-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Monday 04 March 2002 21:21, Wagner Jan wrote:
hat schon wer Erfahrungen mit 6bone und Firewalls?
6bone? Das doch nur nen Verein, der IPs aus dem 3ffe::/16 Testnetz vergibt.
Genau, da T-Offline aber kein IPv6 unterstuetzt (die haben bis jetzt noch nichtmal meine Anfrage beantwortet) muss ich das irgendwie tunneln und 6bone kam mir da geeignet vor.
Problem ist jetzt folgendes: genauso, wie ich IPv4-Verbindungen filtere, will ich auch IPv6-Verbindungen durch die Firewall jagen. Allerdings haben die Pakete auf sit1 immernoch IPv4-ID41, wenn sie durch die INPUT-Chain gehen - so kann man aber nicht abfiltern, was in diesen Paketen eingepackt ist. Was muss ich tun, um die eigentlichen IPv6-Pakete auf die selben Regeln abzuchecken, die ich auch bei IPv4 anwende (z.B. will ich keine TCP-SYN-Pakete von aussen zulassen).
Also 1. musst Du deine Firewall, falls noch nicht getan nach iptables portieren.
Schon lange passiert.
Und 2. ip6tables benutzen, um IPv6 Packete zu behandeln und dies auch im Kernel unterstuetzen.
Das wars! Auf diesen Programmnamen muss man erstmal kommen.
Ich vermute mal, Du willst mit iptables dein inet6 if filtern, diese geht nicht. Ausserdem sind die Regeln von iptables und ip6tables vollkommen unabhaengig. Ausserdem empfehle ich Dir, patch-o-matic des iptables packetes anzuschaun. Es enthaelt sehr viele, vor allem fuer IPv6 nuetzliche, Patches.
Ok, sobald wieder Zeit fuer den Kernel ist...
Leider ist in ip6tables noch kein statefull firewalling implementiert und somit kein packet contrack moeglich. Von daher kann es etwas kompliziert mit der Erstellung der Regeln werden bzw. weniger "sicher"
Macht nix, ich benutze hier kein stateful filtering. Die meisten Sachen blocke ich einfach ab, beim Rest gehe ich auf Applikationsseite davon aus, dass es nicht sicher ist.
Ich habe jetzt einfach meine IPv4-Regeln leicht modifiziert an ip6tables gefuettert, scheint prima zu funktionieren.
danke, Konrad
- -- BOFH excuse #84:
Someone is standing on the ethernet cable, causeing a kink in the cable