5
IPv6 Firewalling unter Debian 8
Hallo,
ich habe heute meinen vRoot Server (Debian 8) zu einem neuen Anbieter umgezogen.
Vorher hatte ich nur eine IPv4 Adresse. Jetzt habe ich zusätzlich eine IPv6 Adresse.
Die initiale Firewall Konfiguration habe ich mittels iptables und ip6tables erstellt.
Nun stellt sich mir jedoch die Frage, ob (und falls ja wie) man die IPv4 Regeln mittels IPv4-mapped IPv6 darstellen kann, bzw. pflegen kann.
So dass in der Firewall Regeln mittels ::ffff:0A00:0000 (bzw. ::ffff:10.0.0.0) anstelle von 10.0.0.0 (für IPv4) eingetragen werden können.
Dadurch erhoffe ich mir, nicht mehr zwei Regelsätze für iptables und ip6tables pflegen zu müssen.
Mit freundlichen Grüßen,
agowa338
ich habe heute meinen vRoot Server (Debian 8) zu einem neuen Anbieter umgezogen.
Vorher hatte ich nur eine IPv4 Adresse. Jetzt habe ich zusätzlich eine IPv6 Adresse.
Die initiale Firewall Konfiguration habe ich mittels iptables und ip6tables erstellt.
Nun stellt sich mir jedoch die Frage, ob (und falls ja wie) man die IPv4 Regeln mittels IPv4-mapped IPv6 darstellen kann, bzw. pflegen kann.
So dass in der Firewall Regeln mittels ::ffff:0A00:0000 (bzw. ::ffff:10.0.0.0) anstelle von 10.0.0.0 (für IPv4) eingetragen werden können.
Dadurch erhoffe ich mir, nicht mehr zwei Regelsätze für iptables und ip6tables pflegen zu müssen.
Mit freundlichen Grüßen,
agowa338
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 326494
Url: https://administrator.de/contentid/326494
Printed on: April 25, 2024 at 14:04 o'clock
5 Comments
Latest comment
Moin,
wenn die Regeln im Grunde gleich sein sollen müßte doch ein einfaches Suchen und Ersetzen mit sed in einem Skript vor iptables- und ip6tables-restore ausreichen?!
HG
Mark
wenn die Regeln im Grunde gleich sein sollen müßte doch ein einfaches Suchen und Ersetzen mit sed in einem Skript vor iptables- und ip6tables-restore ausreichen?!
HG
Mark
Nein, die sind eben nicht 100% identisch z. B. ICMPv6 muss z. B. für Packet to big etc erlaubt sein, wo hingegen icmp unter ipv4 komplett geblockt werden kann. IPv4 enthält drop regeln für Private IPv4 Adressen, etc...
Ich hatte in meiner vorherigen Firma nur eine "IPv6 first" Firewall, bei der alle Regeln als IPv6 Regeln angelegt wurden (war auch Linux basierend). Das gleiche hätte ich falls möglich jetzt gerne wieder.
Ich hatte in meiner vorherigen Firma nur eine "IPv6 first" Firewall, bei der alle Regeln als IPv6 Regeln angelegt wurden (war auch Linux basierend). Das gleiche hätte ich falls möglich jetzt gerne wieder.
Nein, da gibt es auch ICMP-Nachrichten, die man nicht droppen sollte - z.B."Fragmentation Needed"...
Warum wollen die Leute immer ICMP komplett verwerfen...
Zitat von @LordGurke:
Nein, da gibt es auch ICMP-Nachrichten, die man nicht droppen sollte - z.B."Fragmentation Needed"...
Warum wollen die Leute immer ICMP komplett verwerfen...
Weil es in so gut wie allen AnleitungenNein, da gibt es auch ICMP-Nachrichten, die man nicht droppen sollte - z.B."Fragmentation Needed"...
Warum wollen die Leute immer ICMP komplett verwerfen...
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 25/min --limit-burst 100 -m comment --comment "Allow ping" -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 25/min --limit-burst 100 -m comment --comment "Allow ping" -j ACCEPT
-A INTPUT -p icmp -m icmp --icmp-type 0 -m comment --comment "Allow ping" -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 0 -m comment --comment "Allow ping" -j ACCEPT
-A INPUT -p ICMP -j DROP-A INPUT -p icmpv6 -j ACCEPT
-A OUTPUT -p icmpv6 -j ACCEPT
Das ist aber noch lange kein Grund, das so umzusetzen, ohne zu prüfen, ob das sinnvoll ist.
Daß man ein icmp redirect o.ä blockt ist ja nun ratsam, aber ansonsten hat icmp auch unter v4 seine Berechtigung, wenn man Probleme vermeiden will.
lks
