Fórumok
Sziasztok!
Van egy Debian alapú szerveren. A szolgáltató eszközt cserélt és nincs rendes ipv4 címen. Az alábbi szabályokkal nem érem el a szervert
:INPUT DROP [6:720]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p udp -m udp --dport 546 -j ACCEPT
-A INPUT -m state --state NEW -p udp -m udp --dport 547 -j ACCEPT
-A INPUT -p ipv6-icmp --icmpv6-type 128 -j ACCEPT
-A INPUT -m state --state NEW -p tcp -m tcp --dport 22 -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
Se a ping se az ssh nem megy. Mit rontottam el?
Segítséget előre is köszönöm
Hozzászólások
A szolgáltató alatt a Vodafone-t kell érteni és az eszközcsere alatt a DsLite IPv6 konfigos új kütyüjüket?
Ha így van, kérd vissza az IPv4 módot. Valószínűleg a szolgáltatói eszköz is tűzfalazza a külső elérést.
TheAdam
Igen a Vodafone hozott egy fekete dobozt (ch7465vf) a régi fehér helyett. azon beállítottam a tűzfalat csak a szerver felé tud menni a forgalom, ha engedélyező szabályt rakok az INPUT -ra is akkor megy minden szépen, mihelyt a fent lévő szabályt állítom be se ping se ssh.
Mivel nem az én nevemen van az előfizetés kicsit nehézkes az ügyintézés és kb nyár elejéig tudok csak maradni ezért nem szeretném nagyon bolygatni.
És mivel valószínű mindenhol ez fog szép lassan fogadni, bele kellene tanulnom.
picit sovany az a icmpv6-type "lista"
Engedélyezz minden ICMP bejövő forgalmat.
így működik, de a netem mindenhol azt írják korlátozzam az Echo-Request csomagokra a biztonság miatt
Hol írnak ilyet IPv6 esetén?
minden ami microtik ipv6 tananyaga, ha jól emlékszem Kernel Pánik ipv6 videójába is elhangzik. de holnap igyekszek linkelni, hogy ne a levegőbe beszéljek
RFC 4890: Recommendations for Filtering ICMPv6 Messages in Firewalls (rfc-editor.org)
Főleg a 4. pontot nézd át alaposan.
Ha otthoni szolgáltatásról van szó, akkor csak szólni kell és adnak ipv4-et.
Mivel nem az én nevemen van az előfizetés kicsit nehézkes az ügyintézés
meg most nem hajt a tatár van időm vele foglalkozni, nem tudom menyire lesz életképes az IPv6 vagy lesz helyette más, nagyon ingoványos még ahogy nézem
Jó lesz az. Megnéztem a főoldalon linkelt hwsw videót ipv6 témában és nagyon okos és érdekes dolgokat hallottam benne. Ha mindenki hozzátesz egy picit egyre erősebb lesz a penetrációja és aztán ha elér egy kritikus szintet akkor onnan törvényszerű az ugrásszerű elterjedés. No ezt jól elmondtam.
Személy szerint elég jó helyzetben vagyok, mert mind az isp mind a munkahely full ipv6 támogatott infrastrukturával bír. Így könnyebb optimistának lenni.
Szia,
az IPv6 működéséhez az NDP forgalmat is engedélyezned kell. (lásd az ICMPv6 szubprotokolljait)
Meg az RA üzeneteket, esetleg fragmentation need típusuakat. Ha nem milliárdokat védesz, akkor igazából azzal jársz a legjobban ha minden ICMP6-ot. :)
Ha nem akarja az összeset, még RFC is van hogy miket kell/javasolt/tiltható:
https://www.rfc-editor.org/rfc/rfc4890