Guten Tag Zusammen,
ich versuche derzeit einen unserer Server abzuschotten. Das gelingt auch soweit ganz gut, nur dass ICMP Pakete in IPv6 von bestimmten erlaubten Hosts nicht durchkommt. Eine Umleitung auf den Log bietet auch keine neuen Erkenntnisse, außer dass die Pakete nicht in der entsprechenden Chain landen, sondern vorher abgefangen werden.
Die Eingangsregel habe ich auch schon weiter erleichtert, bishin zu jedem ICMPv6 Traffic zu erlauben - führt leider auch nicht zum gewünschten Ergebnis.
Hoffe, dass mir jemand noch einen Anhaltspunkt liefern kann.
Was auch verwunderlich ist, dass nach jedem 4. Paket ein Adress unreachable zurückwirft.
Code
ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P OUTPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT
ip6tables -N CH-DNS
ip6tables -A OUTPUT -p tcp -m tcp -o eth0 --dport 53 -m state --state NEW -j CH-DNS
ip6tables -A OUTPUT -p udp -m udp -o eth0 --dport 53 -m state --state NEW -j CH-DNS
ip6tables -A CH-DNS -d 2001:4860:4860::8888 -j ACCEPT
ip6tables -A CH-DNS -d 2001:4860:4860::8844 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 1 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 2 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 3 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 4 -j ACCEPT
ip6tables -N CH-ICMP-IN
ip6tables -A INPUT -p icmpv6 -j CH-ICMP-IN
ip6tables -A CH-ICMP-IN -s 2a03:4000:10:**::1 -j ACCEPT
ip6tables -A CH-ICMP-IN -s 2a03:4000:10:**::1 -j ACCEPT
ip6tables -A CH-ICMP-IN -s 2a00:ccc1:0:****::1 -j ACCEPT
ip6tables -A OUTPUT -p icmpv6 -o eth0 -m state --state NEW -j ACCEPT
Alles anzeigen
Danke für die Unterstützung.