IPv6 gateway und minimale Firewall-Freigaben

  • EDIT:
    Um (auch) IPv6-Verkehr gut abzusichern, empfiehlt oliver.d als Ausgangsbasis für eigene Firewallregeln:

    Also ich benutze das Folgende als Basis: https://gist.github.com/jirutka/3742890

    Finde ich gut, weil dort auch auf die Empfehlung in rfc4890 eingegangen wird.


    Ansonsten wiederhole ich was in anderen Threads und im Wiki steht: gateway manuell setzen!

    Code
    1. iface eth0 inet6 static
    2. address 2a03:4000:x:y::z
    3. netmask 64
    4. gateway fe80::1


    --- Originalpost ---
    Hallo,
    am letzten Freitag (3.2.17) waren meine beiden vServer nicht mehr über IPv6 erreichbar. Meine Vermutung ist, dass ich aufgrund einer (veralteten? - das ist die Frage) Empfehlung das IPv6-gateway nicht in

    Code
    1. /etc/network/interfaces

    eingetragen hatte, sondern es sich bis dahin über IPv6 Neighbor Discovery o.Ä. selbstständig eingetragen hat. Im Wiki ist die manuelle Eintragung aber derzeit drin, also gehe ich davon aus dass einfach seit Freitag der Router nix mehr aussendet. In dem Zusammenhang habe ich meine Firewall-Regeln überprüft und gemerkt, dass die Router advertisement und solicitation Pakete garnicht durchgelassen wurden, trotzdem hat IPv6 ein gutes halbes Jahr inkl. Neustarts funktioniert. Können wir vielleicht mal die minimalen Freigaben, eine Art Empfehlung für die IPv6-Firewall hier sammeln/korrigieren/festhalten?


    Meine bis Freitag funktionierende Config, ohne manuelle gateway-Eintragung:


    Aus welcher Quelle ich mir das zusammengesucht hatte weiß ich leider nicht mehr. Typen 1-4 sind Fehlermeldungen, 128/129 echo request/reply, die requests auf 5 pro Sekunde gedrosselt.
    135-137 (Neighbor Solicitation/Advertisement und Redirect Messages) sorgen auch bei manueller Konfiguration für gültige link local-Adressen, richtig? Oder braucht man die bei manueller Konfiguration nicht? Laut tcpdump werden hiervon einige rumgeschickt.
    Ich dachte für Router Advertisement wären noch 133/134 notwendig, aber ich bekam bis Freitag auch ohne diese Freigaben das gateway eingetragen. Sollte man diese lieber noch dazu nehmen?

  • Hast du einen bestimmten Grund ICMP zu sperren?


    Nur den Ansatz so wenig wie nötig freizugeben um hohe Sicherheit zu erreichen. IPv6 ist recht "neu", wenn auch nur was die Verbreitung angeht. Attacken sind in der Praxis noch selten, gleichzeitig gibt's schon einige Angriffszenarien mit NDP und RA (MITM, Windows XP-8 lässt sich mit RA lahmlegen, ...?). Daher wollte ich mal nachfragen, ob sich darüber schon jemand Gedanken gemacht hat. Im Bereich der vServer hier wird sicherlich vieles von Netcup weggefiltert, aber darauf kann man sich ja nicht immer verlassen :D


    Gerade gefunden: rfc4890.txt
    Nach diesem Empfehlungen müsste eventuell der Typ 137 raus, kann aber auch sein dass der von Linux-Kerneln sowieso ignoriert wird.