ketanest112
03.04.2017
view2294
view4
0
Goto Top

Ip6tables sperrt komplett

gelöstFrageNetzwerkeRouter, Routing
Hallo zusammen,

ich habe schon ein wenig recherchiert, aber nix zur Problemlösung gefunden.
Ich habe letztens dann doch auch mal auf IPv6 "umgestellt" bzw. erweitert, unter anderem auch meinen Server.
Auf diversen Seiten hab ich gesehen, dass ich Firewallmäßig ip6tables benutzen muss, die Syntax hier aber exakt gleich ist wie bei iptables.
Das hab ich ausprobiert, packetfilter file iptables kopiert, iptables durch ip6tables ersetzt und gut.
Startet auch ohne meckern, nur sperrt er mir am Ende sämtlichen Traffic (obwohl vorher diverse Ports "ACCEPTED" wurden).
Das Skript erlaubt diverse Ports und DROPPED am Ende alle anderen Pakete. RELATED,ESTABLISHED ist natürlich freigegeben.
Sobald ich das Skript mit "stop" aufrufe, flushed er sämtliche tables und Traffic läuft wieder.

Könnt ihr euch das erklären?

Anbei mal der Code:

#!/bin/sh
#
# init.d/packetfilter6
### BEGIN INIT INFO
# Provides:       packetfilter6
# Required-Start: $network $syslog
# Required-Stop:
# Default-Start:  2 3 4 5
# Default-Stop:   0 1 6
# Description:    Starts the packetfilter IPv6
### END INIT INFO

IPTABLES=/sbin/ip6tables
PIP6="aa::1"  
# (P für primäre IP)
SIP6="aa::2"  
# (S für sekundäre IP)

case "$1" in  
    start)

        echo "Starte Paketfilter IPv6..."  

        #auf Ping antworten
        $IPTABLES -A INPUT -p icmp                              -j ACCEPT

        #localhost immer zulassen
        $IPTABLES -A INPUT -d ::1                               -j ACCEPT
        $IPTABLES -A INPUT -s ::1                               -j ACCEPT

        #SSH zulassen
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 22   -j ACCEPT

        #SMTP zulassen
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 25    -j ACCEPT

        #HTTP(S) zulassen
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 80    -j ACCEPT
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 443    -j ACCEPT

        #MySQL zulassen, derzeit inaktiv
        #$IPTABLES -A INPUT -p tcp -d $PIP6 --dport 3306        -j ACCEPT

        #VPN zulassen, nicht mehr über primäre IP
        #$IPTABLES -A INPUT -p tcp -d $PIP6 --dport 1194        -j ACCEPT
        #VPN auf sek. IP  über 443 zulassen und umleiten
        $IPTABLES -A INPUT -p tcp -d $SIP6       --dport 1194   -j ACCEPT
        $IPTABLES -A INPUT -p tcp -d $SIP6       --dport 443    -j ACCEPT
        $IPTABLES -t nat -A PREROUTING -p tcp -d $SIP6 --dport 443      -j DNAT --to-destination $SIP6:1194
#anmerkung für administrator.de: Muss so gelöst werden, da VPN und HTTPS gleichzeitig auf dem gleichen Port nicht geht

        #DNS zulassen
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 53   -j ACCEPT
        $IPTABLES -A INPUT -p udp -d $PIP6 --dport 53    -j ACCEPT
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 953    -j ACCEPT

                #Teamspeak zulassen
        $IPTABLES -A INPUT -p udp -d $PIP6 --dport 9989    -j ACCEPT
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 30033    -j ACCEPT
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 10011    -j ACCEPT
        $IPTABLES -A INPUT -p tcp -d $PIP6 --dport 41144    -j ACCEPT

        #NTP Loggen und zulassen; LOG limitiert auf 30 gleiche Pakete pro Minute
        $IPTABLES -A INPUT -p udp -d $PIP6 --dport 123 -m limit --limit 30/min -j LOG --log-prefix='[iptables]: '  
        $IPTABLES -A INPUT -p udp -d $PIP6 --dport 123 -j ACCEPT


        #Aufgebaute bzw. bekannte Verbindungen zulassen
        $IPTABLES -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED   -j ACCEPT
        $IPTABLES -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

        #Alle anderen Inputs und Forwards droppen
        $IPTABLES -A INPUT -j DROP
        $IPTABLES -A FORWARD -j DROP

        ;;
    stop)

        echo "Beende Paketfilter..."  
        $IPTABLES -F
        $IPTABLES -t nat -F
        $IPTABLES -t mangle -F
        $IPTABLES -X
        $IPTABLES -t nat -X
        $IPTABLES -t mangle -X
        ;;

           reload|restart)
        $0 stop && sleep 1 && $0 start
        ;;
    status)
        $IPTABLES -L
        $IPTABLES -t nat -L
        $IPTABLES -t mangle -L
        ;;
    *)
        echo "Usage: $0 {start|stop|status|reload|restart}"  
        exit 1
esac

exit 0
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 333998

Url: https://administrator.de/contentid/333998

Ausgedruckt am: 19.11.2024 um 05:11 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
Sheogorath
Lösung Sheogorath 04.04.2017 aktualisiert um 01:56:29 Uhr
Goto Top
Moin,

der Fehler ist schnell gefunden. Siehe: https://www.jethrocarr.com/2013/02/09/ip6tables-ipv6-icmp-vs-icmp/

Hintergrund ist der, dass IPv6 eben nicht IPv4 ist und untenrum etwas anders aufgebaut ist. Dementsprechend kann man nicht einfach blindlinks alles blockieren. z.B. icmpv6 ist unbedingt notwendig, damit da überhaupt was funktioniert.

Ingesamt würde ich dir empfehlen eher sowas wie ferm oder ufw zu nutzen, dann sparst du dir die viele Scripterei. Aber das ist deine Sache ^^

Gruß
Chris
ketanest112
ketanest112 04.04.2017 um 09:56:54 Uhr
Goto Top
Danke für den Link!
Es lag schienbar tatsächlich am icmp, den hatte ich auch freigegeben. Aber halt nicht den ipv6-icmp.

Jetzt geht alles face-smile

Was mich zwar immernoch etwas verwundert, warum die andren Dienste nicht funktionieren, wenn icmp nicht freigegeben ist aber gut.

Bezüglich ferm und ufw: Danke für den Tipp, werd ich mir ansehen.

Grüße
Ketanest
Sheogorath
Lösung Sheogorath 04.04.2017 um 13:24:52 Uhr
Goto Top
Moin,

Was mich zwar immernoch etwas verwundert, warum die andren Dienste nicht funktionieren, wenn icmp nicht freigegeben ist aber gut.

Da in IPv6 anders als bei IPv4 über ICMP sehr viel getan wird. Unter anderem die gesamte kommunikation bezüglich IP-Adress Aushandlung und Neightbor discovery. Sprich ohne ICMP findest du weder ein Gateway noch sonst was. Deswegen kannst du dich auch nicht unterhalten ;)

Details hierzu ebenso wie weitere Unterschiede zwischen IPv4 und IPv6 (z.B. dass man sich den DHCP spart) findest du bereits feinst säuberlich bei Wikipedia aufgelistet mit einem ensprechenden Quellenverzeichnis: https://en.wikipedia.org/wiki/IPv6#Comparison_with_IPv4

Gruß
Chris
ketanest112
ketanest112 04.04.2017 um 14:05:22 Uhr
Goto Top
Aaah, sehr gut, jetzt habs ichs gerafft!

Danke!
gelöstFrageNetzwerkeRouter, Routing
Mehr von ketanest112ketanest112Zertifikatsvorlagen teilweise nicht sichtbarketanest112 - 20 Kommentareketanest112Pakete gehen beim Routing von IPSec nach Wireguard verloren (Route-Based-VPNs)ketanest112 - 27 Kommentareketanest112Route-based IPSec with multiple initators on same IDketanest112 - 13 Kommentareketanest112Route-based Strongswan IPSec zu Fortigate: Antwort kommt nicht anketanest112 - 22 Kommentare
Heiß diskutiert
FohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 12 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 12 KommentareDSchmolkePasswort ändern in der Domäne geht nichtDSchmolke - 12 KommentarelucarusAdminrechte eines Servers auf VM in Domänelucarus - 12 KommentareMatthias182Bestehendes Heimnetz auf 2.5G oder 10G erweiternMatthias182 - 12 Kommentare