Jump to content
  • 3

IPv6 firewall


gaaronk

Question

Вопрос. А зачем при включённом ipv6 firewall открыты все порты на вход со стороны оборудования провайдера?

В цепочке INPUT есть правило разрешающее все для source fe80::/10

В том числе и со стороны WAN интерфейса. По сути с link local адресов провайдера есть полный доступ к маршрутизатору. 
 

версия 3.1.10

  • Thanks 1
Link to comment
Share on other sites

13 answers to this question

Recommended Posts

  • 0

И всё же нет. Правило было нужно для получения ответов от DHPv6 сервера. Это правило будет удалено, а для нужд DHCP будет прописано своё строгое правило.

  • Thanks 1
Link to comment
Share on other sites

  • 0

@vst, насколько я понял, правило в netfilter из первого сообщения было удалено в версии 3.3.7.

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP.

dig +short AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @fe80::c835:c0ff:fe11:e492%en1
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.
;; connection timed out; no servers could be reached
;; Connection to fe80::c835:c0ff:fe11:e492%7#53(fe80::c835:c0ff:fe11:e492%7) for ya.ru failed: timed out.

Не силен в правилах netfilter, но я так понимаю, что не хватает такого в цепочке _NDM_INPUT:

0     0 _NDM_SL_PROTECT  tcp      *      *       ::/0                 ::/0                 tcp dpt:53

Для IPv4 оно существует, пусть и в цепочке с другим именем (_NDM_IP_PROTECT):

0     0 _NDM_SL_PROTECT  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

И проблем с 53 портом и TCP не наблюдается:

dig +short AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

dig +short +tcp AAAA ya.ru @10.1.30.1
2a02:6b8::2:242

 

  • Thanks 1
Link to comment
Share on other sites

  • 0
14 часа назад, rustrict сказал:

Но теперь есть небольшая проблема на BridgeX с security-level protected: 53 порт перестал быть доступным по TCP.

Спасибо за замечание. Добавим правило для TCP.

  • Thanks 1
Link to comment
Share on other sites

  • 0

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

Link to comment
Share on other sites

  • 0
1 час назад, rustrict сказал:

@vst, можно попросить, пожалуйста, изменить (ослабить) лимит в цепочке _NDM_ICMPV6_POLICY для Time Exceeded (Type 3).

У меня за роутером стоит пробник RIPE Atlas, то есть через firewall проходит заметное количество транзитных ICMPv6-пакетов, и при traceroute'ах постоянно возникает ситуация, когда на WAN пакет пришёл, а через fw до хоста не добрался.

Ниже, скрытым постом, пример такой ситуации.

А сколько вам нужно?

Link to comment
Share on other sites

  • 0
2 часа назад, Le ecureuil сказал:

А сколько вам нужно?

Менял так-сяк несколько часов и получилось:

ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

Link to comment
Share on other sites

  • 0
11 час назад, rustrict сказал:

Менял так-сяк несколько часов и получилось:


ipv6-icmptype 3 limit: avg 15/sec burst 30
ipv6-icmptype 128 limit: avg 15/sec burst 30
ipv6-icmptype 129 limit: avg 15/sec burst 30

Оказалось, что и 128, 129 надо бы подтянуть :)

Ок, прибавим.

Будет в следующей сборке 3.04.

  • Thanks 1
Link to comment
Share on other sites

  • 0

@Le ecureuil, перенесите, пожалуйста, в netfilter 2.16/2.11 изменения из этой темы помимо лимитов ICMPv6.

(config)> show ipv6 netfilter
<...>
==== Table: "filter" ====
== Chain INPUT ==
<...>
src: fe80::/10, dst: ::/0, in: "*", out: "*", proto: "any"; ACCEPT
<...>

(config)> show ver

          release: 2.16.D.3.0-5
<...>

 

Link to comment
Share on other sites

  • 0
3 часа назад, Le ecureuil сказал:

В 2.16 по идее еще с версии 2.16.D.3.0-3 перенесено. Надо проверить значит.

Лимиты ICMPv6 перенесены, но вот правило для fe80::/10 в INPUT осталось + нет правил, добавленных в _NDM_INPUT.

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...