Ich hab zuhause privat einen server stehn da ist noch 10.2 drauf... und IPv6 stateful matching will nicht.
jaja ich weiss, aktuell ist 11.2 etc etc etc... der server hat soviele verschiedene aufgaben (firewall für dsl ist die kleinste) dass ein neubau mit 11.2 geschätzt 2 wochen dauern würde... mit 8 stunden täglich incl sonn und feiertage, und da macht mein boss nicht mit, meine frau nicht, und ich selber auch nicht
also kurz und schmerzhaft, wie krieg ich IPv6 mit firewall sicher zum laufen?
ich habs jetzt momentan so weit dass eingehende verbindungen auf mein /48 netz auf den freigegebenen ports funktionieren, und auf den übrigen ports brav geblockt & geloggt werden... aber ausgehende IPv6 verbindungen gehen überhaupt nicht.
im log seh ich dass die zurückkommenden pakete verworfen werden.
hier meine firewall regeln (ip6tables-save output):
Hat jemand ein paar tips für mich?
danke
[L]
jaja ich weiss, aktuell ist 11.2 etc etc etc... der server hat soviele verschiedene aufgaben (firewall für dsl ist die kleinste) dass ein neubau mit 11.2 geschätzt 2 wochen dauern würde... mit 8 stunden täglich incl sonn und feiertage, und da macht mein boss nicht mit, meine frau nicht, und ich selber auch nicht
also kurz und schmerzhaft, wie krieg ich IPv6 mit firewall sicher zum laufen?
ich habs jetzt momentan so weit dass eingehende verbindungen auf mein /48 netz auf den freigegebenen ports funktionieren, und auf den übrigen ports brav geblockt & geloggt werden... aber ausgehende IPv6 verbindungen gehen überhaupt nicht.
im log seh ich dass die zurückkommenden pakete verworfen werden.
hier meine firewall regeln (ip6tables-save output):
Code:
kotoko:~ # ip6tables-save
# Generated by ip6tables-save v1.3.6 on Tue Dec 8 13:32:11 2009
*raw
:PREROUTING ACCEPT [66608:28388185]
:OUTPUT ACCEPT [24230:2413463]
COMMIT
# Completed on Tue Dec 8 13:32:11 2009
# Generated by ip6tables-save v1.3.6 on Tue Dec 8 13:32:11 2009
*mangle
:PREROUTING ACCEPT [20326:12705796]
:INPUT ACCEPT [95:9936]
:FORWARD ACCEPT [20229:12695710]
:OUTPUT ACCEPT [95:9908]
:POSTROUTING ACCEPT [20331:12706290]
COMMIT
# Completed on Tue Dec 8 13:32:11 2009
# Generated by ip6tables-save v1.3.6 on Tue Dec 8 13:32:11 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A INPUT -s ::/0 -d ::/0 -i eth0 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -i lo -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -j LOG --log-prefix "IPv6-INext-DROP-DEFLT "
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 443 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 80 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "IPv6-INext-ACCEPT-PORT-TCP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 136 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 135 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 134 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 129 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 128 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 4 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 3 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 1 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -p ipv6-icmp -m icmp6 --icmpv6-type 2 -j LOG --log-prefix "IPv6-INext-ACCEPT-ICMP "
-A FORWARD -s ::/0 -d ::/0 -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -i sixxs -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s ::/0 -d ::/0 -j LOG --log-prefix "IPv6-FWD-DROP-DEFLT "
COMMIT
# Completed on Tue Dec 8 13:32:11 2009
kotoko:~ #
Hat jemand ein paar tips für mich?
danke
[L]