[fli4l] ICMP

[Oma Voss]

On 03.05.2012 10:55, Christoph Schulz wrote:
> Hallo!

Hallo Christoph,

> add_chain in-icmp
> add_rule filter in-icmp "prot:icmp:8 length:0-100 $limit ACCEPT"
> PF_INPUT_ACCEPT_DEF
> add_rule filter in-icmp "state:RELATED ACCEPT" PF_INPUT_ACCEPT_DEF
>
> Ändere in der zweiten Zeile "0-100" z.B. auf "0-1500" und schau mal, ob
> der Tunnel dann stabiler läuft.

Hab ich gemacht, ohne Erfolg.

> Voraussetzung ist also PF_INPUT_ACCEPT_DEF='yes'. Ist das bei dir der Fall?

Ja.

> Eine explizite Forward-Regel für Protokoll 41 ist _nicht_ nötig.
> Proto-41-Pakete werden im Kernel als IPv6-Pakete erkannt und
> entsprechend über die ip6tables weiter verarbeitet. Ein direktes
> Proto-41-Forwarding würde nur dafür sorgen, dass der Router überhaupt
> nichts mit den Paketen anstellt, sondern direkt irgendwohin weiterleitet
> (z.B. an einen anderen Router). Dies wird aber so vom IPv6-Paket nicht
> unterstützt, sprich wenn man die Firewall von fli4l so konfigurierte,
> dann wäre die IPv6-Konfiguration des fli4l "kaputt".

Habe in der base.txt die Einträge für Potokoll 41, 1 und 58 entfernt,
der Tunnel steht nach wie vor etwa 20 bis 30 Minuten, danach hilft ihm 
nur ein reboot des Routers wieder auf die Beine. Scheint so, als ob die 
Instabilität doch nicht am ICMP liegt. Oder auch nichtmal am Fli4l.

Welches log-file muss ich mir ansehen, um evtl. die Ursache für die 
Abbrüche zu finden?

Danke und viele Grüße.