Posts by MaxMusterman

    Ich konnte heute die vereinfachte Version testen. Kopiert man blind die Regeln aus dem Archwiki für eine simple IPv4/IPv6 Firewall ist der Server anschließend für keinerlei Pings mehr erreichbar. Klar, bei IPv6 fehlt in diesen Regeln unter anderem Type 128 und 129. Ich kann nicht ganz nachvollziehen, wieso dieser Eintrag so im Wiki bestand hat.


    Meine aktuellen Regeln sehen nun wie folgt aus:



    Mit diesen Regeln klappen Pings wie gewohnt - dennoch frage ich mich, ob die Konfiguration optimal ist. Ich wüsste trotzdem gerne, welche ICMP Typen (IPv4 und IPv6) tatsächlich gebraucht werden, um Ping-Funktionalität und natürlich Erreichbarkeit ermöglichen zu können. Ich danke dir, eripeks, für den Hinweis ICMPv6 weitestgehend in Ruhe zu lassen.

    Guten Abend,

    vielen Dank für die Antwort. Zu deinen Vorschlägen:


    1. IPv6 (und auch IPv4) sind bereits statisch konfiguriert. ifconfig und das Verhalten ohne aktive nftables Regeln entsprechen dem erwarteten Verhalten.

    2. Das Arch Wiki habe ich auch bereits zu Rate gezogen, bisher erfolglos.


    Ich danke dennoch für Vorschlag 2 und werde das ganze mit einem einfacheren Ruleset testen. Ein Beitrag bei (afair) Stackexchange, den ich leider nicht mehr finde, hat einen Bug in Bezug auf nftables, IPv6 und conntrack angesprochen. Allerdings dachte ich, dass die nftables Version aus den Backports diesen bereits gefixt hat. Eventuell habe ich diesbezüglich auch einen Fehler in meinem Ruleset. Ich melde mich, sobald ich dies testen konnte.

    Guten Abend,


    ich beschäftige mich aktuell mit der Einrichtung von nftables auf einem vServer und stoße dabei auf Probleme mit den ICMP Regeln für IPv6. Mein Setup ist folgendes:


    - Debian Stretch

    - nftables 0.9.0 aus den Backports


    Um IPv4 und IPv6 mit einem Ruleset bedienen zu können nutze ich die inet Familie von nftables. IPv4 bereitet dabei keine Probleme, sowohl Pings als auch SSH funktionieren. Nach aktivieren der Regeln ist mein Server jedoch für ICMPv6 nicht mehr erreichbar. Mit leerem Ruleset arbeiten beide Protokolle wie gewünscht.


    Meine Input Chain sieht so aus:


    Zunächst dachte ich, dass ICMPv6 zu stark beschnitten ist, aber selbst wenn (wie oben) alle diesbezüglichen Pakete akzeptiert werden kann mein Server über IPv6 keine Pings beantworten. Versucht habe ich bereits:

    - ICMPv4 erweitert (ip protocol icmp icmp type { destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem } accept)

    - ct state new accept statt nur accept bezogen auf ICMPv6


    Grundsätzlich verstehe ich nicht, wo hier der Fehler liegt. Mit iptables und ip6tables gab es keine Probleme. Die nftables Regeln funktionieren mit IPv4. Die IPv6 Adresse ist richtig eingerichtet und pingbar mit leerem nftables Ruleset. Die Regeln für den Umgang mit ICMPv6 sollten eigentlich alles akzeptieren. Trotzdem ist nach aktivieren von nftables keine Verbindung über IPv6 möglich. Leider habe ich selbst keinen IPv6 fähigen Internetanschluss, sodass ich auf die Online Pings diverser Webseiten angewiesen bin.


    Sieht jemand von euch den Fehler?



    Danke für die Hilfe im Voraus.


    Gruß


    MaxMusterman