Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 3

IPv6 firewall

gaaronk

Asked by gaaronk,

 Share

Question

gaaronk Content Generator

gaaronk

Posted
Posted

Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера?

В цепочке INPUT есть правило разрешающее все для source fe80::/10

В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. 
 

версия 3.1.10

  • Thanks 1
Link to comment
Share on other sites

13 answers to this question

Recommended Posts

  • 0
rustrict Advanced Member

rustrict

Posted
Posted

@vst, насколько я понял, правило в netfilter из первого сообщения было удалено в версии 3.3.7.

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP. 

dig +short AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; connection timed out; no servers could be reached
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.

Не силен в правилах netfilter, но я так понимаю, что не хватает такого в цепочке _NDM_INPUT: 

0     0 _NDM_SL_PROTECT  tcp      *      *       ::/0                 ::/0                 tcp dpt:53

Для IPv4 оно существует, пусть и в цепочке с другим именем (_NDM_IP_PROTECT): 

0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

И проблем с 53 портом и TCP не наблюдается: 

dig +short AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

 

  • Thanks 1
Link to comment
Share on other sites
  • 0
slomblobov Honored Flooder

slomblobov

Posted
Posted
14 часа назад, rustrict сказал:

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP.

Спасибо за замечание. Добавим правило для TCP.

  • Thanks 1
Link to comment
Share on other sites
  • 0
rustrict Advanced Member

rustrict

Posted
Posted

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

Link to comment
Share on other sites
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
1 час назад, rustrict сказал:

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

А сколько вам нужно?

Link to comment
Share on other sites
  • 0
rustrict Advanced Member

rustrict

Posted
Posted
2 часа назад, Le ecureuil сказал:

А сколько вам нужно?

Менял так-сяк несколько часов и получилось: 

ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

Link to comment
Share on other sites
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
11 час назад, rustrict сказал:

Менял так-сяк несколько часов и получилось: 


ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

Ок, прибавим.

Будет в следующей сборке 3.04.

  • Thanks 1
Link to comment
Share on other sites
  • 0
rustrict Advanced Member

rustrict

Posted
Posted

@Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6. 

(config)> show ipv6 netfilter
<...>
==== Table: "filter" ====
== Chain INPUT ==
<...>
src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT
<...>

(config)> show ver

          release: 2.16.D.3.0-5
<...>

 

Link to comment
Share on other sites
  • 0
rustrict Advanced Member

rustrict

Posted
Posted
3 часа назад, Le ecureuil сказал:

В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит.

Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...