EDIT:
Um (auch) IPv6-Verkehr gut abzusichern, empfiehlt oliver.d als Ausgangsbasis für eigene Firewallregeln:
Also ich benutze das Folgende als Basis: https://gist.github.com/jirutka/3742890
Finde ich gut, weil dort auch auf die Empfehlung in rfc4890 eingegangen wird.
Ansonsten wiederhole ich was in anderen Threads und im Wiki steht: gateway manuell setzen!
--- Originalpost ---
Hallo,
am letzten Freitag (3.2.17) waren meine beiden vServer nicht mehr über IPv6 erreichbar. Meine Vermutung ist, dass ich aufgrund einer (veralteten? - das ist die Frage) Empfehlung das IPv6-gateway nicht in
eingetragen hatte, sondern es sich bis dahin über IPv6 Neighbor Discovery o.Ä. selbstständig eingetragen hat. Im Wiki ist die manuelle Eintragung aber derzeit drin, also gehe ich davon aus dass einfach seit Freitag der Router nix mehr aussendet. In dem Zusammenhang habe ich meine Firewall-Regeln überprüft und gemerkt, dass die Router advertisement und solicitation Pakete garnicht durchgelassen wurden, trotzdem hat IPv6 ein gutes halbes Jahr inkl. Neustarts funktioniert. Können wir vielleicht mal die minimalen Freigaben, eine Art Empfehlung für die IPv6-Firewall hier sammeln/korrigieren/festhalten?
Meine bis Freitag funktionierende Config, ohne manuelle gateway-Eintragung:
ip6tables -A INPUT -p icmpv6 --icmpv6-type 1 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 2 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 3 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 4 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 128 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 129 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 135 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 136 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type 137 -j ACCEPT
...
ip6tables -A INPUT -j DROP
Alles anzeigen
Aus welcher Quelle ich mir das zusammengesucht hatte weiß ich leider nicht mehr. Typen 1-4 sind Fehlermeldungen, 128/129 echo request/reply, die requests auf 5 pro Sekunde gedrosselt.
135-137 (Neighbor Solicitation/Advertisement und Redirect Messages) sorgen auch bei manueller Konfiguration für gültige link local-Adressen, richtig? Oder braucht man die bei manueller Konfiguration nicht? Laut tcpdump werden hiervon einige rumgeschickt.
Ich dachte für Router Advertisement wären noch 133/134 notwendig, aber ich bekam bis Freitag auch ohne diese Freigaben das gateway eingetragen. Sollte man diese lieber noch dazu nehmen?