[fli4l] IPv6 Firewalling

Matthias Taube no_html.max50kb at nurfuerspam.de
Mo Nov 3 21:24:05 CET 2014


Hi,
vielen Dank für die bisherige Hilfe. Im Zuge des Testens der neuen Fli 
Version möchte ich natürlich durch die nun erfolgende Nutzung von IPv6 
keine Lücken in meinem Netz öffnen und habe zwei Fragen zur Sicheren 
Konfiguration des Routers.

1. Es wird empfohlen RH0-Headers zu filtern, und zwar vor allen anderen 
Regeln (Zitat: RH Type 0 : the bullet in the foot [1]):

--- snip

Filter all packets that have RH0 headers
ip6tables -A INPUT -m rt --rt-type 0 -j DROP
ip6tables -A FORWARD -m rt --rt-type 0 -j DROP
ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP
of course before accepting anything else.

RH0 processing is disabled per default since Linux 2.6.20.9. These hosts 
will still forward RH0 headers per default, using the above filter rule 
will really block them.
--- snip

Sollte man auf dem Fli so eine Regel manuell einfügen?

2. Stoppen von nicht routbaren Traffic
Weiterhin wird empfohlen, die folgenden Prefixe mit ICMP destination 
network unreachable zu beantworten, falls diese das eigene Netz Richtung 
Internet verlassen wollen:
> Sending packets to those destinations would only cause them to be returned by a core router.
> Prefix 	Description
> 2001:db8::/32 	IPv6 Documentation Prefix (RFC3849)
> 2001:10::/28 	ORCHID (RFC4843)
> fc00::/7 	Unique Local Addresses (RFC4193)
> fe80::/10 	Link Local Unicast (RFC4291)

Wäre dies auch als Regel auf dem Fli zu empfehlen?

mfg
Matthias


[1] http://www.secdev.org/conf/IPv6_RH_security-csw07.pdf


Mehr Informationen über die Mailingliste Fli4L