[fli4l] ICMP

Oma Voss omavoss at inbox.lv
Do Mai 3 17:45:16 CEST 2012 

On 03.05.2012 16:09, Oma Voss wrote:
> On 03.05.2012 10:55, Christoph Schulz wrote:
>> Hallo!
>
> Hallo Christoph,
>
>> add_chain in-icmp
>> add_rule filter in-icmp "prot:icmp:8 length:0-100 $limit ACCEPT"
>> PF_INPUT_ACCEPT_DEF
>> add_rule filter in-icmp "state:RELATED ACCEPT" PF_INPUT_ACCEPT_DEF
>>
>> Ändere in der zweiten Zeile "0-100" z.B. auf "0-1500" und schau mal, ob
>> der Tunnel dann stabiler läuft.
>
> Hab ich gemacht, ohne Erfolg.
>
>> Voraussetzung ist also PF_INPUT_ACCEPT_DEF='yes'. Ist das bei dir der
>> Fall?
>
> Ja.
>
>> Eine explizite Forward-Regel für Protokoll 41 ist _nicht_ nötig.
>> Proto-41-Pakete werden im Kernel als IPv6-Pakete erkannt und
>> entsprechend über die ip6tables weiter verarbeitet. Ein direktes
>> Proto-41-Forwarding würde nur dafür sorgen, dass der Router überhaupt
>> nichts mit den Paketen anstellt, sondern direkt irgendwohin weiterleitet
>> (z.B. an einen anderen Router). Dies wird aber so vom IPv6-Paket nicht
>> unterstützt, sprich wenn man die Firewall von fli4l so konfigurierte,
>> dann wäre die IPv6-Konfiguration des fli4l "kaputt".
>
> Habe in der base.txt die Einträge für Potokoll 41, 1 und 58 entfernt,
> der Tunnel steht nach wie vor etwa 20 bis 30 Minuten, danach hilft ihm
> nur ein reboot des Routers wieder auf die Beine. Scheint so, als ob die
> Instabilität doch nicht am ICMP liegt. Oder auch nichtmal am Fli4l.
>
> Welches log-file muss ich mir ansehen, um evtl. die Ursache für die
> Abbrüche zu finden?
>
> Danke und viele Grüße.


Hallo Christoph,
das Problem lässt mir keine Ruhe. :-)

Ich habe weiter gelesen und folgendes gefunden:

Unter http://ipv6.chappell-family.com/ipv6tcptest/ kann man einen 
IPv6-Portscan machen lassen, dessen Ergebnis bei mir unter anderem wie 
folgt aussieht:

IPv6 TCP Port Scan Results

Results for host : 2001:470:1234:0:1234:1234:1234:1234

Scan beginning at: Thu May 3 16:33:18 2012 , expected to take up to 11 
seconds ...
ICMPv6 ECHO REQUEST returned : 	ECHO NO REPLY


  (die Adresse habe ich anonymisiert)


und dann weiter unten die Erläuterung zum ICMPv6:

Reported State:
ECHO NO REPLY

Meaning:
No ICMPv6 ECHO_REPLY packet was received in response to the ICMPv6 
ECHO_REQUEST which was sent. This is the ideal response since no-one can 
ascertain your machines' presence at this IPv6 address.

Gut, das ist jetzt ein ICMPv6-Test, und ICMPv6 wird von HE nicht 
gebraucht, wie wir jetzt wissen.

Ich lasse mal noch einen Portscan von außen auf IPv4 machen und melde 
mich nochmal.

Viele Grüße.

Mehr Informationen über die Mailingliste Fli4L