -s 192.168.42.0/24 -i eth0.42 -o tun0 -m conntrack --ctstate NEW -j ACCEPT iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Siehe auch hier: http://dede67.bplaced.net/OpenWrtFreifunk/gateway/Gateway.html#routing
Dadurch werden alle an eth0.42 ankommenden Pakete in den Tunnel geleitet. Das klappt seit einigen Monaten soweit wunderbar. Nun habe ich auf VoIP umgestellt und würde gerne ein VoIP-Telefon in dieses VLAN hängen (eben weil es im ganzen Haus verfügbar ist).
Meine Idee war, für die MAC-Adresse des VoIP-Telefones eine zusätzliche Regel an den Anfang meiner iptables-Regelliste zu setzen und damit genau diese eine MAC-Adresse zu berechtigen, nicht in den Tunnel gezwungen zu werden, sondern direkt auf der Fritzbox zu landen. Zuerst habe ich es probiert mit:
iptables -I FORWARD -m mac --mac-source <MAC des VoIP-Telefons> -i eth0.42 -o eth0 -j ACCEPT
Das brachte zwar gewisse Veränderung, langte aber nicht. Dann habe ich noch zugefügt:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Und schon kam das VoIP-Telefon an der Fritzbox an, konnte sich dort registrieren und ich kann auch Nummern wählen, an denen es dann klingelt - aber ... "Voice" kommt nicht durch. Es bleibt einfach stumm. Stecke ich das VoIP-Telefon in eine Buchse auf dem Switch, der direkt mit der Fritzbox verbunden ist, klappt alles perfekt (inkl. Voice). Nützt mir aber nix, weil dieses Netz nur im Keller verfügbar ist.
1. Frage: was ist bei VoIP der Unterschied zwischen Verbindungsaufbau und Sprachübertragung aus IP-Sicht?
2. Frage: reiße ich mir mit diesen zwei neuen iptables-Regeln eine böse Sicherheitslücke in mein offenes Netz?
Vielen Dank im voraus,
Dede