Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 3

IPv6 firewall

gaaronk

Ответ от gaaronk,

 Поделиться

Вопрос

gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано

Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера?

В цепочке INPUT есть правило разрешающее все для source fe80::/10

В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. 
 

версия 3.1.10

  • Спасибо 1

13 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
rustrict Продвинутый пользователь

rustrict

Опубликовано
Опубликовано

@vst, насколько я понял, правило в netfilter из первого сообщения было удалено в версии 3.3.7.

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP. 

dig +short AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; connection timed out; no servers could be reached
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.

Не силен в правилах netfilter, но я так понимаю, что не хватает такого в цепочке _NDM_INPUT: 

0     0 _NDM_SL_PROTECT  tcp      *      *       ::/0                 ::/0                 tcp dpt:53

Для IPv4 оно существует, пусть и в цепочке с другим именем (_NDM_IP_PROTECT): 

0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

И проблем с 53 портом и TCP не наблюдается: 

dig +short AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

 

  • Спасибо 1
  • 0
slomblobov Старожил

slomblobov

Опубликовано
Опубликовано
14 часа назад, rustrict сказал:

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP.

Спасибо за замечание. Добавим правило для TCP.

  • Спасибо 1
  • 0
rustrict Продвинутый пользователь

rustrict

Опубликовано
Опубликовано

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
1 час назад, rustrict сказал:

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

А сколько вам нужно?

  • 0
rustrict Продвинутый пользователь

rustrict

Опубликовано
Опубликовано
2 часа назад, Le ecureuil сказал:

А сколько вам нужно?

Менял так-сяк несколько часов и получилось: 

ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
11 час назад, rustrict сказал:

Менял так-сяк несколько часов и получилось: 


ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

Ок, прибавим.

Будет в следующей сборке 3.04.

  • Спасибо 1
  • 0
rustrict Продвинутый пользователь

rustrict

Опубликовано
Опубликовано

@Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6. 

(config)> show ipv6 netfilter
<...>
==== Table: "filter" ====
== Chain INPUT ==
<...>
src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT
<...>

(config)> show ver

          release: 2.16.D.3.0-5
<...>

 

  • 0
rustrict Продвинутый пользователь

rustrict

Опубликовано
Опубликовано
3 часа назад, Le ecureuil сказал:

В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит.

Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю