IPv6, таблица маршрутизации и access-list (файрволл)

[streampp]

Добрый день!

Я - системный администратор и очень активно использую протокол IPv6 в работе. Провайдер OnLime, который предоставляет нативный IPv6 через RA.

Испытываю проблемы с устройством ZyXEL Keenetic Ultra II, т.к. ни в веб-интерфейсе ни в CLI не получается настроить ни кастомные роуты ни файрволл для IPv6 адресов. Веб-интерфейс требует IP адреса с точкой, т.е. IPv6 просто не принимает, а CLI просто говорит об ошибке.

Подскажите, пожалуйста, это у меня руки кривые или действительно функциональность роутера ограничена в районе IPv6? Спасибо.

P.S. Прошивка v2.06(AAUX.8)B0

UPD. Прошился бетой 2.07, ситуация не изменилась.

[ndm]

Добрый день!

Я - системный администратор и очень активно использую протокол IPv6 в работе. Провайдер OnLime, который предоставляет нативный IPv6 через RA.

Испытываю проблемы с устройством ZyXEL Keenetic Ultra II, т.к. ни в веб-интерфейсе ни в CLI не получается настроить ни кастомные роуты ни файрволл для IPv6 адресов. Веб-интерфейс требует IP адреса с точкой, т.е. IPv6 просто не принимает, а CLI просто говорит об ошибке.

Подскажите, пожалуйста, это у меня руки кривые или действительно функциональность роутера ограничена в районе IPv6? Спасибо.

P.S. Прошивка v2.06(AAUX.8)B0

UPD. Прошился бетой 2.07, ситуация не изменилась.

Действительно ограничена автоматическим поведением IPv6 и firewall в режиме интерфейсов public/private. Расскажите чуть подробнее о задаче, которую хотите решать. Запросов на эту функцию чрезвычайно мало, по приоритету она до сих пор плетётся в хвосте.

[streampp]

Добрый день!

Спасибо за ответ.

Я хочу как минимум делать следующее. OnLime раздаёт каждому клиенту по /64 сетке IPv6 адресов, соответственно, каждое устройство, подключенное к моему ZyXEL Keenetic Ultra II, имеет внешний IPv6 адрес (ноутбуки, телевизоры, PS4, телефоны и т.д.). Я хочу разрешить входящие соединения на один из адресов по tcp/22, т.е. открыть ssh наружу для моего рабочего ноутбука по IPv6, но не могу создать в файрволле такое правило, т.к. все настройки в веб-интерфейсе принимают только IPv4 адреса (требуют, чтобы IP адрес был строго из чисел от 0 до 255 и чтобы разделителем была точка). Соответственно IPv6 функциональность получается сильно, простите, кастрированной

[ndm]

Задачу поняли. Вам, чтобы сделать быстро, придется настроить opkg-диск и в скрипте /opt/etc/ndm/wan.d/XXX.sh повесить прописывание правила ip6tables.

В развитии прошивки есть концепция, что настроить "проброс порта" должно быть просто. Ручные правила firewall предполагают у пользователя наличие знаний об IPv4 и IPv6-адресах, статическую привязку этих адресов к хостам и т.д. Поэтому, согласно концепции, прошивка должна следить за этим сама. В будущем Вы сможете выбрать нужный хост из списка и указать, какой порт хотите открыть. Правила пропишутся автоматически. Пока этого нет, пользуйтесь скриптами...

[Дмитрий]

Если совсем мгновенно решить

no ipv6 firewall

system config-save

[Le ecureuil]

Если совсем мгновенно решить

no ipv6 firewall

system config-save

Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи.

В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда.

[Дмитрий]

Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи.

В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда.

Готов поспорить. Когда нужно что-то сейчас, то это самый простой вариант. Со стороны безопасности я бы посмотрел что еще там будет доступно в домашней сети по ipv6. Будет смешно если ктото будет ломать вам телевизор с поддержкой ipv6, телефоны, пк и др по умолчанию ip6 получили и молчат. Маршрутизатор ваш с заявленной поддержкой ipv6 по ipv6 не поломать... кста когда интерфейсы маршрутизатора по ipv6 доступны будут? (мне не интересно и не нужно, вы просто заявили что готовы к шестерке) у меня соединение к ним не удается (web, telnet).

Подсеть большая выдается, пусть ищут, если туннель к ipv6 динамический, то вполне безопасно, если вы не Бонд, который Джеймс.

По поводу "бреда" то это как я дебагил свой ipv4/v6 девайс, сначала обновился маршрутизатор и он стал постоянно виснуть (прошивка релиз), встала не только отладка но и инета даже не стало. Через месяц что-то смогли сделать на бета тестировании, для этого пришлось извернуться и снять лог с намертво зависающего устройства. Появился инет дома, уже хорошо.. но в сборке тестовой нет ipv6, еще через месяц только она попала в релиз и я смог собрать прошивку маршрутизатора с ipv6.

Бред, уважаемый, это два месяца неисправной прошивки в официальном канале, а тех поддержка сначала не понимает, что хочу, потом просто ждет когда выйдет новая прошивка.

Бред это ждать, когда вы решите с ip6tables, пол года (а может год?), пробовать извернуться в opt, вдруг получится.

Я озвучил возможный выход, вдруг кто не Бонд, ему это будет полезно.

[Le ecureuil]

Это не решение, а полный бред и открывает вашу локальную сеть всем ветрам снаружи.

В IPv4 хотя бы из-за наличия NAT локальная сеть недоступна всем и всегда.

Готов поспорить. Когда нужно что-то сейчас, то это самый простой вариант. Со стороны безопасности я бы посмотрел что еще там будет доступно в домашней сети по ipv6. Будет смешно если ктото будет ломать вам телевизор с поддержкой ipv6, телефоны, пк и др по умолчанию ip6 получили и молчат. Маршрутизатор ваш с заявленной поддержкой ipv6 по ipv6 не поломать... кста когда интерфейсы маршрутизатора по ipv6 доступны будут? (мне не интересно и не нужно, вы просто заявили что готовы к шестерке) у меня соединение к ним не удается (web, telnet).

Подсеть большая выдается, пусть ищут, если туннель к ipv6 динамический, то вполне безопасно, если вы не Бонд, который Джеймс.

По поводу "бреда" то это как я дебагил свой ipv4/v6 девайс, сначала обновился маршрутизатор и он стал постоянно виснуть (прошивка релиз), встала не только отладка но и инета даже не стало. Через месяц что-то смогли сделать на бета тестировании, для этого пришлось извернуться и снять лог с намертво зависающего устройства. Появился инет дома, уже хорошо.. но в сборке тестовой нет ipv6, еще через месяц только она попала в релиз и я смог собрать прошивку маршрутизатора с ipv6.

Бред, уважаемый, это два месяца неисправной прошивки в официальном канале, а тех поддержка сначала не понимает, что хочу, потом просто ждет когда выйдет новая прошивка.

Бред это ждать, когда вы решите с ip6tables, пол года (а может год?), пробовать извернуться в opt, вдруг получится.

Я озвучил возможный выход, вдруг кто не Бонд, ему это будет полезно.

Вы смотрите на это с такой стороны: народ у нас по большей части технически безграмнотый, и быстро нагуглив ваш пост с "решением" проблем тут же введет эти команды не задумываясь о последствиях, да еще и другим начнет рекомендовать.

В итоге вместо того, чтобы создать побольше заявок в техподдержку на реализацию этой функции все тупо отключат ipv6 firewall и окажутся со сквозняком из интернета в локальную сеть, что недопустимо в любом случае.

Бред это ждать, когда вы решите с ip6tables

Так создавайте побольше заявок на реализацию этой фичи, а не раздавайте советов уровня "починить систему с помощью rm -rf /" всем подряд.

[indus]

В 17.05.2016 в 00:08, ndm сказал:

Вам, чтобы сделать быстро, придется настроить opkg-диск и в скрипте /opt/etc/ndm/wan.d/XXX.sh повесить прописывание правила ip6tables.

Выполнил рекомендацию, но возникла проблема - правила не добавляются, в журнале ошибка:

Sep 15 13:26:40ndmOpkg::Manager: /opt/etc/ndm/wan.d/iprules.sh: Segmentation fault.
Sep 15 13:26:40ndmOpkg::Manager: /opt/etc/ndm/wan.d/iprules.sh: Segmentation fault.
Sep 15 13:26:40ndmOpkg::Manager: /opt/etc/ndm/wan.d/iprules.sh: exit code 139.

В ручную скрипт запускается и правила добавляются. Что не так?

Скрипт:

#!/bin/sh
ip6tables -A FORWARD -s 2001:470:ххх:хххх::/64 -j ACCEPT
ip6tables -A INPUT -d 2001:470:хххх:хххх:хххх:хххх:хххх:771f -j ACCEPT

версия по 2.10.A.7.0-5

[Le ecureuil]

1 час назад, indus сказал:

Выполнил рекомендацию, но возникла проблема - правила не добавляются, в журнале ошибка:

Sep 15 13:26:40ndmOpkg::Manager: /opt/etc/ndm/wan.d/iprules.sh: Segmentation fault.
Sep 15 13:26:40ndmOpkg::Manager: /opt/etc/ndm/wan.d/iprules.sh: Segmentation fault.
Sep 15 13:26:40ndmOpkg::Manager: /opt/etc/ndm/wan.d/iprules.sh: exit code 139.

В ручную скрипт запускается и правила добавляются. Что не так?

Скрипт:

#!/bin/sh
ip6tables -A FORWARD -s 2001:470:ххх:хххх::/64 -j ACCEPT
ip6tables -A INPUT -d 2001:470:хххх:хххх:хххх:хххх:хххх:771f -j ACCEPT

версия по 2.10.A.7.0-5

Укажите полный путь к правильному ip6tables и настройте PATH.

[indus]

Пробовал и полные пути:

#!/opt/bin/sh
/usr/sbin/ip6tables -A FORWARD -s 2001:470:хххх:хххх::/64 -j ACCEPT
/usr/sbin/ip6tables -A INPUT -d 2001:470:хххх:хххх:хххх:хххх:хххх:771f -j ACCEPT

PATH=/opt/sbin:/opt/bin:/opt/usr/sbin:/opt/usr/bin:/usr/sbin:/usr/bin:/sbin:/bin

не запускается, не пойму где ошибка.

[Le ecureuil]

20 минут назад, indus сказал:

Пробовал и полные пути:

#!/opt/bin/sh
/usr/sbin/ip6tables -A FORWARD -s 2001:470:хххх:хххх::/64 -j ACCEPT
/usr/sbin/ip6tables -A INPUT -d 2001:470:хххх:хххх:хххх:хххх:хххх:771f -j ACCEPT

PATH=/opt/sbin:/opt/bin:/opt/usr/sbin:/opt/usr/bin:/usr/sbin:/usr/bin:/sbin:/bin

не запускается, не пойму где ошибка.

В usr лежит неправильный ip6tables, нужный вам лежит в /opt/usr.

[indus]

45 минут назад, Le ecureuil сказал:

В usr лежит неправильный ip6tables, нужный вам лежит в /opt/usr.

Спасибо за подсказку, все заработало, "правильный" ip6tables надо было еще инсталлировать, и лег он в /opt/sbin

Другой вопрос, скрипт из /opt/etc/ndm/wan.d выполняется каждый раз при инициализации wan и соответственно правила дублируются каждый раз, не совсем хорошо, может лучше скрипт  поместить в init.d ?

Edited September 15, 2017 by indus

[Le ecureuil]

59 минут назад, indus сказал:

Спасибо за подсказку, все заработало, "правильный" ip6tables надо было еще инсталлировать, и лег он в /opt/sbin

Другой вопрос, скрипт из /opt/etc/ndm/wan.d выполняется каждый раз при инициализации wan и соответственно правила дублируются каждый раз, не совсем хорошо, может лучше скрипт  поместить в init.d ?

Правила не дублируются, обычно перед вызовом хуков происходит очистка netfilter.

[indus]

2 часа назад, Le ecureuil сказал:

Правила не дублируются

результат обновления адреса:

[Le ecureuil]

А, точно, ip6tables не очищаются регулярно. Но все равно пока оставьте так, иначе что-то может разломаться, а мы попробуем поправить.

