Jump to content
  • 3

IPv6 firewall


Question

Posted

Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера?

В цепочке INPUT есть правило разрешающее все для source fe80::/10

В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. 
 

версия 3.1.10

  • Thanks 1

13 answers to this question

Recommended Posts

  • 0
Posted

И всё же нет. Правило было нужно для получения ответов от DHPv6 сервера. Это правило будет удалено, а для нужд DHCP будет прописано своё строгое правило.

  • Thanks 1
  • 0
Posted

@vst, насколько я понял, правило в netfilter из первого сообщения было удалено в версии 3.3.7.

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP.

dig +short AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; connection timed out; no servers could be reached
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.

Не силен в правилах netfilter, но я так понимаю, что не хватает такого в цепочке _NDM_INPUT:

0     0 _NDM_SL_PROTECT  tcp      *      *       ::/0                 ::/0                 tcp dpt:53

Для IPv4 оно существует, пусть и в цепочке с другим именем (_NDM_IP_PROTECT):

0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

И проблем с 53 портом и TCP не наблюдается:

dig +short AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

 

  • Thanks 1
  • 0
Posted
14 часа назад, rustrict сказал:

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP.

Спасибо за замечание. Добавим правило для TCP.

  • Thanks 1
  • 0
Posted

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

  • 0
Posted
1 час назад, rustrict сказал:

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

А сколько вам нужно?

  • 0
Posted
2 часа назад, Le ecureuil сказал:

А сколько вам нужно?

Менял так-сяк несколько часов и получилось:

ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

  • 0
Posted
11 час назад, rustrict сказал:

Менял так-сяк несколько часов и получилось:


ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

Ок, прибавим.

Будет в следующей сборке 3.04.

  • Thanks 1
  • 0
Posted

@Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6.

(config)> show ipv6 netfilter
<...>
==== Table: "filter" ====
== Chain INPUT ==
<...>
src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT
<...>

(config)> show ver

          release: 2.16.D.3.0-5
<...>

 

  • 0
Posted
3 часа назад, Le ecureuil сказал:

В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит.

Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.

 

  • 0
Posted
14 часа назад, rustrict сказал:

Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.

 

А, ясно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.