ipv6, susefirewall, opensuse 10.2

lemmy04 · 8 Dez. 2009

Ich hab zuhause privat einen server stehn da ist noch 10.2 drauf... und IPv6 stateful matching will nicht.

jaja ich weiss, aktuell ist 11.2 etc etc etc... der server hat soviele verschiedene aufgaben (firewall für dsl ist die kleinste) dass ein neubau mit 11.2 geschätzt 2 wochen dauern würde... mit 8 stunden täglich incl sonn und feiertage, und da macht mein boss nicht mit, meine frau nicht, und ich selber auch nicht

also kurz und schmerzhaft, wie krieg ich IPv6 mit firewall sicher zum laufen?

ich habs jetzt momentan so weit dass eingehende verbindungen auf mein /48 netz auf den freigegebenen ports funktionieren, und auf den übrigen ports brav geblockt & geloggt werden... aber ausgehende IPv6 verbindungen gehen überhaupt nicht.
im log seh ich dass die zurückkommenden pakete verworfen werden.

hier meine firewall regeln (ip6tables-save output):

Code:

kotoko:~ # ip6tables-save                                                                                                                                                          
# Generated by ip6tables-save v1.3.6 on Tue Dec  8 13:32:11 2009                                                                                                                   
*raw                                                                                                                                                                               
:PREROUTING ACCEPT [66608:28388185]                                                                                                                                                
:OUTPUT ACCEPT [24230:2413463]                                                                                                                                                     
COMMIT                                                                                                                                                                             
# Completed on Tue Dec  8 13:32:11 2009                                                                                                                                            
# Generated by ip6tables-save v1.3.6 on Tue Dec  8 13:32:11 2009                                                                                                                   
*mangle                                                                                                                                                                            
:PREROUTING ACCEPT [20326:12705796]                                                                                                                                                
:INPUT ACCEPT [95:9936]                                                                                                                                                            
:FORWARD ACCEPT [20229:12695710]                                                                                                                                                   
:OUTPUT ACCEPT [95:9908]                                                                                                                                                           
:POSTROUTING ACCEPT [20331:12706290]
COMMIT
# Completed on Tue Dec  8 13:32:11 2009
# Generated by ip6tables-save v1.3.6 on Tue Dec  8 13:32:11 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -i eth0 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -i lo -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -j LOG --log-prefix "IPv6-INext-DROP-DEFLT "
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -i sixxs -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -j LOG --log-prefix "IPv6-FWD-DROP-DEFLT "
COMMIT
# Completed on Tue Dec  8 13:32:11 2009
kotoko:~ #

Hat jemand ein paar tips für mich?

danke
[L]

spoensche · 9 Dez. 2009

lemmy04 schrieb:
neubau mit 11.2 geschätzt 2 wochen dauern würde...

Wenn du die Konfigurationsdateien vorher sicherst, dann kannst du siie zum größten Teil vollständig übernehmen. Allso kann von zwei Wochen keine Rede sein.

lemmy04 schrieb:
also kurz und schmerzhaft, wie krieg ich IPv6 mit firewall sicher zum laufen?

Mit der mitgelieferten SuSE Firewall und das in kürzester Zeit. Wenn ich mich nicht irre kann die das bei 10.2 schon.

lemmy04 schrieb:
ich habs jetzt momentan so weit dass eingehende verbindungen auf mein /48 netz auf den freigegebenen ports funktionieren, und auf den übrigen ports brav geblockt & geloggt werden... aber ausgehende IPv6 verbindungen gehen überhaupt nicht.
im log seh ich dass die zurückkommenden pakete verworfen werden.

Da IPv6 noch nicht standardmäßig im Internet verwendet wird musst du das auf IPv4 mappen und mit Masquerade arbeiten, es sei den euer Provider weisst euch bei der Einwahl IPv6 Adresse zu, was unwahrscheinlich ist.

PS:
Deshalb hab ich deine FW- Rules nur überflogen. Werde sie mir ggf. genauer ansehen, so bald deine Antwort da ist.

lemmy04 · 10 Dez. 2009

spoensche schrieb:
lemmy04 schrieb:

neubau mit 11.2 geschätzt 2 wochen dauern würde...

Zum Vergrößern anklicken....

Wenn du die Konfigurationsdateien vorher sicherst, dann kannst du siie zum größten Teil vollständig übernehmen. Allso kann von zwei Wochen keine Rede sein.

lemmy04 schrieb:

also kurz und schmerzhaft, wie krieg ich IPv6 mit firewall sicher zum laufen?

Zum Vergrößern anklicken....

Mit der mitgelieferten SuSE Firewall und das in kürzester Zeit. Wenn ich mich nicht irre kann die das bei 10.2 schon.

nein, kann sie nicht, sonst würd ich ja nicht fragen müssen.
alles was SuSEfirewall auf 10.2 kann ist ipv6 komplett blocken., der kernel unsterstützt noch kein stateful matching auf ipv6.

spoensche schrieb:
lemmy04 schrieb:

ich habs jetzt momentan so weit dass eingehende verbindungen auf mein /48 netz auf den freigegebenen ports funktionieren, und auf den übrigen ports brav geblockt & geloggt werden... aber ausgehende IPv6 verbindungen gehen überhaupt nicht.
im log seh ich dass die zurückkommenden pakete verworfen werden.

Zum Vergrößern anklicken....

Da IPv6 noch nicht standardmäßig im Internet verwendet wird musst du das auf IPv4 mappen und mit Masquerade arbeiten, es sei den euer Provider weisst euch bei der Einwahl IPv6 Adresse zu, was unwahrscheinlich ist.

...dafür hab ich nen IPv6 tunnel. sieht man aber in den firewall regeln (interface sixxs).

spoensche schrieb:
Deshalb hab ich deine FW- Rules nur überflogen. Werde sie mir ggf. genauer ansehen, so bald deine Antwort da ist.

...

spoensche · 10 Dez. 2009

Du hast dem Parameter "-m " den Wert tcp mitgegeben, was so nicht stimmt. Der Parameter dient u.a zum Connection Tracking. Mit dem Paraemter -m werden die Extensions geladen und verwendet.

Hast du der SuSE Firewall gesagt, dass sie IPv6 nicht blocken soll?

lemmy04 · 17 Dez. 2009

ja, susefirewall ist so konfiguriert dass sie gar keine ip6tables rules erzeugt, und ich rufe mein eigenes ip6tables script dann in SuSEfirewall2-custom auf...

spoensche · 19 Dez. 2009

lemmy04 schrieb:
ja, susefirewall ist so konfiguriert dass sie gar keine ip6tables rules erzeugt, und ich rufe mein eigenes ip6tables script dann in SuSEfirewall2-custom auf...

Also ich habe keine Glaskugel, die mir aus der Antwort die Lösung deines Problems mitteilt. Wenn du deine Regeln in dem custom Script aufrufen lässt, nach dem die SuSEfirewall schon die DROP Regeln festgelegt hat ist es doch logisch, dass deine Regeln dann nicht mehr greifen.

Du musst schon mehr Informationen rausrücken, damit das Problem eingegrenzt und gelöst werden kann.

framp · 20 Dez. 2009

spoensche schrieb:
lemmy04 schrieb:

...Du musst schon mehr Informationen rausrücken, damit das Problem eingegrenzt und gelöst werden kann.

Zum Vergrößern anklicken....

Z.B. mal den Inhalt des custom Files posten :roll:

ipv6, susefirewall, opensuse 10.2

lemmy04

Newbie

spoensche

Moderator

lemmy04

Newbie

spoensche

Moderator

lemmy04

Newbie

spoensche

Moderator

framp

Moderator