Ich konnte heute die vereinfachte Version testen. Kopiert man blind die Regeln aus dem Archwiki für eine simple IPv4/IPv6 Firewall ist der Server anschließend für keinerlei Pings mehr erreichbar. Klar, bei IPv6 fehlt in diesen Regeln unter anderem Type 128 und 129. Ich kann nicht ganz nachvollziehen, wieso dieser Eintrag so im Wiki bestand hat.
Meine aktuellen Regeln sehen nun wie folgt aus:
Code
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
ct state established,related accept
ct state invalid drop
iif "lo" accept
ip6 nexthdr ipv6-icmp accept
ip protocol icmp accept
ip protocol igmp accept
tcp dport ssh accept
}
chain forward {
type filter hook forward priority 0; policy drop;
}
chain output {
type filter hook output priority 0; policy accept;
}
}
Alles anzeigen
Mit diesen Regeln klappen Pings wie gewohnt - dennoch frage ich mich, ob die Konfiguration optimal ist. Ich wüsste trotzdem gerne, welche ICMP Typen (IPv4 und IPv6) tatsächlich gebraucht werden, um Ping-Funktionalität und natürlich Erreichbarkeit ermöglichen zu können. Ich danke dir, eripeks, für den Hinweis ICMPv6 weitestgehend in Ruhe zu lassen.