[indus]

Разобрался, правила в таблице INPUT все работают

Edited September 18, 2017 by indus

[Le ecureuil]

ip6tables -I INPUT -j ACCEPT

работает?

[indus]

Разобрался, правила в таблице INPUT все работают

Edited September 18, 2017 by indus

[indus]

А вот изменения в таблице FORWARD работают:

ip6tables -A FORWARD -s 2001:470:хххх:хххх::/64 -j ACCEPT

Без этого правила из локальной сети доступа к ресурсам ipv6 нет, только пинги работают, однако при отключении firewall ресурсы становятся доступны.

[Le ecureuil]

1 час назад, indus сказал:

А вот изменения в таблице FORWARD работают:

ip6tables -A FORWARD -s 2001:470:хххх:хххх::/64 -j ACCEPT

Без этого правила из локальной сети доступа к ресурсам ipv6 нет, только пинги работают, однако при отключении firewall ресурсы становятся доступны.

Так для доступа в локальную сеть, а не на роутер вам и нужен forward.

[indus]

36 минут назад, Le ecureuil сказал:

Так для доступа в локальную сеть, а не на роутер вам и нужен forward.

я имею ввиду нет доступа к внешней сети ipv6 из локальной,

по умолчанию с включенным firewall не открываются ipv6 сайты, не проходят тесты ipv6, только пинги идут. Закрыт forwarding, приходится вручную открывать.

результаты ping и telnet на 80 порт

Edited September 18, 2017 by indus

[siblds]

Привет из 2022 года!
За шесть лет ничего не изменилось - всё так же настраиваем firewall IPv6 скриптами вручную.

[admin]

7 minutes ago, siblds said:

всё так же настраиваем firewall IPv6 скриптами вручную

... и судя по редким запросам таких пользователей всё еще очень мало, но вы приложите ради интереса скрипты свои (секреты можете замазать)

[siblds]

Так скрипт тот же, что упоминается в начале сообщения - OPKG + ip6tables.

[isrkar]

Добрый день

Столкнулся с такой проблемой:

KN-1012, 4.2 Beta 4

Настроен 6to4 тунель через tunnelbroker.net

через opkg ip6tables добавляю правила для блокировки ipv6 траффика в яндекс (сеть 2a02:6b8::/29😞

#!/bin/sh

# Блокировка входящего трафика
/opt/sbin/ip6tables -A INPUT -s 2a02:6b8::/29 -j DROP

# Блокировка исходящего трафика
/opt/sbin/ip6tables -A OUTPUT -d 2a02:6b8::/29 -j DROP

# Блокировка пересылаемого трафика
/opt/sbin/ip6tables -A FORWARD -s 2a02:6b8::/29 -j DROP
/opt/sbin/ip6tables -A FORWARD -d 2a02:6b8::/29 -j DROP

в результате имею:

из роутера (как sh, так через tools/ping6) пинг в яндекс не идет (правила отрабатывают), в гугл идет (на него правил нет)

из домашней сети с клиентских устройств пинг идет и на яндекс (то есть правила игнорируются) и на гугл

 

Подскажите, пожалуйста, что делаю не так? Может есть какой-то более простой способ отрезать яндекс от ipv6 траффика, но я не нашел.

Спасибо.

[Le ecureuil]

Нужно не -A, а -I

[AGluk]

Добрый день. На дворе конец 2024

Прошивка - 4.2.0

Подскажите, можно где-то в Web-интерфейсе (ну или хотя бы через стандартный CLI) вывести список всех добавленных исключений firewall для IPv6:

ipv6 static …

Спасибо!

Edited September 23 by AGluk

[Denis P]

42 минуты назад, AGluk сказал:

Добрый день. На дворе конец 2024

Прошивка - 4.2.0

Подскажите, можно где-то в Web-интерфейсе (ну или хотя бы через стандартный CLI) вывести список всех добавленных исключений firewall для IPv6:

ipv6 static …

Спасибо!

show run | grep "ip static"

[AGluk]

Большое спасибо. Хотя бы что-то!

Через интерфейс, как понимаю, не посмотреть?