IPv6 alap tűzfalazás

IPv6

Mi számít mostanában alap tűzfalazásnak, ha nem akarok zavart okozni az erőben, de inkább a "mindent tiltok és csak bizonyos dolgokat engedek" vonalon akarok mozogni?

Sixxs tunnelem van, és a RELATED,ESTABLISHED dolgok be vannak engedve, egyébként az INPUT policy DROP. IPv4-en ez elég is volt, nem kellett neighbor discovery meg ilyesmi, a pingre és létező kapcsolatokra visszajöttek az ICMP csomagok, stb.

IPv6-on meg ugyebár vannak már az előbb említett dolgok, ND, bővebb ICMP, mittudomén, annyira mélyen nem értek hozzá. Itt van például egy jó nagy script. Ezt kicsit túlzásnak tartom. Nem akarok alapból beengedni mindenféle ICMP-t, és a RELATED,ESTABLISHED szabály miatt a lényeg bejön, gondolom. Van-e olyan szabály, amit még érdemes beengedni? És van-e értelme az ilyeneknek, mint pl. RH0 tiltás? A gyakorlatban elérhet ilyen még hozzám egyáltalán?

  • 6389 megtekintés

( _Gabor_ | 2014. 07. 03., cs – 11:51 )

Pár szabály, ami hasznos lehet, bár nem feltétlen sixxs-hez:

ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit 900/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit 900/min -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT

Na igen, ilyenekkel van tele a hivatkozott nagy script is, de az a gondom vele, hogy nem értem, mennyire fontos ezeknek a léte. Echo reply, destination unreachable és barátaira biztos nem kell tűzfalszabály, mert beengedi az ESTABLISHED,RELATED állapot, és ebben megbízok, ez oké (jól sejtem?). A neighbor, router cuccok annyira nem fájnak, itt gondolom az a kérdés, hogy bízok-e a túloldalban, és szerintem a Sixxs felől nem fognak gonosz dolgok jönni (lehet-e egyáltalán gonoszságot kivitelezni ilyen csomagokkal?), ugyanakkor naivan azt gondolom, hogy ha tiltom ezeket, akkor sem okozok nagy zavart az erőben, mert nálam csak egy default route van a tunnel felé, és ennyi. Szerintem nagy zavart az ICMP válaszcsomagok tiltása tudna okozni, de ezt ugye megoldottuk már, viszont abban nem vagyok 100%-ig biztos, hogy másból lehet-e gond.

--

Ez sajnos nincs így: az ICMPv6-ra (részben) azért van szükség, mert azzal váltottál ki az ARP-ot, és ha ahhoz nem jönnek meg a csomagok, akkor hiába a helyes default route beállítás. Vagy ha a DAD (Duplicate Address Detection) nem sikeres, akkor hiába állítod be a fix IPv6 címet, az tentative státusú marad, és nem tudsz rajta forgalmazni.

Az ESTABLISHED,RELATED nem elegendő minden esetben, mert multicast címeket használnak, arra pedig nem működik a conntrack. Az RFC (http://www.ietf.org/rfc/rfc4890.txt) appendixében a script egy jó iránymutató. Ha neked nem kell Mobility támogatás, akkor azt persze nyugodtan kihagyhatod.