TCP-Fehlermeldung im Log

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
TomL

TCP-Fehlermeldung im Log

Beitrag von TomL » 08.12.2016 19:12:06

Moin

Hin- und wieder schau ich mal in mein Log rein und prüfe nach 'neuen' Fehlern. Und gerade sehe haufenweise immer den gleichen Fehler, im Abstand von etwa 8 MInuten.

Code: Alles auswählen

Dez 08 17:40:12 raspi1 dhcpcd[646]: eth0: dhcp6_sendmessage: sendmsg: Operation not permitted
Ich war mir gleich ziemlich sicher, dass das mit meinem Paketfilter zusammenhängt und habe deshalb mal tcpdump und journalctl -f parallel laufen lassen und es beobachtet. Und richtig, wie vermutet, immer vor dem Logeintrag habe ich dieses TCP-Paket:

Code: Alles auswählen

17:40:11.923323 IP6 fe80::f333:76abc:ff89:2244 > ff02::1: ICMP6, router advertisement, length 112
Was mich jetzt hier irritiert, ist der Umstand, dass es ein "Sende-Fehler" ist. ICMPv6 ist aber in der Output-Chain ausdrücklich erlaubt:

Code: Alles auswählen

/sbin/ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT 
"ff02" ist Multicast ... *hmmm*... als ich meine Iptables aktiviert habe, dachte ich noch "Pfeif drauf, brauch ich nicht." und habe nicht weiter drüber nachgedacht. Aber da wusste ich auch noch nicht, dass er mir das Log zuschreibt. Jetzt ist mir völlig unklar, ob Multicast überhaupt icmp ist..... ?.... zumindest hat icmp doch mehrere Typ-IDs für multicast: 130, 131,132, 143,151,152,153 - aber anscheinend greifen die Regeln über die Type-ID in meinen Iptables überhaupt nicht.

Ich habe den Fehler zunächstmal mit 2 neuen Filtereinträgen abgeschaltet....

Code: Alles auswählen

ip6tables -A INPUT -d ff00::/8 -j ACCEPT
ip6tables -A OUTPUT -d ff00::/8 -j ACCEPT
Die offene Frage ist: Wofür ist das überhaupt gut? Brauch ich das überhaupt? Oder ist Multicast der Standard und somit obligatorisch, dass es immer accept wird?

Ohne Hilfe krieg ich da kein Licht ins Dunkel... und die Web-Suche hat mich auch nicht weiter gebracht... das ist einfach zu kompliziert, um das mal eben auf die Schnelle zu durchschauen. Und jetzt hoffe ich, dass mir hier jemand mit ein zwei Sätzen beim Verstehen nachhelfen kann. Ich kann nicht einschätzen, ob meine Lösung ok ist oder ob es vielleicht eine bessere Alternative gibt.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: TCP-Fehlermeldung im Log

Beitrag von rendegast » 29.12.2016 15:30:22

icmp unter ipv6 ist wohl komplexer.
War letzten Monat noch ein Thread mit der Problematik
"ip6tables ignoriert ipv6-icmp state"
viewtopic.php?f=18&t=163135
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten