ich bin mir nicht sicher, ob das eine Kernel Frage zum Kernelmodul nf_conntrack_ipv6 ist, oder ip6tables betrifft. Ich erkläre das was mir aufgefallen ist am Besten erstmal durch die Auflistung der aktuellen IPv6 Regeln:
Code: Alles auswählen
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:ext-fw - [0:0]
:fw-ext - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -m state --state INVALID,NEW -j ext-fw
-A INPUT -j LOG --log-prefix "Firewall input "
-A INPUT -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -m state --state INVALID,NEW -j fw-ext
-A OUTPUT -j LOG --log-prefix "Firewall output "
-A OUTPUT -j DROP
-A ext-fw -j ACCEPT
-A fw-ext -j ACCEPT
COMMIT
Code: Alles auswählen
-A OUTPUT -o eth0 -m conntrack --ctstate INVALID,NEW -j fw-ext
Code: Alles auswählen
~# ping6 -c 1 -I eth0 fe80::230:18ff:fead:3bfb
PING fe80::230:18ff:fead:3bfb(fe80::230:18ff:fead:3bfb) from fe80::dacb:8aff:fe31:a544 eth0: 56 data bytes
From fe80::dacb:8aff:fe31:a544 icmp_seq=1 Destination unreachable: Address unreachable
--- fe80::230:18ff:fead:3bfb ping statistics ---
1 packets transmitted, 0 received, +1 errors, 100% packet loss, time 0ms
Code: Alles auswählen
Nov 29 10:49:44 ork kernel: [11469.396938] Firewall output IN= OUT=eth0 SRC=fe80:0000:0000:0000:dacb:8aff:fe31:a544 DST=ff02:0000:0000:0000:0000:0001:ffad:3bfb LEN=72 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=135 CODE=0
Wenn ich ipv6-icmp explizit zulasse, dann geht der ipv6 Ping auch durch. Aber ich möchte den Ping gerne in einer benutzerdefinierten Chain, abhängig vom Interface haben.
Hat jemand eine Idee ob das so gewollt ist, oder ist es ein Bug?