ipv6 && netfilter

[Heggi]

Возник вопрос по работе netfilter в "дефолтном" исполнении для ipv6

Настроил ipv6 через брокера:

interface TunnelSixInFour1
    description "he.net FF"
    ip remote 216.66.80.30
    ipv6 address 2001:******::2
    ipv6 prefix 2001:******::/64
    ipv6 force-default
    up

ipv6 subnet Default
    bind Home
    number 0
    mode slaac
!
ipv6 firewall

Пингую адреса как роутера, так и компов в локальной сети с внешнего сервера (тоже ipv6 от брокера) - пинг проходит, но nmap говорит, что все порты (1000) filtered.

Хотя для ipv4 по дефолту режим "глухая оборона", т.е. снаружи не проходит ничего (даже пинги).

За сим вопрос: как посмотреть где еще дыры в обороне?

show netfilter показывает правила только ipv4.

Версия NDMS

2.09.C.1.0-0

Изменено 6 октября, 2017 пользователем Heggi

[ndm]

Попробуйте:

interface TunnelSixInFour1 security-level public

 

[r13]

16 минут назад, ndm сказал:

Попробуйте:

interface TunnelSixInFour1 security-level public

 

Судя по iptables для forward цепочки безусловно разрешены некоторые icmp , в том числе и пинг.

Изменено 6 октября, 2017 пользователем r13

[slomblobov]

Проходимость icmpv6 была требованием теста на соответствие ipv6 стандарту.
Открыть один порт в данный момент нельзя, можно открыть все порты: "no ipv6 firewall"