ip6tables icmp

  • Guten Tag Zusammen,


    ich versuche derzeit einen unserer Server abzuschotten. Das gelingt auch soweit ganz gut, nur dass ICMP Pakete in IPv6 von bestimmten erlaubten Hosts nicht durchkommt. Eine Umleitung auf den Log bietet auch keine neuen Erkenntnisse, außer dass die Pakete nicht in der entsprechenden Chain landen, sondern vorher abgefangen werden.


    Die Eingangsregel habe ich auch schon weiter erleichtert, bishin zu jedem ICMPv6 Traffic zu erlauben - führt leider auch nicht zum gewünschten Ergebnis.
    Hoffe, dass mir jemand noch einen Anhaltspunkt liefern kann.


    Was auch verwunderlich ist, dass nach jedem 4. Paket ein Adress unreachable zurückwirft.



    Danke für die Unterstützung.

  • Du solltest ICMPv6 lieber nicht nach der Quelle oder dem Ziel filtern, sondern nur nach dem Typ. Du schließt ansonsten sehr viele NDP-Informationen aus, der Router leitet die realen Pakete somit vielleicht gar nicht mehr zu Dir weiter. Hier mal ein Auszug aus meiner Firewall:



    Credits: Die beiden zusätzlichen Ketten wurden größtenteils aus dem "Linux-Firewalls" Buch von Ralf Spenneberg übernommen.



    MfG Christian

  • Hallo Christian,


    danke für Deinen Input. Ich stelle das nochmal als Shellscript hier zur Verfügung.
    Läuft auch soweit.


    Kann ich dennoch den Typ 128 (echo-request) auf bestimmte Source Adressen reduzieren zzgl. des fe80::/10 Subnetzes?