¶ Firewall
¶ First Aid
# ip6tables -L -v
Chain INPUT (policy ACCEPT 190 packets, 89742 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 207 packets, 18466 bytes)
pkts bytes target prot opt in out source destination
hust
ip6tables -P INPUT DROP
¶ NDP
- zum anzeigen, flushen etc, folgendes Kommando verwenden. Kann helfen wenn man Ärger mit der FW hat:
ip -6 neigh
- scheinbar habe ich mir die IPv6 FW zu dicht genagelt: IPv6 Neighbor Discovery Protocol tut nicht mehr
- Merke: Es gibt im IPv6 Pakete die nicht zu einer der folgenden Kateorien gehören: NEW, ESTABLISHED, RELATED, INVALID. Sonst würde hier die Chain Policy nicht greifen:
# ip6tables -L OUTPUT -v
Chain OUTPUT (policy DROP 3 packets, 216 bytes)
pkts bytes target prot opt in out source destination
66 8748 ACCEPT all any any anywhere anywhere state RELATED,ESTABLISHED
0 0 DROP all any any anywhere anywhere state INVALID
60 5820 ACCEPT all any any anywhere anywhere state NEW
- and the winner is: UNTRACKED O_o Keine Ahnung wieso outgoing IPv6 NDP Traffic UNTRACKED ist, aber das ist die Lösung (Wobei das auch so eine Art 1st World Problem ist. Mein iptables Tool setzt die OUTPUT chain policy auf DROP)
ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT
¶ Forward
- Achtung, die //Sicherheit// die man vorher durch PAT hatte, muss man jetzt in FORWARD der Filter Tabelle konfigurieren
- Als first-shot würde ich FORWARD aus dem LAN akzeptieren und aus dem INET droppen, dann hat man so ungefähr den Status von PAT
¶ privacy extension
Die Privacy Extension soll dafür sorgen, das die IP im vorgebenen Prefix dynamisch ausgerechnet wird und sich ständig ändert. Im Normalfall wird die IP aufgrund der MAC errechnet (zumindest bei Linux).
http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1204783.html?artikelseite=3
net.ipv6.conf.IF.use_tempaddr = 2
Muss im Kernel aktiviert werden:
│ Symbol: IPV6_PRIVACY [=n]
│ Type : boolean
│ Prompt: IPv6: Privacy Extensions (RFC 3041) support
│ Defined at net/ipv6/Kconfig:24
│ Depends on: NET [=y] && INET [=y] && IPV6 [=y]
│ Location:
│ -> Networking support (NET [=y])
│ -> Networking options
│ -> TCP/IP networking (INET [=y])
│ -> The IPv6 protocol (IPV6 [=y])
¶ router advertisement
Der radvd Daemon antwortet auf die Router Advertisement Requests von Clients.
interface eth0.100
{
#Bekanntmachung an andere Rechner versenden
AdvSendAdvert on;
#Fragmentation ist schlecht(tm))
AdvLinkMTU 1280;
MaxRtrAdvInterval 300;
#IPv6 Subnet Prefix, dass uns vom PoP zugewiesen wurde)
prefix 2001:db8:6d:486::/64
{
AdvOnLink on;
AdvAutonomous on;
};
RDNSS 2001:db8:6d:486::1
{
};
DNSSL example.org
{
};
};
¶ Debugging:
# rdisc6 eth0
Soliciting ff02::2 (ff02::2) on eth0...
Hop limit : 64 ( 0x40)
Stateful address conf. : No
Stateful other conf. : No
Router preference : medium
Router lifetime : 900 (0x00000384) seconds
Reachable time : unspecified (0x00000000)
Retransmit time : unspecified (0x00000000)
Prefix : 2001:db8:6d:486::/64
Valid time : 86400 (0x00015180) seconds
Pref. time : 14400 (0x00003840) seconds
Recursive DNS server : 2001:db8:6d:486::1
DNS server lifetime : 300 (0x0000012c) seconds
MTU : 1280 bytes (valid)
Source link-layer address: 1C:6F:65:55:79:EE
from fe80::1e6f:65ff:fe55:79ee