Hi Konrad!
hat schon wer Erfahrungen mit 6bone und Firewalls?
6bone? Das doch nur nen Verein, der IPs aus dem 3ffe::/16 Testnetz vergibt.
Problem ist jetzt folgendes: genauso, wie ich IPv4-Verbindungen filtere, will ich auch IPv6-Verbindungen durch die Firewall jagen. Allerdings haben die Pakete auf sit1 immernoch IPv4-ID41, wenn sie durch die INPUT-Chain gehen - so kann man aber nicht abfiltern, was in diesen Paketen eingepackt ist. Was muss ich tun, um die eigentlichen IPv6-Pakete auf die selben Regeln abzuchecken, die ich auch bei IPv4 anwende (z.B. will ich keine TCP-SYN-Pakete von aussen zulassen).
Also 1. musst Du deine Firewall, falls noch nicht getan nach iptables portieren. Und 2. ip6tables benutzen, um IPv6 Packete zu behandeln und dies auch im Kernel unterstuetzen.
Ich vermute mal, Du willst mit iptables dein inet6 if filtern, diese geht nicht. Ausserdem sind die Regeln von iptables und ip6tables vollkommen unabhaengig. Ausserdem empfehle ich Dir, patch-o-matic des iptables packetes anzuschaun. Es enthaelt sehr viele, vor allem fuer IPv6 nuetzliche, Patches.
Leider ist in ip6tables noch kein statefull firewalling implementiert und somit kein packet contrack moeglich. Von daher kann es etwas kompliziert mit der Erstellung der Regeln werden bzw. weniger "sicher"
Wenn Du willst, kann ich Dir gerne ein Beispielskript zukommen lassen.
Gruss, Jan. -- IPv6 Research of cyconet.org available at http://ipv6.cyconet.org Feel free to contact webmaster at cyconet dot org for peering tunnel.