gaaronk 36 Posted January 3, 2020 Report post 01/03/2020 05:38 PM Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера? В цепочке INPUT есть правило разрешающее все для source fe80::/10 В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. версия 3.1.10 1 Quote Share this post Link to post Share on other sites
0 vst 416 Posted January 27, 2020 Report post 01/27/2020 04:46 PM Низачем, будет удалено. 1 Quote Share this post Link to post Share on other sites
0 vst 416 Posted January 28, 2020 Report post 01/28/2020 12:06 PM И всё же нет. Правило было нужно для получения ответов от DHPv6 сервера. Это правило будет удалено, а для нужд DHCP будет прописано своё строгое правило. 1 Quote Share this post Link to post Share on other sites
0 rustrict 74 Posted February 3, 2020 Report post 02/03/2020 11:14 PM @vst, насколько я понял, правило в netfilter из первого сообщения было удалено в версии 3.3.7. Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP. dig +short AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1 2a02:6b8::2:242 dig +short +tcp AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1 ;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out. ;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out. ;; connection timed out; no servers could be reached ;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out. Не силен в правилах netfilter, но я так понимаю, что не хватает такого в цепочке _NDM_INPUT: 0 0 _NDM_SL_PROTECT tcp * * ::/0 ::/0 tcp dpt:53 Для IPv4 оно существует, пусть и в цепочке с другим именем (_NDM_IP_PROTECT): 0 0 _NDM_SL_PROTECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 И проблем с 53 портом и TCP не наблюдается: dig +short AAAA ya.ru @10.1.30.1 2a02:6b8::2:242 dig +short +tcp AAAA ya.ru @10.1.30.1 2a02:6b8::2:242 1 Quote Share this post Link to post Share on other sites
0 vst 416 Posted February 4, 2020 Report post 02/04/2020 02:10 PM 14 часа назад, rustrict сказал: Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP. Спасибо за замечание. Добавим правило для TCP. 1 Quote Share this post Link to post Share on other sites
0 rustrict 74 Posted April 16, 2020 Report post 04/16/2020 03:54 PM @vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3). У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался. Ниже, скрытым постом, пример такой ситуации. Quote Share this post Link to post Share on other sites
0 Le ecureuil 4,823 Posted April 16, 2020 Report post 04/16/2020 05:40 PM 1 час назад, rustrict сказал: @vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3). У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался. Ниже, скрытым постом, пример такой ситуации. А сколько вам нужно? Quote Share this post Link to post Share on other sites
0 rustrict 74 Posted April 16, 2020 Report post 04/16/2020 09:01 PM 2 часа назад, Le ecureuil сказал: А сколько вам нужно? Менял так-сяк несколько часов и получилось: ipv6-icmptype 3 limit: avg 15/sec burst 30 ipv6-icmptype 128 limit: avg 15/sec burst 30 ipv6-icmptype 129 limit: avg 15/sec burst 30 Оказалось, что и 128, 129 надо бы подтянуть Quote Share this post Link to post Share on other sites
0 Le ecureuil 4,823 Posted April 17, 2020 Report post 04/17/2020 08:42 AM 11 час назад, rustrict сказал: Менял так-сяк несколько часов и получилось: ipv6-icmptype 3 limit: avg 15/sec burst 30 ipv6-icmptype 128 limit: avg 15/sec burst 30 ipv6-icmptype 129 limit: avg 15/sec burst 30 Оказалось, что и 128, 129 надо бы подтянуть Ок, прибавим. Будет в следующей сборке 3.04. 1 Quote Share this post Link to post Share on other sites
0 rustrict 74 Posted June 16, 2020 Report post 06/16/2020 02:13 PM @Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6. (config)> show ipv6 netfilter <...> ==== Table: "filter" ==== == Chain INPUT == <...> src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT <...> (config)> show ver release: 2.16.D.3.0-5 <...> Quote Share this post Link to post Share on other sites
0 Le ecureuil 4,823 Posted June 16, 2020 Report post 06/16/2020 02:41 PM В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит. Quote Share this post Link to post Share on other sites
0 rustrict 74 Posted June 16, 2020 Report post 06/16/2020 06:36 PM 3 часа назад, Le ecureuil сказал: В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит. Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT. Quote Share this post Link to post Share on other sites
0 Le ecureuil 4,823 Posted June 17, 2020 Report post 06/17/2020 09:09 AM 14 часа назад, rustrict сказал: Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT. А, ясно. Quote Share this post Link to post Share on other sites
0 Le ecureuil 4,823 Posted August 12, 2020 Report post 08/12/2020 10:09 AM Перенесено, появится в следующей сборке 2.16. 1 Quote Share this post Link to post Share on other sites
Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера?
В цепочке INPUT есть правило разрешающее все для source fe80::/10
В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору.
версия 3.1.10
Share this post
Link to post
Share on other sites