-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo,
hat schon wer Erfahrungen mit 6bone und Firewalls?
Szenario: ich verbinde mich ueber freenet6 ans 6bone, also existieren diese Devices bei mir:
eth0 - lokale Netzwerkkarte eth1 - Netzwerkkarte nur fuer DSL-Modem ppp0 - DSL-Verbindung ueber eth1 sit1 - IPv6-to-IPv4 Tunnel via ppp0 (ich weiss, das ist gemein)
sit1 uebersetzt stinknormale IPv6-Pakete in IPv4 Pakete mit der Protokoll-ID 41 (TCP hat dagegen 6, UDP 17) und schickt sie ueber ppp0 an einen Gateway (tsps1.freenet6.net). Dort werden sie ausgepackt und ins 6bone eingespeisst. Umgekehrt erhalte ich Pakete mit ID 41 vom Gateway via ppp0, das gibt sie an sit1 weiter und dort werden sie entpackt und als IPv6-Pakete ausgeliefert.
Problem ist jetzt folgendes: genauso, wie ich IPv4-Verbindungen filtere, will ich auch IPv6-Verbindungen durch die Firewall jagen. Allerdings haben die Pakete auf sit1 immernoch IPv4-ID41, wenn sie durch die INPUT-Chain gehen - so kann man aber nicht abfiltern, was in diesen Paketen eingepackt ist. Was muss ich tun, um die eigentlichen IPv6-Pakete auf die selben Regeln abzuchecken, die ich auch bei IPv4 anwende (z.B. will ich keine TCP-SYN-Pakete von aussen zulassen).
Konrad
- -- "I know Kung Fu." "Show me."
-- Neo and Morpheus, "The Matrix"
-----Ursprüngliche Nachricht----- Von: lug-dd-admin@schlittermann.de [mailto:lug-dd-admin@schlittermann.de] Im Auftrag von Konrad Rosenbaum Gesendet: Montag, 4. März 2002 21:03 An: lug-dd@schlittermann.de Betreff: IPv6 und Firewall
Hallo,
hat schon wer Erfahrungen mit 6bone und Firewalls?
ip6tables
Konrad
Mit freundlichen Grüßen Daniel
Hi Konrad!
hat schon wer Erfahrungen mit 6bone und Firewalls?
6bone? Das doch nur nen Verein, der IPs aus dem 3ffe::/16 Testnetz vergibt.
Problem ist jetzt folgendes: genauso, wie ich IPv4-Verbindungen filtere, will ich auch IPv6-Verbindungen durch die Firewall jagen. Allerdings haben die Pakete auf sit1 immernoch IPv4-ID41, wenn sie durch die INPUT-Chain gehen - so kann man aber nicht abfiltern, was in diesen Paketen eingepackt ist. Was muss ich tun, um die eigentlichen IPv6-Pakete auf die selben Regeln abzuchecken, die ich auch bei IPv4 anwende (z.B. will ich keine TCP-SYN-Pakete von aussen zulassen).
Also 1. musst Du deine Firewall, falls noch nicht getan nach iptables portieren. Und 2. ip6tables benutzen, um IPv6 Packete zu behandeln und dies auch im Kernel unterstuetzen.
Ich vermute mal, Du willst mit iptables dein inet6 if filtern, diese geht nicht. Ausserdem sind die Regeln von iptables und ip6tables vollkommen unabhaengig. Ausserdem empfehle ich Dir, patch-o-matic des iptables packetes anzuschaun. Es enthaelt sehr viele, vor allem fuer IPv6 nuetzliche, Patches.
Leider ist in ip6tables noch kein statefull firewalling implementiert und somit kein packet contrack moeglich. Von daher kann es etwas kompliziert mit der Erstellung der Regeln werden bzw. weniger "sicher"
Wenn Du willst, kann ich Dir gerne ein Beispielskript zukommen lassen.
Gruss, Jan. -- IPv6 Research of cyconet.org available at http://ipv6.cyconet.org Feel free to contact webmaster at cyconet dot org for peering tunnel.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Monday 04 March 2002 21:21, Wagner Jan wrote:
hat schon wer Erfahrungen mit 6bone und Firewalls?
6bone? Das doch nur nen Verein, der IPs aus dem 3ffe::/16 Testnetz vergibt.
Genau, da T-Offline aber kein IPv6 unterstuetzt (die haben bis jetzt noch nichtmal meine Anfrage beantwortet) muss ich das irgendwie tunneln und 6bone kam mir da geeignet vor.
Problem ist jetzt folgendes: genauso, wie ich IPv4-Verbindungen filtere, will ich auch IPv6-Verbindungen durch die Firewall jagen. Allerdings haben die Pakete auf sit1 immernoch IPv4-ID41, wenn sie durch die INPUT-Chain gehen - so kann man aber nicht abfiltern, was in diesen Paketen eingepackt ist. Was muss ich tun, um die eigentlichen IPv6-Pakete auf die selben Regeln abzuchecken, die ich auch bei IPv4 anwende (z.B. will ich keine TCP-SYN-Pakete von aussen zulassen).
Also 1. musst Du deine Firewall, falls noch nicht getan nach iptables portieren.
Schon lange passiert.
Und 2. ip6tables benutzen, um IPv6 Packete zu behandeln und dies auch im Kernel unterstuetzen.
Das wars! Auf diesen Programmnamen muss man erstmal kommen.
Ich vermute mal, Du willst mit iptables dein inet6 if filtern, diese geht nicht. Ausserdem sind die Regeln von iptables und ip6tables vollkommen unabhaengig. Ausserdem empfehle ich Dir, patch-o-matic des iptables packetes anzuschaun. Es enthaelt sehr viele, vor allem fuer IPv6 nuetzliche, Patches.
Ok, sobald wieder Zeit fuer den Kernel ist...
Leider ist in ip6tables noch kein statefull firewalling implementiert und somit kein packet contrack moeglich. Von daher kann es etwas kompliziert mit der Erstellung der Regeln werden bzw. weniger "sicher"
Macht nix, ich benutze hier kein stateful filtering. Die meisten Sachen blocke ich einfach ab, beim Rest gehe ich auf Applikationsseite davon aus, dass es nicht sicher ist.
Ich habe jetzt einfach meine IPv4-Regeln leicht modifiziert an ip6tables gefuettert, scheint prima zu funktionieren.
danke, Konrad
- -- BOFH excuse #84:
Someone is standing on the ethernet cable, causeing a kink in the cable
lug-dd@mailman.schlittermann.de
-
Daniel Rudolph -
konrad.rosenbaum@t-online.de -
Wagner Jan