Sziasztok!
Van egy Debian alapú szerveren. A szolgáltató eszközt cserélt és nincs rendes ipv4 címen. Az alábbi szabályokkal nem érem el a szervert
:INPUT DROP [6:720]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p udp -m udp --dport 546 -j ACCEPT
-A INPUT -m state --state NEW -p udp -m udp --dport 547 -j ACCEPT
-A INPUT -p ipv6-icmp --icmpv6-type 128 -j ACCEPT
-A INPUT -m state --state NEW -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
Se a ping se az ssh nem megy. Mit rontottam el?
Segítséget előre is köszönöm
- 251 megtekintés
Hozzászólások
A szolgáltató alatt a Vodafone-t kell érteni és az eszközcsere alatt a DsLite IPv6 konfigos új kütyüjüket?
Ha így van, kérd vissza az IPv4 módot. Valószínűleg a szolgáltatói eszköz is tűzfalazza a külső elérést.
TheAdam
- A hozzászóláshoz be kell jelentkezni
Igen a Vodafone hozott egy fekete dobozt (ch7465vf) a régi fehér helyett. azon beállítottam a tűzfalat csak a szerver felé tud menni a forgalom, ha engedélyező szabályt rakok az INPUT -ra is akkor megy minden szépen, mihelyt a fent lévő szabályt állítom be se ping se ssh.
Mivel nem az én nevemen van az előfizetés kicsit nehézkes az ügyintézés és kb nyár elejéig tudok csak maradni ezért nem szeretném nagyon bolygatni.
És mivel valószínű mindenhol ez fog szép lassan fogadni, bele kellene tanulnom.
- A hozzászóláshoz be kell jelentkezni
picit sovany az a icmpv6-type "lista"
- A hozzászóláshoz be kell jelentkezni
Engedélyezz minden ICMP bejövő forgalmat.
- A hozzászóláshoz be kell jelentkezni
így működik, de a netem mindenhol azt írják korlátozzam az Echo-Request csomagokra a biztonság miatt
- A hozzászóláshoz be kell jelentkezni
Hol írnak ilyet IPv6 esetén?
- A hozzászóláshoz be kell jelentkezni
minden ami microtik ipv6 tananyaga, ha jól emlékszem Kernel Pánik ipv6 videójába is elhangzik. de holnap igyekszek linkelni, hogy ne a levegőbe beszéljek
- A hozzászóláshoz be kell jelentkezni
RFC 4890: Recommendations for Filtering ICMPv6 Messages in Firewalls (rfc-editor.org)
Főleg a 4. pontot nézd át alaposan.
- A hozzászóláshoz be kell jelentkezni
Ha otthoni szolgáltatásról van szó, akkor csak szólni kell és adnak ipv4-et.
- A hozzászóláshoz be kell jelentkezni
Mivel nem az én nevemen van az előfizetés kicsit nehézkes az ügyintézés
meg most nem hajt a tatár van időm vele foglalkozni, nem tudom menyire lesz életképes az IPv6 vagy lesz helyette más, nagyon ingoványos még ahogy nézem
- A hozzászóláshoz be kell jelentkezni
Jó lesz az. Megnéztem a főoldalon linkelt hwsw videót ipv6 témában és nagyon okos és érdekes dolgokat hallottam benne. Ha mindenki hozzátesz egy picit egyre erősebb lesz a penetrációja és aztán ha elér egy kritikus szintet akkor onnan törvényszerű az ugrásszerű elterjedés. No ezt jól elmondtam.
Személy szerint elég jó helyzetben vagyok, mert mind az isp mind a munkahely full ipv6 támogatott infrastrukturával bír. Így könnyebb optimistának lenni.
“The basic tool for the manipulation of reality is the manipulation of words. If you can control the meaning of words, you can control the people who must use them.”
― Philip K. Dick
- A hozzászóláshoz be kell jelentkezni
Szia,
az IPv6 működéséhez az NDP forgalmat is engedélyezned kell. (lásd az ICMPv6 szubprotokolljait)
- A hozzászóláshoz be kell jelentkezni
Meg az RA üzeneteket, esetleg fragmentation need típusuakat. Ha nem milliárdokat védesz, akkor igazából azzal jársz a legjobban ha minden ICMP6-ot. :)
- A hozzászóláshoz be kell jelentkezni
Ha nem akarja az összeset, még RFC is van hogy miket kell/javasolt/tiltható:
- A hozzászóláshoz be kell jelentkezni