Guten Tag Zusammen,
ich versuche derzeit einen unserer Server abzuschotten. Das gelingt auch soweit ganz gut, nur dass ICMP Pakete in IPv6 von bestimmten erlaubten Hosts nicht durchkommt. Eine Umleitung auf den Log bietet auch keine neuen Erkenntnisse, außer dass die Pakete nicht in der entsprechenden Chain landen, sondern vorher abgefangen werden.
Die Eingangsregel habe ich auch schon weiter erleichtert, bishin zu jedem ICMPv6 Traffic zu erlauben - führt leider auch nicht zum gewünschten Ergebnis.
Hoffe, dass mir jemand noch einen Anhaltspunkt liefern kann.
Was auch verwunderlich ist, dass nach jedem 4. Paket ein Adress unreachable zurückwirft.
Code
- ip6tables -F
- ip6tables -P INPUT DROP
- ip6tables -P OUTPUT DROP
- ip6tables -P FORWARD DROP
- ip6tables -A INPUT -i lo -j ACCEPT
- ip6tables -A OUTPUT -o lo -j ACCEPT
- ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
- ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- ip6tables -A INPUT -s fe80::/10 -j ACCEPT
- ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT
- ip6tables -N CH-DNS
- ip6tables -A OUTPUT -p tcp -m tcp -o eth0 --dport 53 -m state --state NEW -j CH-DNS
- ip6tables -A OUTPUT -p udp -m udp -o eth0 --dport 53 -m state --state NEW -j CH-DNS
- ip6tables -A CH-DNS -d 2001:4860:4860::8888 -j ACCEPT
- ip6tables -A CH-DNS -d 2001:4860:4860::8844 -j ACCEPT
- ip6tables -A INPUT -p icmpv6 --icmpv6-type 1 -j ACCEPT
- ip6tables -A INPUT -p icmpv6 --icmpv6-type 2 -j ACCEPT
- ip6tables -A INPUT -p icmpv6 --icmpv6-type 3 -j ACCEPT
- ip6tables -A INPUT -p icmpv6 --icmpv6-type 4 -j ACCEPT
- ip6tables -N CH-ICMP-IN
- ip6tables -A INPUT -p icmpv6 -j CH-ICMP-IN
- ip6tables -A CH-ICMP-IN -s 2a03:4000:10:**::1 -j ACCEPT
- ip6tables -A CH-ICMP-IN -s 2a03:4000:10:**::1 -j ACCEPT
- ip6tables -A CH-ICMP-IN -s 2a00:ccc1:0:****::1 -j ACCEPT
- ip6tables -A OUTPUT -p icmpv6 -o eth0 -m state --state NEW -j ACCEPT
Danke für die Unterstützung.