ip6tables ignoriert ipv6-icmp state

Gemeinsam ins Internet mit Firewall und Proxy.
fkit
Beiträge: 17
Registriert: 21.11.2004 20:23:09

Re: ip6tables ignoriert ipv6-icmp state

Beitrag von fkit » 02.12.2016 12:14:10

mludwig hat geschrieben:Dein System schickt einen Ping, der geht auch raus (HANDLERNEW), da er dort keine Antwort erhält, versucht er dann doch nochmal die MAC zu ermitteln (mit NDP) was aber wegen der Firewallregeln nicht gelingt --> er muss also aufgeben. Meiner Meinung nach wird das Ping (deine erste Log-Zeile) nicht gedroppt, in der Kette wird ja danach alles akzeptiert.

Ergo würde ich a) rausfinden, warum auf das erste Ping keine Anwort kommt, es steht auch nix im Log --> INPUT Kette um eine Logzeile wie bei HANDLENEW erweitern! und b) die Regeln so erweitern, dass NDP funktioniert. z. B. indem ICMPv6 Type 135 erlaubt wird. NDP wird sowieso nur im lokalen Netz gemacht, dass sollte eigentlich auch sicherheitsmäßig unkritisch sein, gleichzeitig ist es eigentlich elementar wichtig. Dein Gegenüber (der PC den du anpingen möchstest), schickt bestimmt auch ein NDP, um die MAC von dir rauszufinden. Die bleibt vielleicht auch schon im INPUT hängen.
Ich haber versucht an oberster Stelle die INPUT Chain zu loggen. Da kommt nichts vom Gegenüber an. Aber es hätte sein können.

Ich würde das hier jetzt auch beenden, denn ich sehe auch, daß es stateful mit dem icmpv6 nicht richtig funktioniert. Danke für die Diskussion!

Also dann doch so:

Code: Alles auswählen

-A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT
-A OUTPUT -p ipv6-icmp -j ACCEPT

Antworten