[fli4l] IPv6 Portfilter Konfiguration

Stephan Sanders Stephan at genlog.de
Mi Jun 27 22:21:30 CEST 2012 

Hallo Leute,

ich habe jetzt mal versucht, in meinem frischen Fli4l den IPv6 Teil zu
aktivieren.

Tunnel bei HE geht.
/48 mir zuweisen lassen.

Was aber nicht funktioniert, ist das surfen o.ä. via IPv6. ICMP kein
Problem. Meine Rechner bekommen eine ipv6 Adresse und können dann
heise.de anpingen (via ipv6). Aber per Browser geht nichts.

in Webmenü, pf6.cgi wird folgendes hochgezählt:
11	296	68036	fw-rej-log	 ::/0	::/0

im Logging:
Jun 27 16:04:12 cerberus kernel: fw-forward-reject IN=v6tun1 OUT=eth0
Source="Adresse aus meinem LAN" Dest:"Adresse im Internet".

Eigentlich sollten die Defaultregeln doch Verbindungsaufbau von Innen
zulassen und von Außen die related established Regeln Anwendung finden.
Die Counter erhöhen sich nicht.

Erst folgender Eintrag schaltet die Firewall durch (keine Log Rejects
mehr), aber bringt auch keinen Erfolg:

PF6_FORWARD_5='any IPV6_NET_1 ACCEPT'

Netzwerk wie folgt eingerichtet:

IPV6_TUNNEL_1_PREFIX='2001:444:7777::/48'

IPV6_NET_N='1'
IPV6_NET_1_TUNNEL='1'
IPV6_NET_1='::3711:0:0:0:1/64'
IPV6_NET_1_DEV='eth0'

IPV6_ROUTE_N='0'

PF6_INPUT_POLICY='REJECT'               # be nice and use reject as
PF6_INPUT_ACCEPT_DEF='yes'              # use default rule set
PF6_INPUT_LOG='yes'

PF6_INPUT_N='3'                         # number of INPUT rules^
PF6_INPUT_1='[fe80::0]/10 ACCEPT'       # allow all hosts in the local^
PF6_INPUT_2='IPV6_NET_1 ACCEPT'         # allow all hosts in the first
PF6_INPUT_3='tmpl:samba DROP NOLOG'     # drop (or reject) samba access^

PF6_FORWARD_N='5'                       # number of FORWARD rules^
PF6_FORWARD_1='tmpl:samba DROP'         # drop samba traffic if it
PF6_FORWARD_2='IPV6_NET_1 ACCEPT'       # accept everything else^
PF6_FORWARD_5='any IPV6_NET_1 ACCEPT'   # accept everything else^

Hat da jemand eine Idee, woran das liegt, dass ich keine Verbindung von
innen aufbauen kann? Pakete gehen in den Tunnel. Von außen wird das Netz
geroutet und ein Traceroute klappt bis auf den Router.

Das hier geht übrigens auch noch nicht:
Dabei wird ein Filter für Source und Dest Port 80 eingesetzt.
Wenn ich dtp:80 eintrage, bekomme ich eine Fehlermeldung, dass der Wert
ungültig sei.

PF6_FORWARD_3='prot:tcp 80 [2001:EISFAIR-IPV6] ACCEPT'
PF6_FORWARD_4='prot:tcp 443 [2001:EISFAIR-IPV6] ACCEPT'
--> Freigabe des Webservers via IPv6


VG
Stephan

Mehr Informationen über die Mailingliste Fli4L